Постановление Правительства Пензенской области от 20.04.2017 № 192-пП

№

п/п

Возможности нарушителей безопасности информации и направления атак

(соответствующие актуальные угрозы)

Актуальность использования (применения) для построения и реализации атак

Обоснование отсутствия

(при наличии)

1

2

3

4

1

Проведение атаки при нахождении за пределами контролируемой зоны

2

Проведение атаки при нахождении в пределах контролируемой зоны

3

Проведение атак на этапе эксплуатации СКЗИ на следующие объекты:

- документацию на СКЗИ и компоненты СФ;

- помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее – СВТ), на которых реализованы СКЗИ и СФ

4

Получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации:

- сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы;

- сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационной системы;

- сведений о мерах по разграничению доступа в помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ

5

Использование штатных средств ИСПДн, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий

Физический доступ к СВТ, на которых реализованы СКЗИ и СФ

6

Возможность воздействовать на аппаратные компоненты СКЗИ и СФ, ограниченная мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий

7

Создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО

8

Проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в информационной системе, в которой исполь-зуется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий

9

Проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ

10

Создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО

11

Возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ

12

Возможность воздействовать на любые компоненты СКЗИ и СФ