N
| Уточнённые возможности нарушителей и направления атак (соответствующие актуальные угрозы)
| Актуальность использования (применения) для построения и реализации атак
| Обоснование отсутствия
|
1.1
| проведение атаки при нахождении в пределах контролируемой зоны.
| не актуально
|
|
1.2
| проведение атак на этапе эксплуатации СКЗИ на следующие объекты:
- документацию на СКЗИ и компоненты СФ;
- помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее - СВТ), на которых реализованы СКЗИ и СФ.
| не актуально
|
|
1.3
| получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации:
- сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы;
- сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационной системы;
- сведений о мерах по разграничению доступа в Помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ.
| не актуально
|
|
1.4
| использование штатных средств ИСПДн, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.
| не актуально
|
|
2.1
| физический доступ к СВТ, на которых реализованы СКЗИ и СФ.
| не актуально
|
|
2.2
| возможность воздействовать на аппаратные компоненты СКЗИ и СФ, ограниченная мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.
| актуально
|
|
3.1
| создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО.
| актуально
|
|
3.2
| проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.
| не актуально
|
|
3.3
| проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ.
| не актуально
|
|
4.1
| создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО.
| не актуально
| наличие заключения об отсутствии недекларированных возможностей системного ПО.
|
4.2
| возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ.
| не актуально
| высокая стоимость и сложность подготовки реализации возможности.
|
4.3
| возможность воздействовать на любые компоненты СКЗИ и СФ.
| не актуально
| высокая стоимость и сложность подготовки реализации возможности;
осуществляется разграничение и контроль доступа пользователей к защищаемым ресурсам.
|