- •Введение
- •1 Общие положения
- •1.1 Назначение и область действия документа
- •1.2 Нормативные правовые акты и методические документы
- •2.3 Состав обрабатываемой информации
- •2.4 Архитектура и состав системы
- •2.5 Группа пользователей и уровни полномочий
- •2.6 Внешние интерфейсы и взаимодействия
- •2.7 Инфраструктура и ответственность
- •3 Определение негативных последствий
- •4 Инвентаризация систем и сетей и определение возможных объектов воздействия угроз безопасности информации
- •5 Определение источников угроз и оценка возможностей нарушителей по реализации угроз безопасности информации
- •6 Оценка способов реализации угроз безопасности информации
- •7 Оценка возможности реализации (возникновения) угроз безопасности информации и определение актуальности угроз безопасности
- •8 Оценка сценариев реализации угроз безопасности информации в системах и сетях
- •Заключение
4 Инвентаризация систем и сетей и определение возможных объектов воздействия угроз безопасности информации
В таблице 4.1 представлена инвентаризация объектов и возможные виды воздействия на них.
Таблица 4.1 – Объекты воздействия и виды воздействия на них
Негативные последствия |
Объекты воздействия |
Виды воздействия |
Нарушение конфиденциальности (утечка) ПДн (У1) |
Сервер 1С (БД) |
Несанкционированный доступ к таблицам с ПДн сотрудников, их копирование. |
АРМ бухгалтеров |
Перехват данных в момент работы с БД, копирование на съёмные носители. |
|
Каналы связи (при передаче отчётности) |
Перехват трафика при нарушении целостности каналов связи с операторами ЭДО/банками. |
|
Финансовый ущерб физическому лицу / организации (У1, У2) |
АРМ №2 (Клиент-Банк) |
Кража учётных данных для доступа к системе «Клиент-Банк» и хищение денежных средств. |
Сервер 1С |
Кража ПДн для использования в мошеннических целях (оформление кредитов). |
|
Нарушение законодательства РФ и выплаты штрафов (У2) |
СЗИ (Secret Net, VipNet) |
Отключение или модификация функций защиты, ведущая к несоответствию 152-ФЗ. |
Журналы событий (логи) |
Модификация или удаление записей о доступе к ПДн для сокрытия инцидентов. |
|
Простой информационной системы (У2) |
Сервер 1С |
Внедрение вредоносного ПО (шифровальщики), блокирующего работу сервера и БД. |
Сетевое оборудование |
DoS-атака на коммутатор или каналы связи, приводящая к потере связи с Интернет. |
Продолжение Таблицы 4.1
Нарушение деловой репутации и утрата доверия (У2) |
Все компоненты |
Утечка данных о зарплатах сотрудников или клиентов, публичное разглашение информации об инциденте. |
Утечка конфиденциальной информации (У2) |
Файловая система сервера, АРМ |
Копирование файлов с коммерческой тайной, договорами, финансовой отчётностью. |
Потеря материальных ценностей (У2) |
Сервер, АРМ |
Хищение или физическое повреждение оборудования. |
5 Определение источников угроз и оценка возможностей нарушителей по реализации угроз безопасности информации
В таблице 5.1 представлены виды нарушений и их характеристика (категория и цель).
Таблица 5.1 – Источники угроз и их характеристика
№ |
Вид нарушителя |
Категория нарушителя |
Возможная цель |
1 |
Отдельные физические лица (хакеры) |
Внешний |
Получение финансовой выгоды (продажа данных, кража денег), дестабилизация работы. |
2 |
Лица, обеспечивающие поставку/настройку ПО (1С-франчайзи) |
Внешний |
Получение материальной выгоды, создание закладок для доступа. |
3 |
Лица, привлекаемые для ремонта/обслуживания |
Внешний |
Несанкционированный доступ к данным в ходе работ. |
4 |
Лица, обеспечивающие функционирование (охрана, уборщики) |
Внутренний |
Непреднамеренные действия, любопытство, получение выгоды. |
5 |
Авторизованные пользователи (бухгалтеры) |
Внутренний |
Получение выгоды, месть, любопытство, превышение полномочий. |
6 |
Системный администратор |
Внутренний |
Полный контроль над данными, месть, преднамеренный простой, кража данных. |
7 |
Специалист по ИБ |
Внутренний |
Злоупотребление полномочиями, сокрытие следов инцидентов. |
8 |
Бывшие (уволенные) работники |
Внешний |
Месть, разглашение конфиденциальных данных, использование знаний о системе. |
9 |
Преступные группы (криминальные структуры) |
Внешний |
Хищение денежных средств, вымогательство, шантаж. |
В соответствии с БДУ ФСТЭК России, для ИСПДн «Бухгалтерия» определены следующие виды угроз.
Таблица 5.2 – Соответствие рисков, нарушителей и уровней
№ |
Виды риска (ущерба) |
Вид актуального нарушителя |
Категория |
Уровень |
1 |
У1: Нарушение конфиденциальности ПДн, разглашение ПДн граждан |
Отдельные физические лица (хакеры) |
Внешний |
Н1 |
Лица, обеспечивающие поставку/настройку ПО |
Внешний |
Н1 |
||
Лица, привлекаемые для ремонта/обслуживания |
Внешний |
Н2 |
||
Персонал (охрана, уборщики) |
Внутренний |
Н1 |
||
Авторизованные пользователи (бухгалтеры) |
Внутренний |
Н1 |
||
Бывшие (уволенные) работники |
Внешний |
Н1 |
||
2 |
У2: Нарушение законодательства; Необходимость дополнительных затрат на выплаты штрафов |
Системный администратор / Специалист по ИБ |
Внутренний |
Н2 |
Лица, обеспечивающие поставку/настройку ПО |
Внешний |
Н1 |
||
Лица, привлекаемые для ремонта/обслуживания |
Внешний |
Н2 |
||
Персонал (охрана, уборщики) |
Внутренний |
Н1 |
||
Авторизованные пользователи (бухгалтеры) |
Внутренний |
Н1 |
||
Бывшие (уволенные) работники |
Внешний |
Н1 |
||
3 |
У2: Потеря (хищение) денежных средств; Финансовый ущерб |
Отдельные физические лица (хакеры) |
Внешний |
Н1 |
Преступные группы (криминальные структуры) |
Внешний |
Н2 |
||
Авторизованные пользователи (бухгалтеры) |
Внутренний |
Н1 |
||
Системный администратор / Специалист по ИБ |
Внутренний |
Н2 |
||
4 |
У2: Нарушение деловой репутации; Утрата доверия |
Преступные группы (криминальные структуры) |
Внешний |
Н2 |
Бывшие (уволенные) работники |
Внешний |
Н1 |
||
Авторизованные пользователи (бухгалтеры) |
Внутренний |
Н1 |
||
Системный администратор |
Внутренний |
Н2 |
||
5 |
У2: Простой информационной системы |
Отдельные физические лица (хакеры) |
Внешний |
Н1 |
Лица, привлекаемые для ремонта/обслуживания |
Внешний |
Н2 |
||
Системный администратор |
Внутренний |
Н2 |