Точный
Действующий

Об утверждении Положения об угрозах безопасности персональных данных, актуальных при их обработке в информационных системах государственных органов Республики Башкортостан и (или) подведомственных им организаций (с изменениями на 30 декабря 2020 года)



Приложение N 1
к Положению об угрозах безопасности
персональных данных, актуальных
при их обработке в информационных
системах государственных органов
Республики Башкортостан и (или)
подведомственных им организаций



ТИПОВЫЕ ВОЗМОЖНОСТИ НАРУШИТЕЛЕЙ БЕЗОПАСНОСТИ ИНФОРМАЦИИ И НАПРАВЛЕНИЯ КОМПЬЮТЕРНЫХ АТАК НА ИНФОРМАЦИОННЫЕ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

N п/п

Возможности нарушителей безопасности информации и направления атак (соответствующие актуальные угрозы)

Актуальность использования угроз для построения и реализации атак

Обоснование отсутствия угрозы

1

2

3

4

1

Проведение атаки при нахождении за пределами контролируемой зоны

2

Проведение атаки при нахождении в пределах контролируемой зоны

3

Проведение атаки на этапе эксплуатации СКЗИ на следующие объекты:

документация на СКЗИ и компоненты СФ;

помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем, на которых реализованы СКЗИ и СФ

4

Получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации:

сведений о физических мерах защиты объектов, в которых размещены ресурсы ИС;

сведений о мерах по обеспечению безопасности информации контролируемой зоны объектов, в которых размещены ресурсы ИС;

сведений о мерах по разграничению доступа в помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ

5

Использование штатных средств ИС, ограниченное мерами, реализованными в ИС, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий

6

Физический доступ к СВТ, на которых реализованы СКЗИ и СФ

7

Воздействие на аппаратные компоненты СКЗИ и СФ, ограниченное мерами, реализованными в ИС, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий

8

Создание способов компьютерных атак, их подготовка и проведение с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО

9

Проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в ИС, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий

10

Создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО

11

Наличие сведений, содержащихся в конструкторской документации на аппаратные и программные компоненты СФ

12

Воздействие на любые компоненты СКЗИ и СФ