N | Уточнённые возможности нарушителей и направления атак (соответствующие актуальные угрозы) | Актуальность использования (применения) для построения и реализации атак | Обоснование отсутствия |
1.1 | проведение атаки при нахождении в пределах контролируемой зоны. | не актуально | |
1.2 | проведение атак на этапе эксплуатации СКЗИ на следующие объекты: | не актуально | |
- документацию на СКЗИ и компоненты СФ; | |||
- помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее - СВТ), на которых реализованы СКЗИ и СФ. | |||
1.3 | получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации: | не актуально | |
- сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы; | |||
- сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационной системы; | |||
- сведений о мерах по разграничению доступа в помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ. | |||
1.4 | использование штатных средств ИСПДн, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий. | не актуально | |
2.1 | физический доступ к СВТ, на которых реализованы СКЗИ и СФ. | не актуально | |
2.2 | возможность воздействовать на аппаратные компоненты СКЗИ и СФ, ограниченная мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий. | актуально | |
3.1 | создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО. | актуально | |
3.2 | проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий. | не актуально | |
3.3 | проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ. | не актуально | |
4.1 | создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО. | не актуально | наличие заключения об отсутствии недекларированных возможностей системного ПО. |
4.2 | возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ. | не актуально | высокая стоимость и сложность подготовки реализации возможности. |
4.3 | возможность воздействовать на любые компоненты СКЗИ и СФ. | не актуально | высокая стоимость и сложность подготовки реализации возможности; |
Электронный текст документа
подготовлен АО "Кодекс" и сверен по:
официальный сайт ФСБ России
www.fsb.ru
по состоянию на 17.02.2016