Методика оценки угроз безопасности информации (Утверждена ФСТЭК России 5 февраля 2021 г.) - Приложение 7
Приложение 7 к Методике оценки угроз безопасности информации
Пример оценки целей реализации нарушителями угроз безопасности информации в зависимости от возможных негативных последствий и видов ущерба от их реализации
(для государственной информационной системы)
Таблица 7.1
|
Виды нарушителей |
Возможные цели реализации угроз безопасности информации |
Соответствие целей видам риска (ущерба) и возможным негативным последствиям |
||
|
Нанесение ущерба физическому лицу |
Нанесение ущерба юридическомулицу, индивидуальному предпринимателю |
Нанесение ущерба государству в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической, политической, экологической сферах деятельности |
||
|
Специальные службы иностранных государств |
- |
- |
+ (дискредитация или дестабилизация деятельности органа государственной власти*) |
У3** (нарушение функционирования государственного органа, дискредитация деятельности органа государственной власти) |
|
Террористические, экстремистские группировки |
- |
- |
+ (дестабилизация деятельности органов государственной власти, организаций) |
У3 (отсутствие доступа к социально значимым государственным услугам) |
|
Преступные группы (криминальные структуры) |
+ (получение финансовой выгоды за счет кражи и продажи персональных данных граждан) |
+ (получение финансовой выгоды за счет использования вычислительных мощностей серверов государственной информационной системы для майнинга криптовалюты) |
+ (желание самореализоваться) |
У1 (нарушение конфиденциальности персональных данных граждан) У2 (нарушение деловой репутации) У3 (организация митингов, забастовок из-за публикаций недостоверной информации) |
|
Отдельные физические лица (хакеры) |
+ (желание самореализоваться) |
+ (получение финансовой выгоды за счет кражи и коммерческой тайны) |
- |
У1 (нарушение личной, семейной тайны, утрата чести и доброго имени) У2 (утечка коммерческой тайны; потеря клиентов) |
|
Конкурирующие организации |
- |
- |
- |
- |
|
Разработчики программных, программно- аппаратных средств |
- |
+ (передача информации о юридическом лице третьим лицам) |
+ (внедрение дополнительных функциональных возможностей в программные или программно- аппаратные средства на этапе разработки при вступлении в сговор со специальными службами иностранных государств) |
У2 (недополучение ожидаемой прибыли) У3 (нарушение функционирования государственного органа, дискредитация деятельности органа государственной власти) |
|
Лица, обеспечивающие поставку программных, программно-аппаратных средств, обеспечивающих систем |
- |
- |
- |
- |
|
Поставщики вычислительных услуг, услуг связи |
- |
- |
- |
- |
|
Лица, привлекаемые для установки, настройки,испытаний, пусконаладочных и иных видов работ |
- |
- |
- |
- |
|
Лица, обеспечивающие функционирование систем и сетей или обеспечивающие системы оператора (администрация,охрана, уборщики и т.д.) |
- |
- |
- |
- |
|
Авторизованные пользователи систем и сетей |
+ (непреднамеренные, неосторожные или неквалифицированные действия) |
- |
- |
У1 (финансовый, иной материальный ущерб физическим лицам) |
|
Системные администраторы и администраторы безопасности |
+ (месть за ранее совершенные действия) |
+ (любопытство или желание самореализации) |
+ (получение финансовой илииной материальной выгоды при вступлении в сговор с преступнойгруппой) |
У1 (финансовый, иной материальный ущерб физическим лицам) У2 (невозможность заключения договоров, соглашений) У3 (утечка информации ограниченного доступа) |
* - примеры возможных целей реализации угроз безопасности информации с учетом области деятельности, в которой функционируют системы и сети, определенные в соответствии с приложением 6 к настоящей Методике.
**-примеры сопоставления возможных целей реализации угроз безопасности информации с видами ущерба (риска) и возможными негативными последствиями о реализации угроз, определенные в соответствии с приложением 5 к настоящейМетодике.