Возможные негативные последствия от реализации (возникновения) угроз безопасности информации
Основным ресурсом ЭСТ является информация в цифровом виде, хранящаяся в базах данных и передаваемая по каналам связи между пользователями и ЭСТ, в том числе персональные данные, подлежащие защите в соответствии с ФЗ «О персональных данных», и информация, защищаемая законом «Об авторском праве и смежных правах».
Негативные последствия от реализации угроз безопасности информации связаны с нарушением конфиденциальности этой информации, в результате которого нарушаются права субъектов персональных данных и соответствующие законы. Негативные последствия, актуальные для ЭСТ, приведены в таблице 1.
Таблица 1 – Виды рисков (ущерба) и типовые негативные последствия от
Реализации угроз безопасности информации
№ |
Виды риска (ущерба) |
Возможные типовые негативные последствия |
У1 |
Ущерб физическому лицу |
Нарушение тайны переписки, телефонных переговоров, иных сообщений. Нарушение конфиденциальности (утечка) персональных данных. Разглашение персональных данных граждан. |
У2 |
Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью |
Нарушение законодательства Российской Федерации. Потеря (хищение) денежных средств. Публикация недостоверной информации на веб-ресурсах организации. Использование веб-ресурсов для распространения и управления вредоносным программным обеспечением. Утечка конфиденциальной информации (коммерческой тайны, секретов производства (ноу-хау) и др.) |
Возможные объекты воздействия угроз безопасности информации
Компоненты, указанные на схеме ЭСТ (рисунок 1) участвуют в обработке и хранении защищаемой информации и обеспечивают реализацию основных процессов в ЭСТ:
Основные информационные ресурсы и компоненты системы:
База аутентификационных данных;
Серверное хранилище;
веб-сервер;
веб-сайт ЭСТ;
сервер электронной торговли;
ПО для администрирования;
АРМ (автоматизированные рабочие места;
проводные и беспроводные каналы передачи данных.
Виды воздействия для определенных выше информационных ресурсов и компонентов системы, которые могут привести к негативным последствиям, представлены в таблице 2.
Таблица 2 – Определение объектов воздействия и видов воздействия на них
Негативные последствия |
Объекты взаимодействия |
Виды воздействия |
Нарушение тайны переписки, телефонных переговоров, иных сообщений, Нарушение конфиденциальности (утечка) персональных данных, Разглашение персональных данных граждан. (У1) |
База данных информационной системы, содержащая идентификационную информацию граждан |
Утечка идентификационной информации граждан |
Удаленное автоматизированное рабочее место пользователя |
Утечка идентификационной информации с АРМ |
|
Линия связи между серверами обработки данных |
Перехват информации передаваемой по линиям связи |
|
Потеря денежных средств(У2) |
Сервер веб-сайта организации |
Отказ в обслуживании веб-сайта |
АРМ администратора |
Модификация информации и отправка недостоверной информации |
|
Линии связи между серверами |
Модификация информации и отправка недостоверной информации |
|
Публикация недостоверной информации на веб-ресурсах организации, Использование веб-ресурсов для распространения и управления вредоносным программным обеспечением. (У2) |
Сервер веб-сайта организации |
Взлом, дефейс сайта с последующей модификацией информации |
Утечка конфиденциальной информации (коммерческой тайны, секретов производства (ноу-хау) и др.) (У2) |
База данных информационной системы, содержащая идентификационную информацию граждан |
Утечка идентификационной информации граждан |
Удаленное автоматизированное рабочее место пользователя |
Утечка идентификационной информации с АРМ |
|
Линия связи между серверами обработки данных |
Перехват информации передаваемой по линиям связи |
Схема описанных выше объектов воздействия и содержащейся в них защищаемой информации приведена на рисунке 2.
Рисунок 2 – Схема объектов воздействия и содержащейся в них защищаемой информации