3.1. Внешний нарушитель ПУ и СКЗИ ПУ
Данная модель внешнего нарушителя предполагает, что нарушитель имеет возможности к:
3.1.1 созданию способов, подготовке и проведению атак без привлечения специалистов в области разработки и анализа СКЗИ;
3.1.2 проведению атаки, находясь вне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (далее - контролируемая зона);
Границей контролируемой зоны могут быть периметр охраняемой территории предприятия (учреждения), ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения (для ПУ, размещаемых не на жилых зданиях).
Для ПУ, размещаемых в подъездах жилых зданий, границей контролируемой зоны является корпус ПУ.
3.1.3 проведению атак на этапе эксплуатации СКЗИ на:
- ключевую, аутентифицирующую и парольную информацию СКЗИ;
- программные компоненты СКЗИ;
- программные компоненты СФ, включая программное обеспечение BIOS;
- данные, передаваемые по каналам связи;
- иные объекты, которые установлены при формировании совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак с учетом применяемых в информационной системе информационных технологий, аппаратных средств (далее - АС) и программного обеспечения (далее - ПО).
3.1.4 получению из находящихся в свободном доступе источников (включая информационно-телекоммуникационные сети, доступ к которым не ограничен определенным кругом лиц, в том числе информационно-телекоммуникационную сеть "Интернет") информации об информационной системе, в которой используется СКЗИ. При этом может быть получена следующая информация:
- общие сведения об информационной системе, в которой используется СКЗИ (назначение, состав, оператор, объекты, в которых размещены ресурсы информационной системы);
- сведения об информационных технологиях, базах данных, АС, ПО, используемых в информационной системе совместно с СКЗИ, за исключением сведений, содержащихся только в конструкторской документации на информационные технологии, базы данных, АС, ПО, используемые в информационной системе совместно с СКЗИ;
- содержание находящейся в свободном доступе конструкторской документации на СКЗИ;
- содержание находящейся в свободном доступе документации на аппаратные и программные компоненты СКЗИ и СФ;
- общие сведения о защищаемой информации, используемой в процессе эксплуатации СКЗИ;
- сведения о каналах связи, по которым передаются защищаемые СКЗИ персональные данные (далее - канал связи);
- все возможные данные, передаваемые в открытом виде по каналам связи, не защищенным от несанкционированного доступа к информации организационными и техническими мерами;
- сведения обо всех проявляющихся в каналах связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами, нарушениях правил эксплуатации СКЗИ и СФ;
- сведения обо всех проявляющихся в каналах связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами, неисправностях и сбоях аппаратных компонентов СКЗИ и СФ;
- сведения, получаемые в результате анализа любых сигналов от аппаратных компонентов СКЗИ и СФ.
- находящихся в свободном доступе или используемых за пределами контролируемой зоны АС и ПО, включая аппаратные и программные компоненты СКЗИ и СФ;
- специально разработанных АС и ПО.
3.1.6 использованию на этапе эксплуатации в качестве среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий, осуществляемых при подготовке и (или) проведении атаки:
- каналов связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами;
- каналов распространения сигналов, сопровождающих функционирование СКЗИ и СФ.
3.1.7 проведению на этапе эксплуатации атаки из информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц, если информационные системы, в которых используются СКЗИ, имеют выход в эти сети;
3.1.8 использованию на этапе эксплуатации находящихся за пределами контролируемой зоны АС и ПО из состава средств информационной системы, применяемых на местах эксплуатации СКЗИ (далее - штатные средства).
- всех данных, передаваемых по цепям средства регистрации и поступающих из СКЗИ;
- всех данных, передаваемых по каналам связи, не защищенным от несанкционированного доступа к информации организационными и техническими мерами;
- сигналов в каналах связи, сопровождающих функционирование одного СКЗИ.
3.1.10 осуществлению активного воздействия на СКЗИ с использованием устройств, имитирующих функционирование средства регистрации информации.
3.1.11 применению методов, основанных на наблюдении ответных реакций СКЗИ на активное воздействие.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2025
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2026 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2025 год
- Частичная мобилизация: обзор новостей
- Постановление Правительства РФ N 1875