1. Возможные негативные последствия от реализации (возникновения) угроз безопасности информации

Основным ресурсом АО «МИКРОН» является конфиденцальная информация в цифровом виде, хранящаяся в базах данных и передаваемая по каналам связи между персоналом, в том числе персональные данные, подлежащие защите в соответствии с ФЗ «О персональных данных», и информация, защищаемая законом «Об авторском праве и смежных правах».

Негативные последствия от реализации угроз безопасности информации связаны с нарушением конфиденциальности этой информации, в результате которого нарушаются права субъектов персональных данных и соответствующие законы.

По результатам оценки, наиболее приоритетными целями ИБ для оцениваемого объекта являются «Конфиденциальность» и «Доступность».

2. Возможные объекты воздействия угроз безопасности информации

Компоненты, указанные на схеме компании, (рисунок 1) участвуют в обработке и хранении защищаемой информации и обеспечивают реализацию основных процессов в компании:

Основные информационные ресурсы и компоненты системы:

1. База аутентификационных данных;

2. СУБД;

3. файловый сервер;

4. веб-сервер;

5. сервер БД;

6. ПО для администрирования,

7. проводные и беспроводные каналы передачи данных.

Виды воздействия для определенных выше информационных ресурсов и компонентов системы, которые могут привести к негативным последствиям, представлены в таблице 2.

Актуальными нарушителями (антропогенными источниками угроз) безопасности информации АО МИКРОН являются:

3. хакеры;

4. конкурирующие организации;

5. администраторы;

6. авторизованные пользователи;

Для перечисленных нарушителей определены категории (по признаку принадлежности к системе) и возможные цели реализации ими угроз безопасности информации, которые приведены в таблице 3.

В качестве внешнего нарушителя информационной безопасности, рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны.

Внутренние нарушители имеют разный уровень прав доступа к информационным ресурсам и компонентам системы:

• Авторизованные пользователи имеют пользовательские права доступа (доступ в личный кабинет на веб-сайте).

• Администраторы имеют привилегированные права доступа (доступ к соответствующим АРМ и ПО администрирования).

Результат определения актуальных нарушителей при реализации угроз безопасности информации в АО МИКРОН представлен в таблице 4.

3. Способы реализации (возникновения) угроз безопасности информации

Предполагается, что нарушитель уровня Н1 имеет:

1. доступные в свободной продаже технические средства и программное обеспечение.

Предполагается, что нарушитель уровня Н2 имеет:

1. доступные в свободной продаже технические средства и программное обеспечение;

2. специально разработанные технические средства и программное обеспечение.

Актуальные способы реализации угроз безопасности информации и соответствующие им виды нарушителей (и их возможности).

При разработке описаний возможных угроз безопасности информации учитывались:

11. актуальные нарушители и уровни их возможностей;

12. основные способы реализации угроз безопасности информации;

13. возможные негативные последствия реализации угроз.

Возможные сценарии реализации угроз безопасности информации:

1. Возможный сценарий реализации угрозы удаления информационных ресурсов состоит из четырёх последовательных тактик: Т1, Т2, Т3, Т10 и соответствующих им техник

2. Возможный сценарий реализации угрозы утечки информации состоит из четырёх последовательных тактик: Т1, Т2, Т7, Т10 и соответствующих им техник

3. Возможный сценарий реализации угрозы несанкционированного доступа состоит из трёх последовательных тактик: Т1, Т2, Т10 и соответствующих им техник.

В результате анализа, представленного в таблице 2, ИСПДн имеет средний уровень исходной защищенности (так как не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний», а остальные

– низкому уровню защищенности). ИСПДн АО МИКРОН обрабатывает данные, относящиеся к категории биометрические – ИСПДн-И.

Уровень защищенности ПДн определяется в таблице 3.

Таблица 3 – Уровни защищенности персональных данных

Категория ПДн + кол-во	АУ 1 типа	АУ 2 типа	АУ 3 типа
ИСПДн-С более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора	УЗ 1	УЗ 1	УЗ 2
ИСПДн-С сотрудников оператора или специальные категории персональных данных менее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора	УЗ 1	УЗ 2	УЗ 3
ИСПДн-Б	УЗ 1	УЗ 2	УЗ 3
ИСПДн-И более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора	УЗ 1	УЗ 2	УЗ 3
ИСПДн-И данных сотрудников оператора или иные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора	УЗ 1	УЗ 3	УЗ 4
ИСПДн-О более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора	УЗ 2	УЗ 2	УЗ 4
ИСПДн-О сотрудников оператора или общедоступные ПДн менее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора	УЗ 2	УЗ 3	УЗ 4

Таким образом, в соответствии с таблицей 3, для ПДн в АО МИКРОН характерен уровень защищенности УЗ 1.

В соответствии с ФЗ «О безопасности критической информационной инфраструктуры РФ» так как АО МИКРОН функционирует в сфере науки и образования, она относится к КИИ, а именно: электронные образовательные и научные материалы, содержащиеся на файловом сервере и их метаданные, содержащиеся на сервере БД.