Приложение 1. РЕКОМЕНДУЕМЫЙ ПЕРЕЧЕНЬ КЛАССОВ, ОСНОВНЫХ ИСТОЧНИКОВ УГРОЗ ИБ И ИХ ОПИСАНИЕ
Приложение 1 
РЕКОМЕНДУЕМЫЙ ПЕРЕЧЕНЬ
КЛАССОВ, ОСНОВНЫХ ИСТОЧНИКОВ УГРОЗ ИБ И ИХ ОПИСАНИЕ
┌───────────────────────┬─────────────────────────────────────────────────┐ │ Источник угрозы ИБ │ Описание │ ├───────────────────────┴─────────────────────────────────────────────────┤ │ Класс 1. Источники угроз ИБ, связанные с неблагоприятными событиями │ │ природного, техногенного и социального характера │ ├───────────────────────┬─────────────────────────────────────────────────┤ │Пожар │Неконтролируемый процесс горения, │ │ │сопровождающийся уничтожением материальных │ │ │ценностей и создающий опасность для жизни людей. │ │ │Возможные причины: поджог, самовозгорание, │ │ │природное явление │ ├───────────────────────┼─────────────────────────────────────────────────┤ │Природные катастрофы, │Природные явления разрушительного характера │ │чрезвычайные ситуации │(наводнения, землетрясения, извержения вулканов, │ │и стихийные бедствия │ураганы, смерчи, тайфуны, цунами и т.д.) │ ├───────────────────────┼─────────────────────────────────────────────────┤ │Техногенные │Разрушительный процесс, развивающийся в │ │катастрофы │результате нарушения нормального взаимодействия │ │ │технологических объектов между собой или с │ │ │компонентами окружающей природной среды, │ │ │приводящий к гибели людей, разрушению и │ │ │повреждению объектов экономики и компонентов │ │ │окружающей природной среды │ ├───────────────────────┼─────────────────────────────────────────────────┤ │Нарушение │Негативное изменение климатических условий в │ │внутриклиматических │помещениях, где расположены технические средства │ │условий │и/или находится персонал: значительные изменения │ │ │температуры и влажности, повышение содержания │ │ │углекислого газа, пыли и т.п. Возможные │ │ │последствия: сбои, отказы и аварии технических │ │ │средств, снижение работоспособности и нанесение │ │ │ущерба здоровью персонала, нарушение │ │ │непрерывности выполнения процессов, снижение │ │ │качества информационных услуг (сервисов) │ ├───────────────────────┼─────────────────────────────────────────────────┤ │Нарушение │Нарушение или снижение качества электропитания. │ │электропитания │Возможные причины: техногенная катастрофа, │ │ │стихийное бедствие, природное явление, │ │ │террористический акт, пожар и т.п. Возможные │ │ │последствия: сбои и отказы технических средств │ ├───────────────────────┼─────────────────────────────────────────────────┤ │Нарушение │Сбои и аварии в системах водоснабжения, │ │функционирования │канализации, отопления │ │систем │ │ │жизнеобеспечения │ │ ├───────────────────────┼─────────────────────────────────────────────────┤ │Угроза здоровью │Угроза здоровью персонала в результате │ │персонала │радиационных, биологических, механических, │ │ │термических, химических и иных воздействий со │ │ │стороны окружающей среды, объектов инженерной │ │ │инфраструктуры, технических средств, пищевые │ │ │отравления, производственный травматизм. │ │ │Возможные причины: техногенные или природные │ │ │катастрофы, аварии объектов инженерной │ │ │инфраструктуры, неисправность оборудования, │ │ │несоблюдение правил техники безопасности и охраны│ │ │труда, санитарных правил и т.д. Возможные │ │ │последствия: нехватка персонала, денежные │ │ │выплаты, судебные разбирательства │ ├───────────────────────┴─────────────────────────────────────────────────┤ │Класс 2. Источники угроз ИБ, связанные с деятельностью террористов и лиц,│ │ совершающих преступления и правонарушения │ ├───────────────────────┬─────────────────────────────────────────────────┤ │Нарушения │Уничтожение или повреждение имущества организации│ │общественного │БС РФ │ │порядка, вандализм, │ │ │массовые беспорядки, │ │ │политическая │ │ │нестабильность │ │ ├───────────────────────┼─────────────────────────────────────────────────┤ │Террористические │Совершение взрыва, поджога или иных действий, │ │действия │устрашающих население и создающих опасность │ │ │гибели людей, причинения значительного │ │ │имущественного ущерба либо наступления иных │ │ │тяжких последствий, в целях воздействия на │ │ │принятие решения организацией БС РФ, а также │ │ │угроза совершения указанных действий в тех же │ │ │целях │ ├───────────────────────┼─────────────────────────────────────────────────┤ │Промышленный шпионаж │Передача, собирание, похищение или хранение │ │ │информационных активов организации БС РФ для │ │ │использования их в ущерб организации БС РФ │ ├───────────────────────┼─────────────────────────────────────────────────┤ │Запугивание и шантаж │Принуждение персонала организации БС РФ к │ │ │осуществлению несанкционированных действий, │ │ │заключающееся в угрозе разоблачения, физической │ │ │расправы или расправы с близкими │ ├───────────────────────┼─────────────────────────────────────────────────┤ │Социальный инжиниринг │Умышленные действия сторонних лиц, преследующих │ │ │мошеннические цели, реализуемые посредством │ │ │обмана, введения в заблуждение работников │ │ │организации БС РФ. Возможные последствия: ошибки │ │ │работников, нарушение свойств, утрата │ │ │информационных активов, нарушение непрерывности │ │ │процессов, снижение качества информационных услуг│ │ │(сервисов) │ ├───────────────────────┴─────────────────────────────────────────────────┤ │ Класс 3. Источники угроз ИБ, связанные с деятельностью │ │ поставщиков/провайдеров/партнеров │ ├───────────────────────┬─────────────────────────────────────────────────┤ │Зависимость от │Зависимость от партнеров заставляет организацию │ │партнеров/клиентов │полагаться на их информационную безопасность, │ │ │организация должна быть уверена, что партнер │ │ │сможет обеспечить должный уровень безопасности │ │ │либо учитывать данный источник угроз │ ├───────────────────────┼─────────────────────────────────────────────────┤ │Ошибки, допущенные │Неточности и неопределенности в договоре с │ │при заключении │провайдером внешних услуг, которые могут │ │контрактов с │создавать проблемы в работе заказчика │ │провайдерами внешних │ │ │услуг │ │ ├───────────────────────┼─────────────────────────────────────────────────┤ │Нарушения договорных │Невыполнение со стороны третьих лиц взятых на │ │обязательств │себя обязательств по качеству, составу, │ │сторонними (третьими) │содержанию и/или порядку оказания услуг, поставки│ │лицами │продукции и т.д. Например, невыполнение │ │ │требований разработчиками, поставщиками │ │ │программно-технических средств и услуг или │ │ │внешними пользователями │ ├───────────────────────┼─────────────────────────────────────────────────┤ │Ошибки в обеспечении │Ошибки в обеспечении безопасности при разработке,│ │безопасности │эксплуатации, сопровождении и выводе из │ │информационных систем │эксплуатации информационных систем │ │на стадиях жизненного │ │ │цикла │ │ ├───────────────────────┼─────────────────────────────────────────────────┤ │Разработка и │Некачественное выполнение документированного │ │использование │описания технологических процессов обработки, │ │некачественной │хранения, передачи данных, руководств для │ │документации │персонала, участвующего в этих технологических │ │ │процессах, а также описания средств обеспечения │ │ │ИБ и руководств по их использованию │ ├───────────────────────┼─────────────────────────────────────────────────┤ │Использование │Использование в информационной системе │ │программных средств и │организации непроверенных данных или │ │информации без │нелицензионного программного обеспечения │ │гарантии источника │ │ ├───────────────────────┴─────────────────────────────────────────────────┤ │ Класс 4. Источники угроз ИБ, связанные со сбоями, отказами, │ │ разрушениями/повреждениями программных и технических средств │ ├───────────────────────┬─────────────────────────────────────────────────┤ │Превышение допустимой │Неумышленное превышение допустимой нагрузки на │ │нагрузки │вычислительные, сетевые ресурсы системы. │ │ │Выполнение работниками объема операций большего, │ │ │чем это допускается психофизиологическими │ │ │нормами. Возможные причины: малая вычислительная │ │ │и/или пропускная мощность, неправильная │ │ │организация бизнес-процессов. Возможные │ │ │последствия: сбои и отказы технических средств, │ │ │нарушение доступности технических средств, ошибки│ │ │персонала, нанесение вреда здоровью │ ├───────────────────────┼─────────────────────────────────────────────────┤ │Разрушение/повреждение,│Физическое разрушение/повреждение технических │ │аварии технических │средств (канала связи) или определенное сочетание│ │средств и каналов связи│отказов его элементов, приводящее к нарушениям │ │ │функционирования, сопряженным с особо │ │ │значительными техническими потерями, делающее │ │ │невозможным функционирование технического │ │ │средства (канала связи) в целом в течение │ │ │значительного периода времени. Возможные причины:│ │ │действие внешних (физический несанкционированный │ │ │доступ, террористический акт, техногенная │ │ │катастрофа, стихийное бедствие, природное │ │ │явление, массовые беспорядки) и/или внутренних │ │ │(значительные отказы элементов технических │ │ │средств) факторов. Возможные последствия: │ │ │нарушение свойств информационных активов, их │ │ │утрата, нарушение непрерывности выполнения │ │ │процессов, снижение качества информационных услуг│ │ │(сервисов) │ ├───────────────────────┼─────────────────────────────────────────────────┤ │Сбои и отказы │Нарушение работоспособности программных средств. │ │программных средств │Возможные причины: недопустимое изменение │ │ │параметров или свойств программных средств под │ │ │влиянием внутренних процессов (ошибок) и/или │ │ │внешних воздействий со стороны вредоносных │ │ │программ, оператора и технических средств. │ │ │Возможные последствия: нарушение свойств │ │ │информационных активов, нарушение непрерывности │ │ │выполнения процессов, снижение качества │ │ │информационных услуг (сервисов) │ ├───────────────────────┼─────────────────────────────────────────────────┤ │Сбои и отказы │Прерывание работоспособности технических средств │ │технических средств и │или невозможность выполнения ими своих функций в │ │каналов связи │заранее установленных границах. Возможные │ │ │причины: недопустимое изменение характеристик │ │ │технических средств под влиянием внутренних │ │ │процессов, сложность технических средств, │ │ │нехватка персонала, недостаточное техническое │ │ │обслуживание. Возможные последствия: сбои, отказы│ │ │программных средств, аварии систем, нарушение │ │ │доступности информационных активов, нарушение │ │ │непрерывности выполнения процессов, снижение │ │ │качества информационных услуг (сервисов) │ ├───────────────────────┼─────────────────────────────────────────────────┤ │Нарушения │Случайное или намеренное неправильное управление │ │функциональности │криптографическими ключами, криптографическими │ │криптографической │протоколами и алгоритмами, программно-аппаратными│ │системы │средствами систем криптографической защиты │ │ │информации, приводящее к потере │ │ │конфиденциальности, целостности и доступности │ │ │информации, нарушению неотказуемости приема- │ │ │передачи информации, блокировке функционирования │ │ │платежных и информационных систем организации БС │ │ │РФ │ ├───────────────────────┼─────────────────────────────────────────────────┤ │Нарушения │Нарушение конфиденциальности и целостности │ │функциональности │архивных данных и/или непредоставление услуг │ │архивной системы │архивной системой (нарушение доступности) │ │ │вследствие случайных ошибок пользователей или │ │ │неправильного управления архивной системой, а │ │ │также вследствие физических воздействий на │ │ │компоненты архивной системы │ ├───────────────────────┴─────────────────────────────────────────────────┤ │ Класс 5. Источники угроз ИБ, связанные с деятельностью внутренних │ │ нарушителей ИБ │ ├───────────────────────┬─────────────────────────────────────────────────┤ │Недобросовестное │Сознательное неисполнение работниками │ │исполнение │определенных обязанностей или небрежное их │ │обязанностей │исполнение │ ├───────────────────────┼─────────────────────────────────────────────────┤ │Халатность │Неисполнение или ненадлежащее исполнение │ │ │должностным лицом своих обязанностей вследствие │ │ │недобросовестного или небрежного отношения к │ │ │службе │ ├───────────────────────┼─────────────────────────────────────────────────┤ │Причинение │Умышленное нанесение персоналом вреда │ │имущественного ущерба │информационным активам. В первую очередь │ │ │вредительство может быть направлено на │ │ │технические и программные средства, а также на │ │ │информационные активы. Возможные последствия: │ │ │ущерб, вызванный нарушением свойств активов, │ │ │включая их разрушение и уничтожение │ ├───────────────────────┼─────────────────────────────────────────────────┤ │Ошибка персонала │Любые не соответствующие установленному │ │ │регламенту или сложившимся практикам действия │ │ │персонала, совершаемые без злого умысла. │ │ │Возможные причины: недостаточно четко │ │ │определенные обязанности, халатность, │ │ │недостаточное обучение или квалификация │ │ │персонала. Возникновению ошибок способствуют │ │ │отсутствие дисциплинарного процесса и │ │ │документирования процессов, предоставление │ │ │избыточных полномочий, умышленное использование │ │ │методов социального инжиниринга по отношению к │ │ │персоналу. Возможные последствия: нарушение │ │ │конфиденциальности и целостности информации, │ │ │утрата информационных активов, нарушение │ │ │непрерывности выполнения процессов, снижение │ │ │качества информационных услуг (сервисов), сбои и │ │ │отказы технических и программных средств │ ├───────────────────────┼─────────────────────────────────────────────────┤ │Хищение │Совершенное с корыстной целью противоправное │ │ │безвозмездное изъятие и/или обращение имущества │ │ │организации БС РФ, причинившие ущерб собственнику│ │ │или иному владельцу этого имущества │ ├───────────────────────┼─────────────────────────────────────────────────┤ │Выполнение │Внедрение в систему и выполнение вредоносных │ │вредоносных программ │программ: программных закладок, "троянских │ │ │коней", программных "вирусов" и "червей" и т.п. │ │ │Возможные причины: беспечность, халатность, │ │ │низкая квалификация персонала (пользователей), │ │ │наличие уязвимостей используемых программных │ │ │средств. Возможные последствия: │ │ │несанкционированный доступ к информационным │ │ │активам, нарушение их свойств, сбои, отказы и │ │ │уничтожение программных средств, нарушение │ │ │непрерывности выполнения процессов, снижение │ │ │качества информационных услуг (сервисов) │ ├───────────────────────┼─────────────────────────────────────────────────┤ │Использование │Умышленное использование информационных активов │ │информационных │организации в целях, отличных от целей │ │активов не по │организации. Возможные причины: отсутствие │ │назначению │контроля персонала. Возможные последствия: │ │ │нехватка вычислительных, сетевых или людских │ │ │ресурсов, прямой ущерб организации │ ├───────────────────────┼─────────────────────────────────────────────────┤ │Нарушения персоналом │Несоблюдение персоналом требований внутренних │ │организационных мер │документов, регламентирующих деятельность по ИБ │ │по обеспечению ИБ │ │ ├───────────────────────┼─────────────────────────────────────────────────┤ │Ошибки кадровой │Ошибки кадровой работы заключаются в приеме на │ │работы │работу неквалифицированных сотрудников, │ │ │увольнении/перемещении сотрудников без проведения│ │ │сопутствующих процедур по обеспечению ИБ, │ │ │непроведении или нерегулярном проведении │ │ │тренингов и проверок персонала │ ├───────────────────────┴─────────────────────────────────────────────────┤ │ Класс 6. Источники угроз ИБ, связанные с деятельностью внешних │ │ нарушителей ИБ │ ├───────────────────────┬─────────────────────────────────────────────────┤ │Действия │Умышленные действия со стороны субъекта из │ │неавторизованного │внешней по отношению к области обеспечения ИБ │ │субъекта │среды. Возможные последствия: разрушение и │ │ │уничтожение технических и программных средств, │ │ │внедрение и выполнение вредоносных программ, │ │ │нарушение свойств, утрата информационных активов │ │ │и сервисов │ ├───────────────────────┼─────────────────────────────────────────────────┤ │Ложное сообщение об │Ложное сообщение об угрозе, такой как: пожар, │ │угрозе │террористический акт, техногенная катастрофа, │ │ │гражданские беспорядки и т.д. Возможные │ │ │последствия: нарушение свойств информационных │ │ │активов, их утрата, нарушение непрерывности │ │ │выполнения процессов, снижение качества │ │ │информационных услуг (сервисов) │ ├───────────────────────┼─────────────────────────────────────────────────┤ │Неконтролируемое │Неумышленное уничтожение информационных активов. │ │уничтожение │Возможные причины: сбои оборудования, природные │ │информационного актива │факторы и техногенные катастрофы. Возможные │ │ │последствия: прямой ущерб организации │ ├───────────────────────┼─────────────────────────────────────────────────┤ │Неконтролируемая │Неумышленное изменение информационных активов. │ │модификация │Возможные причины: сбои оборудования, природные │ │информационного актива │факторы и техногенные катастрофы. Возможные │ │ │последствия: нарушение непрерывности выполнения │ │ │процессов, прямой ущерб организации │ ├───────────────────────┼─────────────────────────────────────────────────┤ │Несанкционированный │Несанкционированный логический доступ │ │логический доступ │неавторизованных субъектов к компонентам │ │ │подразделения и информационным активам. Возможные│ │ │причины: компрометация пароля, предоставление │ │ │пользователям/администраторам избыточных прав │ │ │доступа, недостатки (отсутствие) механизмов │ │ │аутентификации пользователей и администраторов, │ │ │ошибки администрирования, оставление без │ │ │присмотра программно-технических средств. Одним │ │ │из путей получения несанкционированного доступа к│ │ │системе является умышленное внедрение вредоносных│ │ │программ с целью хищения пароля для входа в │ │ │систему или получения прав доступа. Возможные │ │ │последствия: нарушение свойств информационных │ │ │активов, сбои, отказы и аварии программных и │ │ │технических средств, нарушение непрерывности │ │ │процессов и/или снижение качества информационных │ │ │услуг (сервисов) │ ├───────────────────────┼─────────────────────────────────────────────────┤ │Несанкционированный │Физический несанкционированный доступ │ │физический доступ │неавторизованных лиц в контролируемую зону │ │ │расположения технических средств и/или │ │ │информационных активов. Возможные причины: может │ │ │осуществляться путем обхода средств контроля │ │ │физического доступа или использования │ │ │утраченных/похищенных средств обеспечения │ │ │доступа. Возможные последствия: разрушение и │ │ │уничтожение технических и программных средств, │ │ │нарушение конфиденциальности, целостности, │ │ │доступности информационных активов, нарушение │ │ │непрерывности процессов и/или снижение качества │ │ │информационных услуг (сервисов) │ ├───────────────────────┴─────────────────────────────────────────────────┤ │ Класс 7. Источники угроз ИБ, связанные с несоответствием требованиям │ │ надзорных и регулирующих органов, действующему законодательству │ ├───────────────────────┬─────────────────────────────────────────────────┤ │Несоответствие │Несоответствие деятельности может привести к │ │внутренних документов │административным и уголовным санкциям со стороны │ │действующему │судебных, надзорных и регулирующих органов в │ │законодательству │отношении должностных лиц подразделения, вызвать │ │ │остановку отдельных видов деятельности │ ├───────────────────────┼─────────────────────────────────────────────────┤ │Изменчивость и │Непостоянство, различия и коллизии в содержании │ │несогласованность │требований и/или порядке их выполнения способны │ │требований надзорных │дезорганизовать деятельность подразделения или │ │и регулирующих │его отдельных служб, снизить ее эффективность и │ │органов, вышестоящих │качество, а при определенных обстоятельствах - │ │инстанций │затруднить ее осуществление. Способствует │ │ │"размыванию" или пересечению зон ответственности │ │ │исполнителей и служб, манипуляции со стороны │ │ │ответственных лиц и служб своими правами и │ │ │обязанностями в ущерб общей деятельности. │ │ │Приводит к перераспределению ресурсов в пользу │ │ │той деятельности (зачастую не основной), за │ │ │несоблюдение требований к которой наказание │ │ │наиболее ощутимо для организации (должностного │ │ │лица) │ └───────────────────────┴─────────────────────────────────────────────────┘
