Возможные объекты угроз безопасности информации
Таблица 2 – возможные объекты воздействия угроз безопасности информации
Негативные последствия |
Объекты воздействия |
Виды воздействия |
Нарушение конфиденциальности. |
БД |
Утечка данных о пользова- телях. |
Беспроводные каналы связи |
Кража/подмена данных предприятия. |
|
Финансовый ущерб физическому лицу. |
БД, каналы связи |
Утеря данных о проекте. |
Нарушение иных прав и свобод гражданина, закрепленных в Кон- ституции Российской Федерации и федеральных законах. |
БД, Рабочие места сотруд- ников, системного админи- стратора |
Раскрытие данных об автор- ских проектах, кража объек- тов интеллектуальной соб- ственности. |
Недополучение ожидаемой (про- гнозируемой) прибыли. |
Сайт, веб-сервер, БД, рабо- чие места сотрудников. |
DDoS-атаки на сервер, вре- менная неработоспособ- ность сервера, утеря данных о проектах, ошибки сотруд- ников. |
Необходимость дополнительных (незапланированных) затрат на вы- платы штрафов (неустоек) или компенсаций. |
||
Проникновение в корпоративную сеть неавторизованного пользова- теля. |
Сотрудники, электронная почта. |
Фишиговые ссылки, под- брошенные носители с вре- доносным ПО. |
Схема описанных объектов воздействия показана на рисунке 2, красным поме- чены объекты воздействия, позволяющие получить доступ к важной информации или инфраструктурам.
Рисунок 2 – Схема объектов воздействия
Источники угроз безопасности информации
Таблица 3 – возможные цели реализации угроз
Вид нарушителя |
Категория нарушителя |
Возможные цели реализации угроз |
Конкуренты |
Внешний |
Снижение конкурентоспособности органи- зации. |
Сотрудники |
Внутренний |
Непреднамеренные действия, тормозящие работу организации. |
Преднамеренные действия с целью полу- чения выгоды/реализации собственных ин- тересов. |
||
Хакеры |
Внешний |
Любопытство. Тренировка. Получение вы- годы. |
Поставщики услуг связи |
Внешний |
Материальная выгода |
Внешние нарушители не имеют непосредственного доступа к оборудованию системы, когда внутренние подразделяются на классы по уровню доступа к обору- дованию и информации предприятия.
Условно внутреннего нарушителя можно разделить на 3 группы:
Таблица 4 – уровни прав доступа внутренних нарушителей
Вид внутреннего нарушителя |
Права доступа |
Системный администратор |
Доступ к СУБД, серверному железу и ПО, выс- шие права в локальной сети, доступ к рабочим местам сотрудников. |
Сотрудники |
Доступ к своим рабочим местам, локальной сети. |
Дополнительный персонал |
Доступ во все помещения без доступа к обору- дованию (нет собственных учетных записей) |
Виды нарушителей и их уровень возможностей представлены в таблице ниже:
Таблица 5 – результат определения актуальных нарушителей
Виды риска/ущерба и возмож- ные негативные последствия |
Виды и категория нарушителя |
Уровень возможностей |
Нарушение конфиденциаль- ности. Финансовый ущерб физиче- скому лицу. Нарушение иных прав и сво- бод гражданина, закреплен- ных в Конституции Россий- ской Федерации и федераль- ных законах. Нарушение законодательства Российской Федерации. Недополучение ожидаемой (прогнозируемой) прибыли. Необходимость дополнитель- ных (незапланированных) за- трат на выплаты штрафов (неустоек) или компенсаций. Необходимость дополнитель- ных (незапланированных) за- трат на закупку товаров, ра- бот или услуг (в том числе за- купка программного обеспе- чения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств). Срыв запланированной сделки с партнером. |
Хакеры, внешний |
H1 |
Сисадмин, внутренний |
H2 |
|
Сотрудники, внутренний |
H1 |
|
Дополнительный персонал, внут- ренний |
H1 |
|
Конкуренты, внешний |
H2 |
|
Поставщики услуг связи, внешний |
H2 |