- •Санкт-Петербург
- •Описание систем и сетей и их характеристика как объектов защиты.
- •Определение класса защищенности информационных систем, обрабатывающих персональные данные.
- •Возможные негативные последствия от реализации (возникновения) угроз информационной безопасности.
- •Возможные объекты воздействия угроз безопасности информации.
- •Угрозы утечки информации по техническим каналам.
- •Источники угроз безопасности информации.
- •Выводы.
Определение класса защищенности информационных систем, обрабатывающих персональные данные.
Определение категории обрабатываемых персональных данных: т. к. перечень специальных данных отсутствует (т.е. нет данных о религиозных взглядов, политики и т. д.), сервер безопасности, который хранит биометрические сведения также отсутствует значит ИСПДН-Б нет, сам Челябинский трубопрокатный завод не относится к государственным общедоступным системам, значит, это не ИСПДН-О. Следовательно это ИСПДН-И;
Определение объема персональных данных, обрабатываемых в информационной системе: объем 3 – одновременно обрабатываются данные около 2 000 субъектов персональных данных в пределах конкретной организации;
По результатам п.1 и 2 присваивается один из классов защищенности: уровень защищенности УЗ-3.
Возможные негативные последствия от реализации (возникновения) угроз информационной безопасности.
№ |
Виды риска |
Возможные типовые негативные последствия |
У1 |
Ущерб физическому лицу |
|
У2 |
Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью |
|
Таблица 1. Виды рисков (ущерба) и типовые негативные последствия от реализации угроз безопасности информации.
Возможные объекты воздействия угроз безопасности информации.
Негативные последствия |
Объекты воздействия |
Виды воздействия |
Потеря (хищение) денежных средств |
Банк-клиент |
Несанкционированная подмена данных, содержащихся в реквизитах платежного поручения |
АРМ финансового директора |
Несанкционированная модификация информации в платежных распоряжениях и отправка недостоверных распоряжений от имени финансового директора |
|
Электронный почтовый ящик финансового директора |
Модификация информации в платежных распоряжениях и отправка недостоверных распоряжений от имени финансового директора |
|
АРМ главного бухгалтера |
Подмена данных, содержащих реквизиты платежных поручений и другой платежной информации на АРМ главного бухгалтера |
|
Невозможность заключения договоров, соглашений |
АРМ руководителя организации |
Модификация информации и отправка электронных писем с недостоверной информацией от имени руководителя организации |
Электронный почтовый ящик руководителя организации |
Модификация информации и отправка электронных писем с недостоверной информацией от имени руководителя организации |
|
Нарушение штатного режима функционирования автоматизированной системы управления и управляемого объекта и/или процесса |
АРМ руководителя организации |
Модификация информации и отправка электронных писем с недостоверной информацией от имени руководителя организации |
АРМ главного инженера |
Несанкционированная отправка команд, приводящая к несрабатыванию средств аварийной защиты и (или) к изменению логики ПЛК |
|
Причинение имущественного ущерба |
АРМ главного инженера |
Несанкционированная отправка команд, приводящая к несрабатыванию средств аварийной защиты и (или) к изменению логики ПЛК |
АРМ оператора |
Несанкционированная отправка команд, приводящая к несрабатыванию средств аварийной защиты и (или) к изменению логики ПЛК |
|
Коммутационный контроллер для управления аварийными задвижками в нефтепроводе |
Несанкционированная модификация (изменение) логики работы или уставок коммутационного контроллера, которая приводит к открытию (или не закрытию) аварийной задвижки при нарушении герметичности нефтепровода |
|
Утечка конфиденциальной информации (коммерческой тайны, секретов производства (ноу-хау) и др.) |
АРМ руководителя организации |
Модификация информации и отправка электронных писем с недостоверной информацией от имени руководителя организации |
Таблица 2. Определение объектов воздействия и видов воздействия на них