Постановление Администрации Костромской области от 03.04.2017 № 137-а

Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных администрации Костромской области

 

 

 

 

АДМИНИСТРАЦИЯКОСТРОМСКОЙ ОБЛАСТИ

 

П О С Т А Н О В Л Е Н И Е

 

от "3" апреля 2017 года № 137-а

 

г. Кострома

 

Об определении угрозбезопасности персональных данных, актуальных при обработке персональных данныхв информационных системах персональных данных администрации Костромской области

 

В соответствии с частью 5статьи 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональныхданных», с целью обеспечения единого подхода к определению угроз безопасностиперсональных данных, актуальных при обработке персональных данных винформационных системах персональных данных исполнительных органовгосударственной власти Костромской области, взаимодействующих с информационнымисистемами персональных данных администрации Костромской области,

администрация Костромской области ПОСТАНОВЛЯЕТ:

1. Определить угрозы безопасности персональных данных, актуальныепри обработке персональных данных в информационных системах персональных данныхадминистрации Костромской области, согласно приложению к настоящему постановлению.

2. Исполнительным органам государственной власти Костромскойобласти:

1) определить угрозы безопасности персональных данных, актуальныепри обработке персональных данных в используемых ими информационных системахперсональных данных;

2) руководствоваться настоящим постановлением при определенииугроз безопасности персональных данных, актуальных при обработке персональныхданных в используемых ими информационных системах персональных данных,взаимодействующих с информационными системами персональных данных администрацииКостромской области.

3. Управлению информатизации и связи администрации Костромскойобласти разместить настоящее постановление

на официальном сайте администрации Костромской области

в информационно-телекоммуникационной сети «Интернет» в течение 10дней со дня его принятия.

4. Настоящее постановление вступает в силу со дня его официальногоопубликования.

 

 

Губернаторобласти                                                                       С.Ситников

 

 

Приложение

 

к постановлению администрации

Костромской области

от «3» апреля 2017 г. № 137-а

 

 

УГРОЗЫ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ,

актуальные при обработке персональных данных в информационныхсистемах персональных данных администрации Костромской области

 

Глава 1.              Общие положения

 

1.       Угрозы безопасностиперсональных данных, актуальные
при обработке персональных данных в информационных системах персональных данныхадминистрации Костромской области
(далее – Актуальные угрозы безопасности ИСПДн АКО),разработаны
в соответствии с частью 5 статьи 19 Федерального закона от 27 июля
2006 года № 152-ФЗ «О персональных данных».

2.       Актуальные угрозыбезопасности ИСПДн АКО содержат перечень актуальныхугроз безопасности персональных данных
при их обработке в информационных системах персональных данных (далее – ИСПДн) администрации Костромской области.

3.       При разработкеАктуальных угроз безопасности ИСПДн АКО использованы нормативныеправовые акты:

1)       Федеральный закон от 27июля 2006 года № 149-ФЗ
«Об информации, информационных технологиях и о защите информации»;

2)       Федеральный закон от 27июля 2006 года № 152-ФЗ
«О персональных данных»;

3)       Указ ПрезидентаРоссийской Федерации от 17 марта 2008 года № 351 «О мерах по обеспечениюинформационной безопасности Российской Федерации при использованииинформационно-телекоммуникационных сетей международного информационногообмена»;

4)       Указ ПрезидентаРоссийской Федерации от 22 мая 2015 года № 260 «О некоторых вопросахинформационной безопасности Российской Федерации»;

5)       постановление ПравительстваРоссийской Федерации
от 1 ноября 2012 года № 1119 «Об утверждении требований к защитеперсональных данных при их обработке в информационных системах персональныхданных»;

6)       приказ Федеральнойслужбы по техническому и экспортному контролю (далее – ФСТЭК России) от 18февраля 2013 года № 21
«Об утверждении Состава и содержания организационных и технических мер пообеспечению безопасности персональных данных при их обработке в информационныхсистемах персональных данных» (далее – Приказ ФСТЭК России);

7)           приказ Федеральной службыбезопасности Российской Федерации (далее – ФСБ России) от 10 июля 2014 года № 378
«Об утверждении Состава и содержания организационных и технических мер пообеспечению безопасности персональных данных при их обработке в информационныхсистемах персональных данных с использованием средств криптографической защитыинформации, необходимых
для выполнения установленных Правительством Российской Федерации требований кзащите персональных данных для каждого из уровней защищенности
» (далее – Приказ ФСБРоссии);

8)           приказФСБ России от 9 февраля 2005 года № 66
«Об утверждении Положения о разработке, производстве, реализации
и эксплуатации шифровальных (криптографических) средств защиты информации(Положение ПКЗ-2005)»;

9)           Методические рекомендации поразработке нормативных правовых актов, определяющих угрозы безопасностиперсональных данных, актуальные при обработке персональных данных
в информационных системах персональных данных, эксплуатируемых
при осуществлении соответствующих видов деятельности, утвержденные руководством8 Центра ФСБ России от 31 марта 2015 года № 149/7/2/6-432 (далее –Методические рекомендации ФСБ России по разработке НПА);

10)      Методика определенияактуальных угроз безопасности персональных данных при их обработке винформационных системах персональных данных, утвержденная ФСТЭК России от 14февраля 2008 года;

11)      Базовая модель угроз безопасностиперсональных данных
при их обработке в информационных системах персональных данных, утвержденная ФСТЭКРоссии от 15 февраля 2008 года (далее – Базовая модель угроз).

4.            Угрозыбезопасности персональных данных, обрабатываемые
в ИСПДн администрации Костромской области,приведенные
в Актуальных угрозах безопасности ИСПДн АКО, подлежатадаптации
в ходе разработки частных моделей угроз безопасности персональных данных.

5.       Частная модель угрозбезопасности персональных данных разрабатывается в соответствии с Базовоймоделью угроз и с учетом требований Приказа ФСТЭК России и Приказа ФСБ России.

6.            Приразработке частных моделей угроз безопасности персональных данных проводитсяанализ структурно-функциональных характеристик конкретной ИСПДни применяемых в ней информационных технологий, а также особенностей еефункционирования, в том числе
с использованием банка данных угроз безопасности информации (www.bdu.fstec.ru).

7.       В частной модели угрозбезопасности персональных данных указываются:

1)           описаниеИСПДн и ее структурно-функциональных характеристик;

2)           описаниеугроз безопасности информации, включающее описание возможностей нарушителей(модель нарушителя);

3)           описаниевозможных уязвимостей ИСПДн, способов реализацииугроз безопасности информации и последствий от нарушения свойств безопасностиинформации.

8.            Персональныеданные субъектов персональных данных обрабатываются с целью обеспечениядеятельности администрации Костромской области и исполнительных органовгосударственной власти Костромской области (далее – ИОГВ).

9.       Актуальные угрозыбезопасности персональных данных, обрабатываемые в ИСПДн,содержащиеся в Актуальных угрозах безопасности ИСПДн АКО,уточняются и дополняются по мере выявления новых источников угроз, развитияспособов и средств реализации угроз безопасности персональных данных в ИСПДн администрации Костромской области. Указанныеизменения согласовываются с ФСТЭК России и ФСБ России в установленном порядке.

10.  ИСПДн администрации Костромскойобласти характеризуются тем, что в качестве объектов информатизации выступают распределенныеИСПДн, имеющие подключение кинформационно-телекоммуникационным сетям общего пользования (далее – сетиобщего пользования) и (или) информационно-телекоммуникационной сети «Интернет»(далее – сеть «Интернет»).

11.       ИСПДн ИОГВ характеризуютсятем, что в качестве объектов информатизации выступают автоматизированныерабочие места, имеющие подключение к ИСПДнадминистрации Костромской области, а также подключение к сетям общегопользования и (или) сети «Интернет».

12.       ИСПДн администрацииКостромской области и ИСПДн ИОГВ имеют различнуюструктуру, являются разноплановыми системами.

13.       Ввод персональныхданных в ИСПДн администрации Костромской области и ИСПДн ИОГВ, а также вывод данных из ИСПДнадминистрации Костромской области и ИСПДн ИОГВосуществляется
с использованием бумажных и электронных носителей информации.
В качестве электронных носителей информации используются учтенные носителиинформации, в том числе и компакт-диски.

14.       Информационный обмен персональнымиданными по сетям общего пользования и (или) сети «Интернет» осуществляется
с использованием сертифицированных шифровальных (криптографических) средствзащиты информации (далее – СКЗИ).

15.       Технические средства ИСПДн администрации Костромской области и ИСПДн ИОГВ размещаются на территории Российской Федерации.

16.       Базы данных информации,с использованием которых осуществляются сбор, запись, систематизация,накопление, хранение, уточнение (обновление, изменение), извлечениеперсональных данных граждан Российской Федерации находятся на территорииРоссийской Федерации.

17.       Контролируемой зоной ИСПДн администрации Костромской области и ИСПДн ИОГВ являются административные здания и отдельныепомещения. В пределах контролируемой зоны находятся рабочие местапользователей, серверы системы, сетевое и телекоммуникационное оборудование ИСПДн администрации Костромской области и ИСПДн ИОГВ. Вне контролируемой зоны находятся линиипередачи данных
и телекоммуникационное оборудование, используемое для информационного обмена посетям общего пользования и (или) сети «Интернет».

18.       В административныхзданиях осуществляется пропускной режим, неконтролируемое пребываниепосторонних лиц
и неконтролируемое перемещение (вынос за пределы здания) компьютеров иоргтехники запрещено. Помещения оборудованы запирающимися дверями.

19.       Защита персональныхданных в ИСПДн администрации Костромской области и ИСПДн ИОГВ и сетях общего пользования, подключаемых к сети«Интернет», обеспечивается средствами защиты информации (далее – СЗИ):

1)           средствамиантивирусной защиты, сертифицированными ФСТЭК России, не ниже 4 класса;

2)           межсетевымиэкранами, сертифицированными ФСТЭК России,
не ниже 3 класса;

3)           СКЗИ,формирующими виртуальные частные сети (VPN), сертифицированными ФСБ России поклассу КС1 и выше;

4)           средствомгосударственной системы обнаружения, предупреждения и ликвидации последствийкомпьютерных атак
на информационные ресурсы Российской Федерации.

 

Глава 2.              Угрозы безопасности информационных систем
персональных данных

 

20.  Учитывая особенностиобработки персональных данных
в администрации Костромской области, а также категорию и объем обрабатываемых вИСПДн администрации Костромской области
персональных данных, основными характеристиками безопасности являютсяконфиденциальность, целостность и доступность.

Конфиденциальность– обязательное для соблюдения оператором или иным получившим доступ кперсональным данным лицом требование не допускать их распространения безсогласия субъекта персональных данных или наличия иного законного основания.

Целостность– состояние защищенности информации, характеризуемое способностью ИСПДн администрации Костромской области обеспечиватьсохранность и неизменность персональных данных при попытках несанкционированныхвоздействий на них в процессе обработки или хранения.

Доступность– состояние персональных данных, при котором субъекты, имеющие право доступа,могут реализовать его беспрепятственно.

21.  Под угрозамибезопасности персональных данных понимается совокупность условий и факторов,создающих актуальную опасность несанкционированного, в том числе случайного,доступа к персональным данным при их обработке в ИСПДнадминистрации Костромской области, результатомкоторого могут стать уничтожение, изменение, блокирование, копирование,предоставление, распространение персональных данных,
а также иные неправомерные действия.

22.  ДляИСПДн администрации Костромской области актуальныугрозы безопасности персональных данных третьего типа, не связанные
с наличием недокументированных (недекларированных)возможностей (далее – НДВ) в системном и прикладном программном обеспечении(далее – ПО), используемом в ИСПДн администрацииКостромской области.

23.  ИСПДн администрацииКостромской области обрабатывают персональные данные сотрудников администрацииКостромской области
и (или) иные категории персональных данных менее чем 100 000 субъектовперсональных данных, не являющихся сотрудниками администрации Костромскойобласти.

24.  Исходяиз состава обрабатываемых персональных данных
и типа актуальных угроз определяется
, что для обеспечениябезопасности персональных данных в ИСПДнадминистрации Костромской области  необходимообеспечение четвертого уровня защищенности персональных данных (УЗ 4).

25.  Основной цельюприменения СКЗИ в ИСПДн администрации Костромскойобласти является защита персональных данных, в том числе при информационномобмене по сетям общего пользования и (или) сети «Интернет».

26.  Объектами защитыявляются:

1)           персональныеданные;

2)           СКЗИ;

3)           средафункционирования СКЗИ (далее – СФ);

4)           информация,относящаяся к криптографической защите персональных данных, включая ключевую,парольную
и аутентифицирующую информацию СКЗИ;

5)           документы,дела, журналы, картотеки, издания, технические документы, рабочие материалы, вкоторых отражена защищаемая информация, относящаяся к ИСПДнадминистрации Костромской области и их криптографической защите, включаядокументацию на СКЗИ
и  технические и программные компонентыСФ;

6)           носителизащищаемой информации, используемые в ИСПДнадминистрации Костромской области в процессе криптографической защитыперсональных данных, носители ключевой, парольной
и аутентифицирующей информации СКЗИ и порядок доступа к ним;

7)           используемыеИСПДн администрации Костромской области каналы(линии) связи, включая кабельные системы;

8)           помещения,в которых находятся ресурсы ИСПДн администрацииКостромской области, имеющие отношение
к криптографической защите персональных данных.

27.  Основными видами угрозбезопасности для персональных данных в ИСПДнадминистрации Костромской области являются:

1)           угрозыутечки информации по техническим каналам:

угрозы утечкиакустической (речевой) информации;

угрозы утечки видовойинформации;

угрозы утечкиинформации по каналам побочного электромагнитного излучения и наводки;

2)           угрозынесанкционированного доступа (далее – НСД)
к информации:

угрозы уничтожения,хищения аппаратных средств ИСПДн носителей информациипутем физического доступа к элементам ИСПДн:

кража персональной электронно-вычислительноймашины (далее – ПЭВМ);

кража носителейинформации;

кража ключей доступа;

кража, модификация,уничтожение информации;

вывод из строя узловПЭВМ, каналов связи;

несанкционированноеотключение СЗИ;

угрозы хищения,несанкционированной модификации
или блокирования информации за счет НСД с применением программно-аппаратных ипрограммных средств (в том числе программно-математических воздействий):

действия вредоносныхпрограмм (вирусов);

установка ПО, не связанного с исполнением служебных обязанностей;

угрозынепреднамеренных действий пользователей
и нарушений безопасности функционирования ИСПДн исистемы защиты персональных данных в ее составе из-за сбоев в ПО, а также отугроз неантропогенного (сбоев аппаратуры из-заненадежности элементов, сбоев электропитания) и стихийного характера (ударовмолний, пожаров, наводнений):

утрата ключей иатрибутов доступа;

непреднамереннаямодификация (уничтожение) информации сотрудниками;

непреднамеренноеотключение СЗИ;

выход из строяаппаратно-программных средств;

сбой системыэлектроснабжения;

стихийное бедствие;

угрозы преднамеренныхдействий внутренних нарушителей:

доступ к информации,модификация, уничтожение лицами,
не допущенных к ее обработке;

разглашение информации,модификация, уничтожение сотрудниками, допущенными к ее обработке;

угрозы НСД по каналамсвязи:

угроза «Анализ сетевоготрафика» с перехватом передаваемой из ИСПДн ипринимаемой из внешних сетей информации:

перехват за переделамис контролируемой зоны;

перехват в пределах контролируемойзоны внешними нарушителями;

перехват в пределахконтролируемой зоны внутренними нарушителями;

угрозы сканирования,направленные на выявление типа или типов используемых операционных систем,сетевых адресов рабочих станций ИСПДн, топологии сети,открытых портов и служб, открытых соединений и др.;

угрозы выявленияпаролей по сети;

угрозы навязываниеложного маршрута сети;

угрозы подменыдоверенного объекта в сети;

угрозы внедренияложного объекта как в ИСПДн,
так и во внешних сетях;

угрозы типа «Отказ вобслуживании»;

угрозы удаленногозапуска приложений;

угрозы внедрения посети вредоносных программ.

28.  Основныецеленаправленные действия с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых СКЗИ персональныхданных в ИСПДн администрации Костромской области илисоздания условий для этого (далее – атака), при создании способов, подготовке ипроведении которых используются возможности из числа следующих:

1)       создание способов,подготовка и проведение атак
без привлечения специалистов в области разработки и анализа СКЗИ;

2)       создание способов,подготовка и проведение атак на различных этапах жизненного цикла СКЗИ;

3)       проведение атаки,находясь вне контролируемой зоны;

4)       проведение на этапахразработки (модернизации), производства, хранения, транспортировки СКЗИ и этапеввода в эксплуатацию СКЗИ (пусконаладочные работы) следующих атак:

внесениенесанкционированных изменений в СКЗИ и (или)
в СФ, которые способны повлиять на выполнение предъявляемых к СКЗИ требований,в том числе с использованием вредоносных программ (вирусов);

внесениенесанкционированных изменений в документацию
на СКЗИ и компоненты СФ;

5)           проведениеатак на этапе эксплуатации СКЗИ на:

персональные данные;

ключевую,аутентифицирующую и парольную информацию СКЗИ;

программные компонентыСКЗИ;

аппаратные компонентыСКЗИ;

программные компонентыСФ, включая ПО BIOS;

аппаратные компонентыСФ;

данные, передаваемые поканалам связи;

иные объекты, которыеустановлены при формировании совокупности предложений о возможностях, которыемогут использоваться при создании способов, подготовке и проведении атак
с учетом применяемых в информационной системе информационных технологий,аппаратных средств (далее – АС) и ПО;

6)           получениеиз находящихся в свободном доступе источников (включая сети общего пользованияи (или) сеть «Интернет») информации об ИСПДн, вкоторой используется СКЗИ. При этом может быть получена следующая информация:

общиесведения об ИСПДн, в которой используется СКЗИ(назначение, состав, оператор, объекты, в которых размещены ресурсы ИСПДн);

сведения обинформационных технологиях, базах данных, АС, ПО, используемых в ИСПДн совместно с СКЗИ, за исключением сведений,содержащихся только в конструкторской документации
на информационные технологии, базы данных, АС, ПО,используемые
в ИСПДн совместно с СКЗИ;

содержаниеконструкторской документации на СКЗИ;

содержание находящейсяв свободном доступе документации
на аппаратные и программные компоненты СКЗИ и СФ;

общие сведения озащищаемой информации, используемой
в процессе эксплуатации СКЗИ;

сведения о каналахсвязи, по которым передаются защищаемые СКЗИ персональные данные (далее – каналсвязи);

все возможные данные,передаваемые в открытом виде
по каналам связи, не защищенным от НСД к информации организационными итехническими мерами;

сведения обо всехпроявляющихся в каналах связи,
не защищенных от НСД к информации организационными и техническими мерами,нарушениях правил эксплуатации СКЗИ и СФ;

сведения обо всехпроявляющихся в каналах связи,
не защищенных от НСД к информации организационными и техническими мерами,неисправностях и сбоях аппаратных компонентов СКЗИ и СФ;

сведения, получаемые врезультате анализа любых сигналов
от аппаратных компонентов СКЗИ и СФ;

7)           применение:

находящихся в свободном доступе илииспользуемых
за пределами контролируемой зоны АС и ПО, включая аппаратные
и программные компоненты СКЗИ и СФ;

специально разработанных АС и ПО;

8)           использованиена этапе эксплуатации в качестве среды переноса от субъекта к объекту (отобъекта к субъекту) атаки действий, осуществляемых при подготовке и (или)проведении атаки:

каналов связи, незащищенных от НСД к информации организационными и техническими мерами;

каналов распространениясигналов, сопровождающих функционирование СКЗИ и СФ;

9)           проведениена этапе эксплуатации атаки из сетей общего пользования и (или) сети «Интернет»,если ИСПДн, в которых используются СКЗИ, имеют выходв эти сети;

10)      использованиена этапе эксплуатации находящихся
за пределами контролируемой зоны АС и ПО из состава средств ИСПДн,применяемых на местах эксплуатации СКЗИ (далее – штатные средства);

11)      проведение атаки принахождении в пределах контролируемой зоны;

12)      проведение атак наэтапе эксплуатации СКЗИ на следующие объекты:

документацию на СКЗИ икомпоненты СФ;

помещения, в которых находитсясовокупность программных
и технических элементов систем обработки данных, способных функционироватьсамостоятельно или в составе других систем
(далее – СВТ), на которых реализованы СКЗИ и СФ;

13)      получение в рамкахпредоставленных полномочий, а также
в результате наблюдений следующей информации:

сведений о физическихмерах защиты объектов, в которых размещены ресурсы ИСПДн;

сведений о мерах пообеспечению контролируемой зоны объектов, в которых размещены ресурсы ИСПДн;

сведений о мерах поразграничению доступа в помещения,
в которых находятся СВТ, на которых реализованы СКЗИ и СФ;

14)      использование штатныхсредств, ограниченное мерами, реализованными в ИСПДнкоторой используется СКЗИ,
и направленными на предотвращение и пресечение несанкционированных действий;

15)      физический доступ кСВТ, на которых реализованы СКЗИ и СФ;

16)      возможность располагатьаппаратными компонентами СКЗИ
и СФ, ограниченная мерами, реализованными в ИСПДн, в которой используется СКЗИ, и направленными на предотвращениеи пресечение НСД;

17)      создание способов,подготовка и проведение атак
с привлечением специалистов в области анализа сигналов, сопровождающихфункционирование СКЗИ и СФ, и в области использования для реализации атак НДВприкладного ПО;

18)      проведение лабораторныхисследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами,реализованными
в ИСПДн, в которой используется СКЗИ, и направленными
на предотвращение и пресечение НСД;

19)      проведениеработ по созданию способов и средств атак
в научно-исследовательских центрах, специализирующихся в области разработки ианализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФприкладного ПО, непосредственно использующего вызовы программных функций СКЗИ;

20)      создание способов,подготовка и проведение атак
с привлечением специалистов в области использования для реализации атак НДВсистемного ПО;

21)      возможность располагатьсведениями, содержащимися
в конструкторской документации на аппаратные и программные компоненты СФ;

22)      возможность располагатьвсеми аппаратными компонентами СКЗИ и СФ.

29.  Угрозы, перечисленные впункте 28 Актуальных угроз безопасности ИСПДн АКО,которые могут быть нейтрализованы только с помощью СКЗИ, учитываются приразработке частных моделей угроз безопасности персональных данных всоответствии с разделом 3 Методических рекомендаций ФСБ России по разработкеНПА.

 

Глава 3.              Актуальные угрозы безопасности ИСПДн АКО

 

30.  Актуальными угрозамибезопасности ИСПДн АКО являются угрозы НСД кперсональным данным:

1)       действиявредоносных программ (вирусов);

2)       утратаключей и атрибутов доступа;

3)       перехватпередаваемой из ИСПДн и принимаемой из внешних сетейинформации за переделами контролируемой зоны;

4)       НСДчерез сеть «Интернет»;

5)       НСДчерез локальную вычислительную сеть организации;

6)       утечкаатрибутов доступа;

7)       угрозысканирования, направленные на выявление типа
или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытыхсоединений и др.;

8)       угрозывыявления паролей по сети;

9)       угрозыподмены доверенного объекта в сети;

10)   угрозы внедрения ложного объекта как в ИСПДн,
так и во внешних сетях;

11)   угрозы типа «Отказ в обслуживании»;

12)   угрозы удаленного запуска приложений;

13)   угрозы внедрения по сети вредоносных программ.

31.  Актуальными угрозамибезопасности ИСПДн АКО со СКЗИ являются атаки, присоздании способов, подготовке и проведении которых используются возможности изчисла следующих:

1)           созданиеспособов, подготовка и проведение атак
без привлечения специалистов в области разработки и анализа СКЗИ;

2)           созданиеспособов, подготовка и проведение атак на различных этапах жизненного циклаСКЗИ;

3)           проведениеатаки, находясь вне контролируемой зоны;

4)           проведениена этапах разработки (модернизации), производства, хранения, транспортировкиСКЗИ и этапе ввода в эксплуатацию СКЗИ (пусконаладочные работы) атаки по внесениюнесанкционированных изменений в СКЗИ и (или) в СФ, которые способны повлиять
на выполнение предъявляемых к СКЗИ требований, в том числе
с использованием вредоносных программ (вирусов);

5)           проведениеатак на этапе эксплуатации СКЗИ на:

персональные данные;

ключевую, аутентифицирующую ипарольную информацию СКЗИ;

программные компоненты СКЗИ;

аппаратные компоненты СКЗИ;

программные компоненты СФ,включая ПО BIOS;

аппаратные компоненты СФ;

данные, передаваемые по каналамсвязи;

6)           получениеиз находящихся в свободном доступе источников (включая сети общего пользованияи (или) сеть «Интернет») информации об ИСПДн, вкоторой используется СКЗИ. При этом может быть получена следующая информация:

общие сведения об ИСПДн, в которой используется СКЗИ(назначение, состав, оператор, объекты, в которых размещены ресурсы ИСПДн);

сведения об информационныхтехнологиях, базах данных, АС, ПО, используемых в ИСПДнсовместно с СКЗИ, за исключением сведений, содержащихся только вконструкторской документации
на информационные технологии, базы данных, АС, ПО,используемые
в ИСПДн совместно с СКЗИ;

содержание находящейся всвободном доступе документации
на аппаратные и программные компоненты СКЗИ и СФ;

общие сведения о защищаемойинформации, используемой
в процессе эксплуатации СКЗИ;

сведения о каналах связи;

7)           применениенаходящихся в свободном доступе
или используемых за пределами контролируемой зоны АС и ПО, включая аппаратные ипрограммные компоненты СКЗИ и СФ;

8)           применениеспециально разработанных АС и ПО;

9)           проведениена этапе эксплуатации атаки из сетей общего пользования и (или) сети «Интернет»,если ИСПДн, в которых используются СКЗИ, имеют выходв эти сети;

10)      использованиена этапе эксплуатации находящихся
за пределами контролируемой зоны АС и ПО из составаштатных средств.