Действующий
1.7. при направлении запроса на выдачу квалифицированного сертификата, при выдаче квалифицированного сертификата и при получении подтверждения ознакомления физическим лицом с информацией, содержащейся в выданном квалифицированном сертификате, - угроза нарушения доступности сервисов удостоверяющего центра, единой биометрической системы, единой системы идентификации и аутентификации.
2. Угрозы безопасности, актуальные при хранении ключа электронной подписи в аккредитованном удостоверяющем центре:
2.1. угрозы нарушения целостности (подмены, удаления) и конфиденциальности ключа электронной подписи, в том числе путем реализации целенаправленных действий с использованием следующих возможностей:
2.1.1. проведение целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемой информации или с целью создания условий для этого (далее - атака) извне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (далее - контролируемая зона);
2.1.2. проведение на этапах разработки (модернизации), производства, хранения, транспортировки средств электронной подписи (далее - средства ЭП), используемых для хранения ключа электронной подписи и этапе ввода в эксплуатацию средств ЭП (пусконаладочные работы) атаки путем внесения несанкционированных изменений в средства ЭП и (или) в компоненты аппаратных и программных средств, совместно с которыми функционируют средства ЭП и в совокупности представляющие среду функционирования средства ЭП (далее - СФ), которые способны повлиять на выполнение предъявляемых к средствам ЭП требований, в том числе с использованием вредоносных программ;
г) аппаратные средства, входящие в СФ, включая микросхемы с записанным микрокодом BIOS, осуществляющей инициализацию этих средств (далее - аппаратные компоненты СФ);
е) помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее - СВТ), на которых реализованы средства ЭП и СФ;
2.1.4. получение из находящихся в свободном доступе источников (включая информационно-телекоммуникационные сети, доступ к которым не ограничен определенным кругом лиц, в том числе информационно-телекоммуникационную сеть "Интернет") информации об удостоверяющем центре, использующем средство ЭП:
а) общих сведений об удостоверяющем центре, использующем средство ЭП (состав, оператор, объекты, в которых размещены ресурсы удостоверяющего центра);
б) сведений об информационных технологиях, базах данных, автоматизированных системах, программном обеспечении, используемых удостоверяющим центром совместно со средством ЭП;
г) сведений о мерах по обеспечению контролируемой зоны объектов удостоверяющего центра, в котором используется средство ЭП;
д) сведений о мерах по разграничению доступа в помещения, в которых находятся СВТ, на которых реализованы средства ЭП и СФ;
з) всех возможных данных, передаваемых в открытом виде по каналам связи, не защищенным от несанкционированного доступа (далее - НСД) к информации организационно-техническими мерами;
к) сведений обо всех проявляющихся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, нарушениях правил эксплуатации средства ЭП и СФ;
л) сведений обо всех проявляющихся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, неисправностях и сбоях аппаратных компонентов средства ЭП и СФ;
м) сведений, получаемых в результате анализа любых сигналов от аппаратных компонентов средства ЭП и СФ, которые может перехватить нарушитель;
2.1.6. использование на этапе эксплуатации в качестве среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий, осуществляемых при подготовке и (или) проведении атаки каналов распространения сигналов, сопровождающих функционирование средства ЭП и СФ;
2.1.7. проведение атаки из информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц;
2.1.8. использование аппаратных средств и программного обеспечения из состава средств удостоверяющего центра, используемых на местах эксплуатации средства ЭП (далее - штатные средства) и находящихся за пределами контролируемой зоны;
2.1.9. проведение атаки лицом при нахождении как вне пределов, так и в пределах контролируемой зоны;
2.1.10. использование штатных средств, ограниченное мерами, реализованными в удостоверяющем центре, использующем средство ЭП, и направленными на предотвращение и пресечение несанкционированных действий;
2.1.12. создание способов атак, подготовки и проведения атак с привлечением специалистов, имеющих опыт разработки и анализа средств ЭП, включая специалистов в области анализа сигналов, сопровождающих функционирование средства ЭП и СФ;
2.1.13. проведение лабораторных исследований средства ЭП, используемого вне контролируемой зоны, в объеме, зависящем от мер, направленных на предотвращение и пресечение несанкционированных действий, реализованных удостоверяющим центром, использующим средство ЭП;
2.1.14. создание способов атак, подготовки и проведения атак с привлечением специалистов, имеющих опыт разработки и анализа средств ЭП, включая специалистов в области использования для реализации атак возможностей прикладного программного обеспечения, не описанных в документации на прикладное программное обеспечение и имеющих доступ к исходным текстам входящего в СФ прикладного программного обеспечения;
2.1.15. проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа средств ЭП и СФ;
3. Угрозы безопасности, актуальные при использовании ключа электронной подписи в аккредитованном удостоверяющем центре:
3.1.1. угроза нарушения целостности (подмены) поручения, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пунктах 2.1.1-2.1.8 настоящего Перечня;
3.1.2. угроза нарушения конфиденциальности персональных данных, содержащихся в поручении, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 10 приложения к приказу ФСБ России N 378;
3.2.1. угроза нарушения целостности (подмены) ключа электронной подписи, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пунктах 2.1.1-2.1.15 настоящего Перечня;
3.2.3. угроза отказа владельца сертификата ключа проверки электронной подписи от авторства поручения, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте в пунктах 2.1.1-2.1.8 настоящего Перечня;
3.2.4. угроза нарушения конфиденциальности подписываемой информации, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 10 Состава и содержания организационных и технических мер, а также угроза нарушения целостности подписываемой информации при её подписании в аккредитованном удостоверяющем центре, в том числе с использованием возможностей, указанных в пунктах 2.1.1-2.1.15 настоящего Перечня;
3.2.5. угроза нарушения конфиденциальности информации, отображаемой физическому лицу при подписании электронного документа, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пункте 10 Состава и содержания организационных и технических мер, а также угроза нарушения целостности (подмены) информации, отображаемой физическому лицу при подписании электронного документа, в том числе с использованием возможностей, указанных в пунктах 2.1.1-2.1.8 настоящего Перечня;
3.2.6. угроза нарушения целостности (подмены) информации о результате исполнения поручения, а также истории использования ключа электронной подписи в инфраструктуре удостоверяющем центре, в том числе путем реализации целенаправленных действий с использованием возможностей, указанных в пунктах 2.1.1-2.1.15 настоящего Перечня;