рушення правил експлуатації кріптосредства і СФК.Доступни в каналах зв'язку, незахищених від НСД до інформаціі.7Проявляющіеся в каналах зв'язку, не захищених від НСД до інформації організаційно-технічними заходами, несправності і збої технічних засобів кріптосредства і СФК.Доступни в каналах зв'язку, незахищених від НСД до інформаціі.8Сведенія, одержувані в результаті аналізу будь-яких побічних сигналів від технічних засобів кріптосредства.Могут бути доступни.9Ісходние тексти прикладного програмного забезпечення ІС.Недоступни. Обгрунтування: в ІСПДн використовується пропрієтарне ППО із закритим вихідним кодом.
2.5 Припущення про наявні у порушника засобах атак
Склад і характеристики наявних у порушника засобах атак істотно залежать як від наявних у нього можливостей з придбання або розробці зазначених коштів, так і від реалізованої в ІСПДн ІАС ЦА МЗРФ політики безпеки.
Передбачається, що потенційний порушник ІСПДн ІАС ЦА МЗРФ:
- може використовувати штатні засоби в разі їх розташування як поза, так і в межах контрольованої зони;
- розташовує тільки доступними у вільному продажу апаратними компонентами кріптосредств і СФК і за рахунок реалізованих у ІСПД організаційних заходів не має додаткових можливостей щодо їх отримання;
- не може організовувати або замовляти роботи по створенню способів і засобів атак в науково-дослідних центрах, що спеціалізуються в області розробки і аналізу кріптосредств і СФК;
- може самостійно і поодинці здійснювати освоєння способів, підготовку і проведення атак (тобто відсутня змова порушників);
- не може проводити лабораторні дослідження кріптосредств.
.6 Опис каналів атак
Основними каналами атак потенційних порушників ІСПДн є:
- акустичний канал, який може дозволити отримати відомості про використовувані для захисту ПДН кріптосредствах лише у випадку ведення розмов фахівцями ІСПДн (як всередині, так і поза КЗ) на дану тематику;
- візуальний канал, який може дозволити отримати відомості про використовувані для захисту ПДН кріптосредствах шляхом просматривания документованої і відображається на технічних засобах інформації;
- фізичний доступ до документації і в приміщення, в яких розташовані використовувані для захисту ПДН кріптосредства і СФК;
- штатні засоби обробки інформації;
- машинні носії інформації (як використовувані, так і виведені з ужитку, але не знищені);
- технічні канали витоку інформації по побічних електромагнітних випромінювань і наведень;
- канали зв'язку, не захищені від несанкціонованого доступу до інформації організаційно-технічними заходами:
. канали зв'язку, розташовані всередині КЗ, можуть стати об'єктом атак внутрішнього порушника;
. канали зв'язку мережі Інтернет розташовуються за межами КЗ і можуть стати об'єктом атак зовнішнього порушника;
. виділений канал зв'язку між сегментами мережі Мінздоровсоцрозвитку, розташованими за адресами вул. Іллінка д. 21 і Рахманівському пров. буд.3/25, виходить за межі КЗ і може стати об'єктом атак зовнішнього порушника.
.7 Визначення типу порушника ІСПДн ІАС ЦА МЗРФ
інформаційний криптографічний захист несанкціонований
Зовнішній порушник не має доступу до технічних і програмних засобів ІСПДн, що знаходяться в КЗ, і самостійно здійснює створення методів і засобів реалізації атак, а також самостійно виконує ці атаки.
Внутрішній порушник, який не є користувачем ІСПДн, має право періодичного або разового доступу в КЗ, де розташовані засоби обчислювальної техніки, на яких реалізовані кріптосредства і СФК, і самостійно здійснює створення способів атак, підготовку та їх проведення. Внутрішній порушник, який є користувачем ІСПДн, має право доступу в КЗ, де розташовані засоби обчислювальної техніки, на яких реалізовані кріптосредства і СФК, і самостійно здійснює створення способів атак, підготовку та їх проведення.
У результаті розглянутих припущень про доступних каналах і способи отримання інформації порушником, які він може використовувати для розробки та проведення атак і відповідно до «Методичних рекомендацій щодо забезпечення за допомогою кріптосредств безпеки персональних даних при їх обробці в інформаційних системах персональних даних з використанням засобів автоматизації »припускаємо, що можливості внутрішнього порушника відповідають можливостям порушника типу Н 3.
Однак, необ...
