Пояснительная записка (ПЗ) (1209928), страница 6
Текст из файла (страница 6)
потребитель действительно передал поставщикусобственную информацию для осуществления её обработки)Тип: Внешний,Потенциал:Базовый (низкий)65Продолжение таблицы Б.1УБИ.019Угрозазаражения DNSкешаУгроза заключается в возможности перенаправления нарушителем сетевоготрафика через собственный сетевой узел путём опосредованного изменениятаблиц соответствия IP- и доменных имён, хранимых в DNS-сервере, за счётгенерации лавины возможных ответов на запрос DNS-сервера легальномупользователю или за счёт эксплуатации уязвимостей DNS-сервера.Данная угроза обусловлена слабостями механизмов проверки подлинностисубъектов сетевого взаимодействия, а также уязвимостями DNS-сервера,позволяющими напрямую заменить DNS-кеш DNS-сервера.Реализация данной угрозы возможна в случае наличия у нарушителя привилегий,достаточных для отправки сетевых запросов к DNS-серверуТип: Внешний,Потенциал:Базовый (низкий)УБИ.017Угрозадоступа/перехвата/измененияHTTP cookiesУгроза заключается в возможности осуществления нарушителемнесанкционированного доступа к защищаемой информации (учётным записямпользователей, сертификатам и т.п.), содержащейся в cookies-файлах, во время иххранения или передачи, в режиме чтения (раскрытие конфиденциальности) илизаписи (внесение изменений для реализации угрозы подмены доверенногопользователя).Данная угроза обусловлена слабостями мер защиты cookies-файлов: отсутствиемпроверки вводимых данных со стороны сетевой службы, использующей cookiesфайлы, а также отсутствием шифрования при передаче cookies-файлов.Реализация данной угрозы возможна при условиях осуществления нарушителемуспешного несанкционированного доступа к cookies-файлам и отсутствиипроверки целостности их значений со стороны дискредитируемого приложенияТип: Внешний,Потенциал:Базовый (низкий)66Продолжение таблицы Б.1УБИ.015Угроза доступа кзащищаемымфайлам сиспользованиемобходного путиУБИ.156Угроза утратыносителейинформацииУБИ.161Угрозачрезмерногоиспользованиявычислительныхресурсовсуперкомпьютера в ходеинтенсивногообменамежпроцессорными сообщениямиУгроза заключается в возможности получения нарушителем доступа кскрытым/защищаемым каталогам или файлам посредством различныхвоздействий на файловую систему (добавление дополнительных символов вуказании пути к файлу; обращение к файлам, которые явно не указаны в окнеприложения).Данная угроза обусловлена слабостями механизма разграничения доступа кобъектам файловой системы.Реализация данной угрозы возможна при условиях:наличие у нарушителя прав доступа к некоторым объектам файловой системы;отсутствие проверки вводимых пользователем данных;наличие у дискредитируемой программы слишком высоких привилегий доступа кфайлам, обработка которых не предполагается с её помощьюУгроза заключается в возможности раскрытия информации, хранящейся наутерянном носителе (в случае отсутствия шифрования данных), или её потери (вслучае отсутствия резервной копий данных).Данная угроза обусловлена слабостями мер регистрации и учёта носителейинформации, а также мер резервирования защищаемых данных.Реализация данной угрозы возможна вследствие халатности сотрудниковУгроза заключается в возможности возникновения ситуации типа «отказ вобслуживании» со стороны вычислительного поля суперкомпьютера.Данная угроза обусловлена слабостями мер контроля за распределениемвычислительных ресурсов суперкомпьютера при обработке задачи несколькимипроцессорамиРеализация данной угрозы возможна при условии выполнения суперкомпьютеромспецифичных вычислительных задач, в ходе которых генерируютсямежпроцессорные сообщения с большой интенсивностьюТип: Внешний,Потенциал:Базовый (низкий)Тип: Внутренний,Потенциал:Базовый (низкий)Тип: Внутренний,Потенциал:Базовый (низкий)Тип: Внутренний,Потенциал:Базовый (низкий)67Продолжение таблицы Б.1УБИ.167Угрозазаражениякомпьютера припосещениинеблагонадёжных сайтовУБИ.177Угрозанеподтверждённого вводаданныхоператором всистему,связанную сбезопасностьюУгроза заключается в возможности нарушения безопасности защищаемойинформации вредоносными программами, скрытно устанавливаемыми припосещении пользователями системы с рабочих мест (намеренно или прислучайном перенаправлении) сайтов с неблагонадёжным содержимым изапускаемыми с привилегиями дискредитированных пользователей.Данная угроза обусловлена слабостями механизмов фильтрации сетевого трафикаи антивирусного контроля на уровне организации.Реализация данной угрозы возможна при условии посещения пользователямисистемы с рабочих мест сайтов с неблагонадёжным содержимымУгроза заключается в возможности возникновения ошибок в работе системывследствие отсутствия (или игнорирования) процедуры обнаружения иисправления ошибок в данных, вводимых во время работы самим оператором, доактивизации управляемого оборудования.
Кроме того, к реализации даннойугрозы могут привести некорректно реализованные (или отсутствующие)средства реагирования на неправильные, самопроизвольные действия оператора,средства учёта нижних/верхних пределов скорости и направления реакцииоператора, схемы реагирования на двойное нажатие клавиш при вводе обычных икритических данных, процедуры формирования временных пауз с возможностьювыбора разных ответов (да/нет и т.п.).Реализуемость данной угрозы зависит от требований, предъявляемых кпроцедурам обнаружения и исправления ошибок во вводимых данных в систему,связанную с безопасностью, а также разницей между этими требованиями ифактическим уровнем обнаружения и исправления ошибокТип: Внутренний,Потенциал:Базовый (низкий)Тип: Внутренний,Потенциал:Базовый (низкий)68Окончание таблицы Б.1УБИ.180Угроза отказаподсистемыобеспечениятемпературногорежимаУгроза заключается в возможности повреждения части компонентов системы илисистемы в целом вследствие выхода температурного режима их работы иззаданных требований из-за возникновения отказа входящих в неё подсистемвентиляции и температурных приборов.Реализация данной угрозы возможна как вследствие естественных техногенныхпричин, так и путём проведения определённых мероприятий нарушителем,направленных на удалённое отключение/вывод из строя компонентов подсистемыобеспечения температурного режимаТип: Внешний,Потенциал:Базовыйповышенный(средний)Тип: Внутренний,Потенциал:Базовый (низкий)69Приложение ВСертификат ФСТЭК России № 2707 (выдан 7 сентября 2012гдействителен до 7 сентября 2018г.) представлен на рисунке 3.1.Рисунок 3.1 – сертификат ФСТЭК России № 270770СертификатФСТЭКРоссии№3128(Выдан:Приложение Г17 апреля 2014Действителен до 17 апреля 2017) представлен на рисунке 3.2.Рисунок 3.2 – сертификат ФСТЭК России № 312871Приложение ДСертификат ФСТЭК России № 3008 (Выдан: 1 ноября 2013 Действителендо 1 ноября 2016) представлен на рисунке 3.3.Рисунок 3.3 – сертификат ФСТЭК России № 300872СертификатФСТЭКРоссии№1967(Выдан:7Приложение Едекабря 2009Действителен до: 7 декабря 2018) представлен на рисунке 3.4.Рисунок 3.4 – сертификат ФСТЭК России № 196773.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
