Расширенный поиск

Постановление правительства Воронежской области от 02.11.2017 № 869

 

Приложение № 2

к угрозам безопасности персональных данных, актуальных при обработке персональных

данных в информационных системах персональных данных правительства Воронежской

области, исполнительных органов государственной власти Воронежской области и

подведомственных им организаций

 

Совокупность предположений о возможностях, которые могут использоваться при создании способов,

подготовке и проведении атак для ИСПДн, в которых для обеспечения безопасности персональных данных

принято решение применения СКЗИ

 

п/п

Уточненные возможности нарушителей и направления атак (соответствующие актуальные угрозы)

Актуальность использования (применения) для построения и реализации атак

Обоснование отсутствия

1.1.

Проведение атаки при нахождении в пределах контролируемой зоны

Актуально

 

1.2.

Проведение атак на этапе эксплуатации СКЗИ на следующие объекты:

документацию на СКЗИ и компоненты среды функционирования;

помещения, в которых находятся компоненты ИСПДн, на которых реализованы СКЗИ и среда функционирования

Неактуально

Проводятся работы по подбору сотрудников, привилегированные пользователи ИСПДн назначаются из числа доверенных лиц.

Обеспечивается контролируемый доступ (контролируемая зона) в административные здания и (или) помещения с компонентами ИСПДн. Указанные помещения оснащены входными дверьми с замками, установлен порядок доступа в эти помещения, препятствующий возможности неконтролируемого проникновения или пребывания лиц, не имеющих права доступа в них. В рабочее время, в случае ухода лиц, имеющих право самостоятельного доступа в указанные помещения, а также в нерабочее время двери этих помещений закрываются на ключ. Доступ посторонних лиц в помещения с компонентами ИСПДн допускается только в присутствии лиц, имеющих право самостоятельного доступа в данные помещения на время, ограниченное служебной необходимостью. При этом предпринимаются меры, исключающие возможность доступа посторонних лиц к обрабатываемым персональным данным и другим объектам защиты.

Установлен порядок обеспечивающий сохранность документаций на СКЗИ, машинных носителей информации с комплектами восстановления СКЗИ, носителей ключевой, парольной и аутентифицирующей информации. Документация на СКЗИ и указанные носители хранятся только в сейфах или закрываемых на ключ шкафах (ящиках) в условиях, препятствующих свободному доступу к ним посторонних лиц

1.3.

Получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации:

сведений о физических мерах защиты объектов, в которых размещены ресурсы ИСПДн;

сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы ИСПДн;

сведений о мерах по разграничению доступа в помещения, в которых находятся компоненты ИСПДн, на которых реализованы СКЗИ и среда функционирования

Актуально

 

1.4.

Использование штатных средств ИСПДн, в которой используется СКЗИ, ограниченное реализованными в ИСПДн мерами, направленными на предотвращение и пресечение несанкционированных действий

Актуально

 

2.1.

Физический доступ к компонентам ИСПДн, на которых реализованы СКЗИ и среда функционирования

Неактуально

Проводятся работы по подбору сотрудников, привилегированные пользователи ИСПДн назначаются из числа доверенных лиц.

Обеспечивается контролируемый доступ (контролируемая зона) в административные здания и (или) помещения с компонентами ИСПДн. Указанные помещения оснащены входными дверьми с замками, установлен порядок доступа в эти помещения, препятствующий возможности неконтролируемого проникновения или пребывания лиц, не имеющих права доступа в них. В рабочее время, в случае ухода лиц, имеющих право самостоятельного доступа в указанные помещения, а также в нерабочее время двери этих помещений закрываются на ключ. Доступ посторонних лиц в помещения с компонентами ИСПДн допускается только в присутствии лиц, имеющих право самостоятельного доступа в данные помещения на время, ограниченное служебной необходимостью. При этом предпринимаются меры, исключающие возможность доступа посторонних лиц к обрабатываемым персональным данным и другим объектам защиты

2.2.

Возможность располагать или воздействовать на аппаратные компоненты СКЗИ и среду функционирования, ограниченная мерами, реализованными в ИСПДн, в которой используется СКЗИ, направленными на предотвращение и пресечение несанкционированных действий

Неактуально

Базового (низкого) потенциала нарушителя недостаточно для реализации угрозы.

Проводятся работы по подбору сотрудников, привилегированные пользователи ИСПДн назначаются из числа доверенных лиц.

Обеспечивается контролируемый доступ (контролируемая зона) в административные здания и (или) помещения с компонентами ИСПДн. Указанные помещения оснащены входными дверьми с замками, установлен порядок доступа в эти помещения, препятствующий возможности неконтролируемого проникновения или пребывания лиц, не имеющих права доступа в них. В рабочее время, в случае ухода лиц, имеющих право самостоятельного доступа в указанные помещения, а также в нерабочее время двери этих помещений закрываются на ключ. Доступ посторонних лиц в помещения с компонентами ИСПДн допускается только в присутствии лиц, имеющих право самостоятельного доступа в данные помещения на время, ограниченное служебной необходимостью. При этом предпринимаются меры, исключающие возможность доступа посторонних лиц к обрабатываемым персональным данным и другим объектам защиты.

Осуществляется разграничение, регистрация и учет доступа пользователей ИСПДн к объектам защиты с использованием организационных мер и средств ИСПДн. Правами управления (администрирования) ИСПДн обладают только привилегированные пользователи

3.1.

Создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и среды функционирования, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного программного обеспечения

Неактуально

Не осуществляется обработка сведений, которые могут представлять интерес для реализации возможности.

Высокая стоимость и сложность подготовки реализации возможности.

Для ИСПДн актуальны угрозы безопасности персональных данных третьего типа, не связанные с наличием недокументированных (недекларированных) возможностей в используемом системном и прикладном программном обеспечении

3.2.

Проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в ИСПДн, в которой используется СКЗИ, направленными на предотвращение и пресечение несанкционированных действий

Неактуально

Не осуществляется обработка сведений, которые могут представлять интерес (мотивацию) для реализации возможности.

Высокая стоимость и сложность подготовки реализации возможности

3.3.

Проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и среды функционирования, в том числе с использованием исходных текстов входящего в среды функционирования прикладного программного обеспечения, непосредственно использующего вызовы программных функций СКЗИ

Неактуально

Не осуществляется обработка сведений, которые могут представлять интерес (мотивацию) для реализации возможности.

Высокая стоимость и сложность подготовки реализации возможности

4.1.

Создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного программного обеспечения

Неактуально

Не осуществляется обработка сведений, которые могут представлять интерес для реализации возможности.

Высокая стоимость и сложность подготовки реализации возможности.

Для ИСПДн актуальны угрозы безопасности персональных данных третьего типа, не связанные с наличием недокументированных (недекларированных) возможностей в используемом системном и прикладном программном обеспечении

4.2.

Возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты среды функционирования СКЗИ

Неактуально

Не осуществляется обработка сведений, которые могут представлять интерес (мотивацию) для реализации возможности.

Отсутствует в наличии конструкторская документация на аппаратные и программные компоненты среды функционирования СКЗИ

4.3.

Возможность располагать или воздействовать на любые компоненты СКЗИ и среды функционирования

Неактуально

Не осуществляется обработка сведений, которые могут представлять интерес (мотивацию) для реализации возможности.

Базового (низкого) потенциала нарушителя недостаточно для реализации угрозы

 

[1][1][1] Угроза безопасности персональных данных рассматривается только для ИСПДн типов 2, 4 и 6.

[1][2][2] Угроза безопасности персональных данных рассматривается только для ИСПДн, в которых применяются беспроводные сети связи.

[1][3][3] Угроза безопасности персональных данных рассматривается только для ИСПДн, в которых применяются технологии виртуализации.



 

 

 


Информация по документу
Читайте также