Приложение 7. ПРИМЕР ОЦЕНКИ ЦЕЛЕЙ РЕАЛИЗАЦИИ НАРУШИТЕЛЯМИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ЗАВИСИМОСТИ ОТ ВОЗМОЖНЫХ НЕГАТИВНЫХ ПОСЛЕДСТВИЙ И ВИДОВ УЩЕРБА ОТ ИХ РЕАЛИЗАЦИИ (ДЛЯ ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ)
Приложение 7
к Методике оценки угроз
безопасности информации 
ПРИМЕР
ОЦЕНКИ ЦЕЛЕЙ РЕАЛИЗАЦИИ НАРУШИТЕЛЯМИ УГРОЗ БЕЗОПАСНОСТИ
ИНФОРМАЦИИ В ЗАВИСИМОСТИ ОТ ВОЗМОЖНЫХ НЕГАТИВНЫХ
ПОСЛЕДСТВИЙ И ВИДОВ УЩЕРБА ОТ ИХ РЕАЛИЗАЦИИ
(ДЛЯ ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ)
Таблица 7.1
|
Виды нарушителей
|
Возможные цели реализации угроз безопасности информации
|
Соответствие целей видам риска (ущерба) и возможным негативным последствиям
|
||
|
Нанесение ущерба физическому лицу
|
Нанесение ущерба юридическому лицу, индивидуальному предпринимателю
|
Нанесение ущерба государству в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической, политической, экологической сферах деятельности
|
||
|
Специальные службы иностранных государств
|
-
|
-
|
+
(дискредитация или дестабилизация деятельности органа государственной власти <*>)
|
У3 <**>
(нарушение функционирования государственного органа, дискредитация деятельности органа государственной власти)
|
|
Террористические, экстремистские группировки
|
-
|
-
|
+
(дестабилизация деятельности органов государственной власти, организаций)
|
У3
(отсутствие доступа к социально значимым государственным услугам)
|
Продолжение таблицы 7.1
|
Виды нарушителей
|
Возможные цели реализации угроз безопасности информации
|
Соответствие целей видам риска (ущерба) и возможным негативным последствиям
|
||
|
Нанесение ущерба физическому лицу
|
Нанесение ущерба юридическому лицу, индивидуальному предпринимателю
|
Нанесение ущерба государству в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической, политической, экологической сферах деятельности
|
||
|
Преступные группы (криминальные структуры)
|
+
(получение финансовой выгоды за счет кражи и продажи персональных данных граждан)
|
+
(получение финансовой выгоды за счет использования вычислительных мощностей серверов государственной информационной системы для майнинга криптовалюты)
|
+
(желание самореализоваться)
|
У1
(нарушение конфиденциальности персональных данных граждан)
У2
(нарушение деловой репутации)
У3
(организация митингов, забастовок из-за публикаций недостоверной информации)
|
|
Отдельные физические лица (хакеры)
|
+
(желание самореализоваться)
|
+
(получение финансовой выгоды за счет кражи и коммерческой тайны)
|
-
|
У1
(нарушение личной, семейной тайны, утрата чести и доброго имени) У2
(утечка коммерческой тайны; потеря клиентов)
|
|
Конкурирующие организации
|
-
|
-
|
-
|
-
|
Продолжение таблицы 7.1
|
Виды нарушителей
|
Возможные цели реализации угроз безопасности информации
|
Соответствие целей видам риска (ущерба) и возможным негативным последствиям
|
||
|
Нанесение ущерба физическому лицу
|
Нанесение ущерба юридическому лицу, индивидуальному предпринимателю
|
Нанесение ущерба государству в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической, политической, экологической сферах деятельности
|
||
|
Разработчики программных, программно-аппаратных средств
|
-
|
+
(передача информации о юридическом лице третьим лицам)
|
+
(внедрение дополнительных функциональных возможностей в программные или программно-аппаратные средства на этапе разработки при вступлении в сговор со специальными службами иностранных государств)
|
У2
(недополучение ожидаемой прибыли)
У3
(нарушение функционирования государственного органа, дискредитация деятельности органа государственной власти)
|
|
Лица, обеспечивающие поставку программных, программно-аппаратных средств, обеспечивающих систем
|
-
|
-
|
-
|
-
|
|
Поставщики вычислительных услуг, услуг связи
|
-
|
-
|
-
|
-
|
|
Лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ
|
-
|
-
|
-
|
-
|
Продолжение таблицы 7.1
|
Виды нарушителей
|
Возможные цели реализации угроз безопасности информации
|
Соответствие целей видам риска (ущерба) и возможным негативным последствиям
|
||
|
Нанесение ущерба физическому лицу
|
Нанесение ущерба юридическому лицу, индивидуальному предпринимателю
|
Нанесение ущерба государству в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической, политической, экологической сферах деятельности
|
||
|
Лица, обеспечивающие функционирование систем и сетей или обеспечивающие системы оператора (администрация, охрана, уборщики и т.д.)
|
-
|
-
|
-
|
-
|
|
Авторизованные пользователи систем и сетей
|
+
(непреднамеренные, неосторожные или неквалифицированные действия)
|
-
|
-
|
У1
(финансовый, иной материальный ущерб физическим лицам)
|
|
Системные администраторы и администраторы безопасности
|
+
(месть за ранее совершенные действия)
|
+
(любопытство или желание самореализации)
|
+
(получение финансовой или иной материальной выгоды при вступлении в сговор с преступной группой)
|
У1
(финансовый, иной материальный ущерб физическим лицам)
У2
(невозможность заключения договоров, соглашений)
У3
(утечка информации ограниченного доступа)
|
Окончание таблицы 7.1
|
Виды нарушителей
|
Возможные цели реализации угроз безопасности информации
|
Соответствие целей видам риска (ущерба) и возможным негативным последствиям
|
||
|
Нанесение ущерба физическому лицу
|
Нанесение ущерба юридическому лицу, индивидуальному предпринимателю
|
Нанесение ущерба государству в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической, политической, экологической сферах деятельности
|
||
|
Бывшие (уволенные) работники (пользователи)
|
-
|
-
|
-
|
-
|
--------------------------------
<*> Примеры возможных целей реализации угроз безопасности информации с учетом области деятельности, в которой функционируют системы и сети, определенные в соответствии с приложением 6 к настоящей Методике.
<**> Примеры сопоставления возможных целей реализации угроз безопасности информации с видами ущерба (риска) и возможными негативными последствиями о реализации угроз, определенные в соответствии с приложением 5 к настоящей Методике.
