3. Возможные негативные последствия от реализации угроз безопасности
В сети хранятся и циркулируют данные, необходимые для работы организации, а так же данные, подлежащие защите по закону «О персональных данных».
Таблица 1 –Возможные негативные последствия от реализации угроз
№ |
Виды риска (ущерба) |
Возможные негативные последствия |
У1 |
Ущерб физическому лицу |
Нарушение конфиденциальности. |
Финансовый ущерб физическому лицу. |
||
Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах. |
||
У2 |
Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью |
Нарушение законодательства Российской Федерации. |
Недополучение ожидаемой (прогнозируемой) прибыли. |
||
Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций. |
||
Необходимость дополнительных (незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств). |
||
Срыв запланированной сделки с партнером. |
4. Возможные объекты угроз безопасности информации
Таблица 2 – возможные объекты воздействия угроз безопасности информации
Негативные последствия |
Объекты воздействия |
Виды воздействия |
Нарушение конфиденциальности. |
БД |
Утечка данных о пользователях. |
Беспроводные каналы связи |
Кража/подмена данных предприятия. |
|
Финансовый ущерб физическому лицу. |
БД, каналы связи |
Утеря данных о проекте. |
Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах. |
БД, Рабочие места сотрудников, системного администратора |
Раскрытие данных об авторских проектах, кража объектов интеллектуальной собственности. |
Недополучение ожидаемой (прогнозируемой) прибыли. |
Сайт, веб-сервер, БД, рабочие места сотрудников. |
DDoS-атаки на сервер, временная неработоспособность сервера, утеря данных о проектах, ошибки сотрудников. |
Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций. |
||
Проникновение в корпоративную сеть неавторизованного пользователя. |
Сотрудники, электронная почта. |
Фишиговые ссылки, подброшенные носители с вредоносным ПО. |
Схема описанных объектов воздействия показана на рисунке 2, красным помечены объекты воздействия, позволяющие получить доступ к важной информации или инфраструктурам.
Рисунок 2 – Схема объектов воздействия