Методика оценки угроз безопасности информации (Утверждена ФСТЭК России 5 февраля 2021 г.) - Приложение 9
Приложение 9 к Методике оценки угроз безопасности информации
Примеры результата определения актуальных нарушителей при реализации угроз безопасности информации и
соответствующие им возможности
(для государственной информационной системы)
Таблица 9.1
|
№ п/п |
Виды риска (ущерба) и возможные негативные последствия* |
Виды актуального нарушителя** |
Категория нарушителя |
Уровень возможностей нарушителя |
|
1 |
У1: нарушение конфиденциальности персональных данных граждан; нарушение личной, семейной тайны, утрата чести и доброго имени; финансовый, иной материальный ущерб физических лиц |
Преступные группы (криминальные структуры) |
Внешний
Внутренний*** |
Н3 |
|
Отдельные физические лица (хакеры) |
Внешний |
Н2 |
||
|
Разработчики программных, программно- аппаратных средств |
Внутренний |
Н3 |
||
|
Системные администраторы и администраторы безопасности |
Внутренний |
Н2 |
||
|
Авторизованные пользователи систем и сетей |
Внутренний |
Н2 |
||
|
2 |
У2: невозможность заключения договоров, соглашений; утечка коммерческой тайны; потеря клиентов; нарушение деловой репутации; недополучение ожидаемой прибыли |
Преступные группы (криминальные структуры) |
Внешний |
Н3 |
|
Отдельные физические лица (хакеры) |
Внутренний |
Н2 |
||
|
Разработчики программных, программно- аппаратных средств |
Внутренний |
Н3 |
||
|
Системные администраторы и администраторы безопасности |
Внутренний |
Н2 |
||
|
3
|
У3: нарушение функционирования государственного органа, дискредитация деятельности органа государственной власти; доступ к системам и сетям с целью незаконного использования вычислительных мощностей; утечка информации ограниченного доступа; организация митингов, забастовок из-за публикаций недостоверной информации; отсутствие доступа к социально значимым государственным услугам |
Специальные службы иностранных государств |
Внешний
Внутренний*** |
Н4 |
|
Террористические, экстремистские организации |
Внешний |
Н3 |
||
|
Преступные группы (криминальные структуры) |
Внешний
Внутренний*** |
Н3 |
||
|
Разработчики программных, программно- аппаратных средств |
Внутренний |
Н3 |
||
|
Системные администраторы и администраторы безопасности |
Внутренний |
Н3 |
||
|
Авторизованные пользователи систем и сетей |
Внутренний |
Н1 |
||
|
Бывшие (уволенные) работники (пользователи) |
Внутренний |
Н1 |
* - примеры возможных целей реализации угроз безопасности информации с учетом области деятельности, в которой функционируют системы и сети, определенные с учетом приложений 4 и 5 к настоящейМетодике.
**- примеры видов актуальных нарушителей, определенные с учетом приложений 6 и 7 к настоящей Методике.
***- при сговоре преступной группировки (криминальной структуры) с системными администраторами и администраторами безопасности, определенном в приложении 7 к настоящей Методике.