Приложение 7. ПРИМЕР ОЦЕНКИ ЦЕЛЕЙ РЕАЛИЗАЦИИ НАРУШИТЕЛЯМИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ЗАВИСИМОСТИ ОТ ВОЗМОЖНЫХ НЕГАТИВНЫХ ПОСЛЕДСТВИЙ И ВИДОВ УЩЕРБА ОТ ИХ РЕАЛИЗАЦИИ (ДЛЯ ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ)

Приложение 7
к Методике оценки угроз
безопасности информации

ПРИМЕР
ОЦЕНКИ ЦЕЛЕЙ РЕАЛИЗАЦИИ НАРУШИТЕЛЯМИ УГРОЗ БЕЗОПАСНОСТИ
ИНФОРМАЦИИ В ЗАВИСИМОСТИ ОТ ВОЗМОЖНЫХ НЕГАТИВНЫХ
ПОСЛЕДСТВИЙ И ВИДОВ УЩЕРБА ОТ ИХ РЕАЛИЗАЦИИ
(ДЛЯ ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ)

Таблица 7.1

Виды нарушителей
Возможные цели реализации угроз безопасности информации
Соответствие целей видам риска (ущерба) и возможным негативным последствиям
Нанесение ущерба физическому лицу
Нанесение ущерба юридическому лицу, индивидуальному предпринимателю
Нанесение ущерба государству в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической, политической, экологической сферах деятельности
Специальные службы иностранных государств
-
-
+
(дискредитация или дестабилизация деятельности органа государственной власти <*>)
У3 <**>
(нарушение функционирования государственного органа, дискредитация деятельности органа государственной власти)
Террористические, экстремистские группировки
-
-
+
(дестабилизация деятельности органов государственной власти, организаций)
У3
(отсутствие доступа к социально значимым государственным услугам)

Продолжение таблицы 7.1

Виды нарушителей
Возможные цели реализации угроз безопасности информации
Соответствие целей видам риска (ущерба) и возможным негативным последствиям
Нанесение ущерба физическому лицу
Нанесение ущерба юридическому лицу, индивидуальному предпринимателю
Нанесение ущерба государству в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической, политической, экологической сферах деятельности
Преступные группы (криминальные структуры)
+
(получение финансовой выгоды за счет кражи и продажи персональных данных граждан)
+
(получение финансовой выгоды за счет использования вычислительных мощностей серверов государственной информационной системы для майнинга криптовалюты)
+
(желание самореализоваться)
У1
(нарушение конфиденциальности персональных данных граждан)
У2
(нарушение деловой репутации)
У3
(организация митингов, забастовок из-за публикаций недостоверной информации)
Отдельные физические лица (хакеры)
+
(желание самореализоваться)
+
(получение финансовой выгоды за счет кражи и коммерческой тайны)
-
У1
(нарушение личной, семейной тайны, утрата чести и доброго имени) У2
(утечка коммерческой тайны; потеря клиентов)
Конкурирующие организации
-
-
-
-

Продолжение таблицы 7.1

Виды нарушителей
Возможные цели реализации угроз безопасности информации
Соответствие целей видам риска (ущерба) и возможным негативным последствиям
Нанесение ущерба физическому лицу
Нанесение ущерба юридическому лицу, индивидуальному предпринимателю
Нанесение ущерба государству в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической, политической, экологической сферах деятельности
Разработчики программных, программно-аппаратных средств
-
+
(передача информации о юридическом лице третьим лицам)
+
(внедрение дополнительных функциональных возможностей в программные или программно-аппаратные средства на этапе разработки при вступлении в сговор со специальными службами иностранных государств)
У2
(недополучение ожидаемой прибыли)
У3
(нарушение функционирования государственного органа, дискредитация деятельности органа государственной власти)
Лица, обеспечивающие поставку программных, программно-аппаратных средств, обеспечивающих систем
-
-
-
-
Поставщики вычислительных услуг, услуг связи
-
-
-
-
Лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ
-
-
-
-

Продолжение таблицы 7.1

Виды нарушителей
Возможные цели реализации угроз безопасности информации
Соответствие целей видам риска (ущерба) и возможным негативным последствиям
Нанесение ущерба физическому лицу
Нанесение ущерба юридическому лицу, индивидуальному предпринимателю
Нанесение ущерба государству в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической, политической, экологической сферах деятельности
Лица, обеспечивающие функционирование систем и сетей или обеспечивающие системы оператора (администрация, охрана, уборщики и т.д.)
-
-
-
-
Авторизованные пользователи систем и сетей
+
(непреднамеренные, неосторожные или неквалифицированные действия)
-
-
У1
(финансовый, иной материальный ущерб физическим лицам)
Системные администраторы и администраторы безопасности
+
(месть за ранее совершенные действия)
+
(любопытство или желание самореализации)
+
(получение финансовой или иной материальной выгоды при вступлении в сговор с преступной группой)
У1
(финансовый, иной материальный ущерб физическим лицам)
У2
(невозможность заключения договоров, соглашений)
У3
(утечка информации ограниченного доступа)

Окончание таблицы 7.1

Виды нарушителей
Возможные цели реализации угроз безопасности информации
Соответствие целей видам риска (ущерба) и возможным негативным последствиям
Нанесение ущерба физическому лицу
Нанесение ущерба юридическому лицу, индивидуальному предпринимателю
Нанесение ущерба государству в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической, политической, экологической сферах деятельности
Бывшие (уволенные) работники (пользователи)
-
-
-
-

--------------------------------

<*> Примеры возможных целей реализации угроз безопасности информации с учетом области деятельности, в которой функционируют системы и сети, определенные в соответствии с приложением 6 к настоящей Методике.

<**> Примеры сопоставления возможных целей реализации угроз безопасности информации с видами ущерба (риска) и возможными негативными последствиями о реализации угроз, определенные в соответствии с приложением 5 к настоящей Методике.