Файл: Тема 2 Проверка выполнения требований по безопасности информации от утечки по техническим каналам и по требованиям по защите информации от нсд.docx

По результатам анализа исходных данных информационной системы персональных данных, анализа актуальности угроз безопасности в разработанной модели угроз ИСПДн «Кадры» ООО «Солнышко» присвоен 3 уровень защищенности.

---

3. Возможные негативные последствия от реализации (возникновения) угроз безопасности информации

К основным негативным последствиям от реализации угроз¹³ безопасности ПД в ИСПДн «Кадры» ООО «Солнышко» определены в таблице 4.

Другие виды последствий также могут быть, но как правило они несут на несколько порядков меньший ущерб.

Таблица 4

№	Виды риска (ущерба)	Актуальность	Возможные типовые негативные последствия
У1	Ущерб физическому лицу	Возможны	Угроза жизни или здоровью.
			Унижение достоинства личности.
			Нарушение свободы, личной неприкосновенности.
			Нарушение неприкосновенности частной жизни.
			Нарушение личной, семейной тайны, утрата чести и доброго имени.
			Нарушение тайны переписки, телефонных переговоров, иных сообщений.
			Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах.
			Финансовый, иной материальный ущерб физическому лицу.
			Нарушение конфиденциальности (утечка) персональных данных.
			Нарушение конфиденциальности (утечка) персональных данных.
			"Травля" гражданина в сети "Интернет".
			Разглашение персональных данных граждан
У2	Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью	Возможны	Нарушение законодательства Российской Федерации.
			Потеря (хищение) денежных средств.
			Недополучение ожидаемой (прогнозируемой) прибыли.
			Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций.
			Необходимость дополнительных (незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств).
			Нарушение штатного режима функционирования автоматизированной системы управления и управляемого объекта и/или процесса.
			Срыв запланированной сделки с партнером.
			Необходимость дополнительных (незапланированных) затрат на восстановление деятельности.

---

4. Возможные объекты воздействия угроз безопасности информации

Негативные последствия, объекты воздействия, виды воздействия на них в ИСПДн «Кадры» ООО «Солнышко» изображены в таблице 5¹⁴.
Таблица 5

Негативные последствия	Объекты воздействия	Виды воздействия
Разглашение персональных данных граждан (У1)	База данных информационной системы, содержащая идентификационную информацию граждан	Утечка идентификационной информации граждан из базы данных
	Удаленное автоматизированное рабочее место (АРМ) пользователя	Утечка идентификационной информации граждан с АРМ пользователя
	Линия связи между сервером основного центра обработки данных и сервером резервного центра обработки данных	Перехват информации, содержащей идентификационную информацию граждан, передаваемой по линиям связи
	Веб-приложение информационной системы, обрабатывающей идентификационную информацию граждан	Несанкционированный доступ к идентификационной информации граждан, содержащейся в веб-приложении информационной системы

---

5. Источники угроз безопасности информации

Возможные цели реализации угроз безопасности ПД в ИСПДн «Кадры» ООО «Солнышко» нарушителями¹⁵ представлены в таблице 6.

Таблица 6

№ вида	Виды нарушителя	Категории нарушителя	Возможные цели реализации угроз безопасности информации
1	Преступные группы (криминальные структуры)	Внешний	Получение финансовой или иной материальной выгоды.
			Желание самореализации (подтверждение статуса)
2	Авторизованные пользователи систем и сетей	Внутренний	Получение финансовой или иной материальной выгоды.
			Месть за ранее совершенные действия.
			Непреднамеренные, неосторожные или неквалифицированные действия

Уровни возможностей нарушителей по реализации угроз безопасности ПД в ИСПДн «Кадры» ООО «Солнышко» представлена в таблице 7¹⁶.

Таблица 7

№	Уровень возможностей нарушителей	Возможности нарушителей по реализации угроз безопасности информации	Виды нарушителей
1	Нарушитель, обладающий базовыми возможностями	Имеет возможность при реализации угроз безопасности информации использовать только известные уязвимости, скрипты и инструменты.	Физическое лицо (хакер)
		Имеет возможность использовать средства реализации угроз (инструменты), свободно распространяемые в сети "Интернет" и разработанные другими лицами, имеет минимальные знания механизмов их функционирования, доставки и выполнения вредоносного программного обеспечения, эксплойтов.	Лица, обеспечивающие поставку программных, программно-аппаратных средств, обеспечивающих систем
		Обладает базовыми компьютерными знаниями и навыками на уровне пользователя.	Лица, обеспечивающие функционирование систем и сетей или обеспечивающих систем (администрация, охрана, уборщики и т.д.)
		Имеет возможность реализации угроз за счет физических воздействий на технические средства обработки и хранения информации, линий связи и обеспечивающие системы систем и сетей при наличии физического доступа к ним.	Имеет возможность реализации угроз за счет физических воздействий на технические средства обработки и хранения информации, линий связи и обеспечивающие системы систем и сетей при наличии физического доступа к ним.
		Таким образом, нарушители с базовыми возможностями имеют возможность реализовывать только известные угрозы, направленные на известные (документированные) уязвимости, с использованием общедоступных инструментов	Бывшие работники (пользователи)
		Имеет возможность использовать средства реализации угроз (инструменты), свободно распространяемые в сети "Интернет" и разработанные другими лицами, имеет минимальные знания механизмов их функционирования, доставки и выполнения вредоносного программного обеспечения, эксплойтов.	Лица, обеспечивающие поставку программных, программно-аппаратных средств, обеспечивающих систем

---

---