Методика оценки угроз безопасности информации (Утверждена ФСТЭК России 5 февраля 2021 г.) - Приложение 5
Приложение 5 к Методике оценки угроз безопасности информации
Примеры определения объектов воздействия и видов воздействия на них
Таблица 5.1
|
Негативные последствия |
Объекты воздействия |
Виды воздействия |
|
|
Разглашение персональных данных граждан (У1) |
База данных информационной системы, содержащая идентификационную информацию граждан |
Утечка идентификационной информации граждан из базы данных |
|
|
Удаленное автоматизированное рабочее место (АРМ) пользователя |
Утечка идентификационной информации граждан с АРМ пользователя |
||
|
Линия связи между сервером основного центра обработки данных и сервером резервного центра обработки данных |
Перехват информации, содержащей идентификационную информацию граждан, передаваемой по линиям связи |
||
|
Веб-приложение информационной системы, обрабатывающей идентификационную информацию граждан |
Несанкционированный доступ к идентификационной информации граждан, содержащейся в веб-приложении информационной системы |
||
|
Хищение денежных средств со счета организации (У2) |
Банк-клиент |
Несанкционированная подмена данных, содержащихся в реквизитах платежного поручения |
|
|
АРМ финансового директора |
Несанкционированная модификация информации в платежных распоряжениях и отправка недостоверных распоряжений от имени финансового директора |
||
|
Электронный почтовый ящик финансового директора |
Модификация информации в платежных распоряжениях и отправка недостоверных распоряжений от имени финансового директора |
||
|
АРМ главного бухгалтера |
Подмена данных, содержащих реквизиты платежных поручений и другой платежной информации на АРМ главного бухгалтера |
||
|
Срыв запланированной сделки с партнером (У2) |
АРМ руководителя организации |
Модификация информации и отправка электронных писем с недостоверной информацией от имени руководителя организации |
|
|
Электронный почтовый ящик руководителя организации |
Модификация информации и отправка электронных писем с недостоверной информацией от имени руководителя организации |
||
|
Загрязнения окружающей среды и водоемов в результате разлива нефти из нефтепровода (У3) |
Коммутационный контроллер для управления аварийными задвижками в нефтепроводе |
|
Несанкционированная модификация (изменение) логики работы или уставок коммутационного контроллера, которая приводит к открытию (или не закрытию) аварийной задвижки при нарушении герметичности нефтепровода |
|
Программируемый логический контроллер (ПЛК) для управления насосными станциями |
Несанкционированная модификация (изменение) логики работы или уставок ПЛК, которая приводит к включению (или не отключению) насосной станции при закрытой аварийной задвижке внефтепроводе |
||
|
АРМ оператора |
Несанкционированная отправка команд, приводящая к несрабатыванию средств аварийной защиты и (или) к изменению логики ПЛК |
||
|
Непредоставление государственных услуг (У3) |
Веб-приложение портала государственных услуг |
Отказ в обслуживании веб-приложения |
|
|
Система управления содержимым веб- приложения (сайта) портала государственныхуслуг |
Подмена информации на страницах портала на недостоверную |
||
|
Сервер балансировки нагрузки на веб- приложение (сайт) портала государственныхуслуг |
Отказ в обслуживании веб-приложения |
||
|
Сервер веб-приложения (сайта) портала государственныхуслуг |
Отказ в обслуживании веб-приложения |
||
|
Сервер баз данных портала государственныхуслуг |
Отказ в обслуживании сервера управления базами данных |
||
|
Подмена информации в базах данных на недостоверную |
|||
|
Утечка персональных данных граждан |
|||