2. Возможные негативные последствия от реализации (возникновения) угроз безопасности информации

Основным ресурсом Университета является информация в цифровом виде, хранящаяся в базах данных и передаваемая по каналам связи между пользователями и Университетом, в том числе персональные данные, подлежащие защите в соответствии с ФЗ «О персональных данных», и информация, защищаемая законом «Об авторском праве и смежных правах».

Негативные последствия от реализации угроз безопасности информации связаны с нарушением конфиденциальности этой информации, в результате которого нарушаются права субъектов персональных данных и соответствующие законы.

По результатам оценки, наиболее приоритетными целями ИБ для оцениваемого объекта являются «Конфиденциальность» и «Доступность».

3. Возможные объекты воздействия угроз безопасности информации

Компоненты, указанные на схеме Университета, (рисунок 1) участвуют в обработке и хранении защищаемой информации и обеспечивают реализацию основных процессов в Университете:

Основные информационные ресурсы и компоненты системы:

1. База аутентификационных данных;

2. СУБД;

3. файловый сервер;

4. веб-сервер;

5. веб-сайт ЭБС;

6. сервер БД;

7. ПО для администрирования,

8. проводные и беспроводные каналы передачи данных.

Виды воздействия для определенных выше информационных ресурсов и компонентов системы, которые могут привести к негативным последствиям, представлены в таблице 2.

Актуальными нарушителями (антропогенными источниками угроз) безопасности информации Билайн Университета являются:

1. хакеры;

2. конкурирующие организации;

3. администраторы Университета;

4. авторизованные пользователи Университета;

Для перечисленных нарушителей определены категории (по признаку принадлежности к системе) и возможные цели реализации ими угроз безопасности информации, которые приведены в таблице 3.

В качестве внешнего нарушителя информационной безопасности, рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны Университета.

Внутренние нарушители Университета имеют разный уровень прав доступа к информационным ресурсам и компонентам системы:

1. Авторизованные пользователи Билайн Университета имеют пользовательские права доступа (доступ в личный кабинет на веб-сайте).

2. Администраторы Билайн Университета имеют привилегированные права доступа (доступ к соответствующим АРМ и ПО администрирования).

Результат определения актуальных нарушителей при реализации угроз безопасности информации в Билайн Университете представлен в таблице 4.

4. Способы реализации (возникновения) угроз безопасности информации

Предполагается, что нарушитель уровня Н1 имеет:

1. доступные в свободной продаже технические средства и программное обеспечение.

Предполагается, что нарушитель уровня Н2 имеет:

1. доступные в свободной продаже технические средства и программное обеспечение;

2. специально разработанные технические средства и программное обеспечение.

Актуальные для Билайн Университета способы реализации угроз безопасности информации и соответствующие им виды нарушителей (и их возможности).

При разработке описаний возможных угроз безопасности информации учитывались:

1. актуальные нарушители и уровни их возможностей;

2. объекты воздействия, находящиеся в составе Университета;

3. основные способы реализации угроз безопасности информации;

4. возможные негативные последствия реализации угроз.

Возможные сценарии реализации угроз безопасности информации для Билайн Университета:

1. Возможный сценарий реализации угрозы удаления информационных ресурсов состоит из четырёх последовательных тактик: Т1, Т2, Т3, Т10 и соответствующих им техник

2. Возможный сценарий реализации угрозы утечки информации состоит из четырёх последовательных тактик: Т1, Т2, Т7, Т10 и соответствующих им техник

3. Возможный сценарий реализации угрозы несанкционированного доступа состоит из трёх последовательных тактик: Т1, Т2, Т10 и соответствующих им техник.

В результате анализа, представленного в таблице 2, ИСПДн имеет средний уровень исходной защищенности (так как не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний», а остальные

– низкому уровню защищенности). ИСПДн Билайн Университет обрабатывает данные, относящиеся к категории биометрические – ИСПДн-И.

Уровень защищенности ПДн определяется в таблице 3.

Таблица 3 – Уровни защищенности персональных данных

Категория ПДн + кол-во	АУ 1 типа	АУ 2 типа	АУ 3 типа
ИСПДн-С более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора	УЗ 1	УЗ 1	УЗ 2
ИСПДн-С сотрудников оператора или специальные категории персональных данных менее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора	УЗ 1	УЗ 2	УЗ 3
ИСПДн-Б	УЗ 1	УЗ 2	УЗ 3
ИСПДн-И более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора	УЗ 1	УЗ 2	УЗ 3
ИСПДн-И данных сотрудников оператора или иные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора	УЗ 1	УЗ 3	УЗ 4
ИСПДн-О более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора	УЗ 2	УЗ 2	УЗ 4
ИСПДн-О сотрудников оператора или общедоступные ПДн менее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора	УЗ 2	УЗ 3	УЗ 4

Таким образом, в соответствии с таблицей 3, для ПДн в Билайн Университета характерен уровень защищенности УЗ 1.

В соответствии с ФЗ «О безопасности критической информационной инфраструктуры РФ» так как Билайн Университет функционирует в сфере науки и образования, она относится к КИИ, а именно: электронные образовательные и научные материалы, содержащиеся на файловом сервере и их метаданные, содержащиеся на сервере БД.

На рисунке 3 представлено деление элементов Билайн Университета на сегменты.

Рисунок 3 – Деление Билайн Университет на сегменты