Выход из строя аппаратно-программных средств

Угроза реализуется вследствие окончания срока эксплуатации аппаратно-программных средств, нерегулярных проверок данных средств и перебоев в электропитании.

Если в Учреждении производится своевременная замена устаревших аппаратно-программных средств, регулярные проверки аппаратно-программных средств и установлены элементы бесперебойного питания, то для всех видов ИСПДн вероятность реализации угрозы – является маловероятной.

В противном случае вероятность реализации угрозы должна быть пересмотрена, и необходимо принять меры снижению вероятности реализации угрозы.

Аварии (пожар, потоп, случайное отключение электричества)

Угроза осуществляется вследствие возникновения различного рода аварий в пределах контролируемой зоны.

Если в Учреждении производится своевременная замена устаревшего оборудования, коммуникаций и т.д., проводятся их регулярные проверки, установлены элементы бесперебойного питания, то для всех видов ИСПДн вероятность реализации угрозы – является маловероятной.

В противном случае вероятность реализации угрозы должна быть пересмотрена, и необходимо принять меры снижению вероятности реализации угрозы.

Реализуемость угроз

По итогам оценки уровня защищенности (Y1) и вероятности реализации угрозы (Y2), рассчитывается коэффициент реализуемости угрозы (Y) и определяется возможность реализации угрозы. Коэффициент реализуемости угрозы Y будет определяться соотношением Y = (Y1 + Y2)/20.

Оценка реализуемости УБПДн представлена в таблице.

Таблица 4. Реализуемость УБПДн

 

Тип угроз безопасности ПДн	Коэффициент реализуемости угрозы (Y)	Возможность реализации
1. Угрозы от утечки по техническим каналам
1.1. Угрозы утечки акустической информации	0,25	низкая
1.2. Угрозы утечки видовой информации	0,25	низкая
1.3. Угрозы утечки информации по каналам ПЭМИН	0,25	низкая
2. Угрозы несанкционированного доступа к информации путем физического доступа к элементам ИСПДн, носителям персональных данных, ключам и атрибутам доступа
2.1. Кража и уничтожение носителей информации	0,25	низкая
2.2. Кража физических носителей ключей и атрибутов доступа	0,25	средняя
2.3. Утрата носителей информации	0,25	низкая
2.4. Утрата и компрометация ключей и атрибутов доступа	0,35	средняя
3. Угрозы несанкционированного доступа к информации с использованием программно-аппаратных и программных средств
3.1. Доступ к информации, ее модификация и уничтожение лицами, не имеющими прав доступа	0,35	низкая
3.2. Утечка информации через порты ввода/вывода	0,25	средняя
3.3. Воздействие вредоносных программ (вирусов)	0,35	средняя
3.4. Установка ПО, не связанного с исполнением служебных обязанностей	0,35	средняя
3.5. Внедрение или сокрытие недекларированных возможностей системного ПО и ПО для обработки персональных данных	0,35	низкая
3.6. Создание учетных записей теневых пользователей и неучтенных точек доступа в систему	0,25	низкая
4. Угрозы несанкционированного доступа к информации по каналам связи
4.1. Угроза «Анализ сетевого трафика» с перехватом информации за пределами контролируемой зоны	0,25	низкая
4.2. Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.	0,25	низкая
4.3. Угрозы выявления паролей по сети	0,25	низкая
4.4. Угрозы типа «Отказ в обслуживании»	0,25	низкая
4.5. Угрозы внедрения по сети вредоносных программ	0,25	низкая
4.6.Утечка информации, передаваемой с использованием протоколов беспроводного доступа	0,25	низкая
4.7. Перехват, модификация закрытого ключа ЭЦП	0,25	низкая
4.8. Угрозы удаленного запуска приложений	0,25	низкая
5. Угрозы антропогенного характера
5.1. Разглашение информации	0,35	средняя
5.2. Сокрытие ошибок и неправомерных действий пользователей и администраторов	0,35	низкая
5.3. Угроза появления новых уязвимостей вследствие невыполнения ответственными лицами своих должностных обязанностей	0,25	низкая
5.4. Угроза нарушения политики предоставления и прекращения доступа	0,25	низкая
5.5. Непреднамеренная модификация (уничтожение) информации	0,35	низкая
5.6. Непреднамеренное отключение средств защиты	0,25	низкая
6. Угрозы воздействия непреодолимых сил
6.1. Стихийное бедствие	0,25	низкая
6.2. Выход из строя аппаратно-программных средств	0,25	низкая
6.3. Аварии (пожар, потоп, случайное отключение электричества)	0,25	низкая

 

Оценка опасности угроз

Оценка опасности УБПДн производится на основе опроса специалистов по защите информации и определяется вербальным показателем опасности, который имеет три значения:

- низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;

- средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;

- высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.

Оценка опасности УБПДн представлена таблице.

Таблица 5. Опасность УБПДн

 

Тип угроз безопасности ПДн	Опасность угрозы
1. Угрозы от утечки по техническим каналам.
1.1. Угрозы утечки акустической информации	низкая
1.2. Угрозы утечки видовой информации	низкая
1.3. Угрозы утечки информации по каналам ПЭМИН	низкая
2. Угрозы несанкционированного доступа к информации путем физического доступа к элементам ИСПДн, носителям персональных данных, ключам и атрибутам доступа
2.1. Кража и уничтожение носителей информации	низкая
2.2. Кража физических носителей ключей и атрибутов доступа	средняя
2.3. Утрата носителей информации	низкая
2.4. Утрата и компрометация ключей и атрибутов доступа	средняя
3. Угрозы несанкционированного доступа к информации с использованием программно-аппаратных и программных средств
3.1. Доступ к информации, ее модификация и уничтожение лицами, не имеющими прав доступа	низкая
3.2. Утечка информации через порты ввода/вывода	средняя
3.3. Воздействие вредоносных программ (вирусов)	средняя
3.4. Установка ПО, не связанного с исполнением служебных обязанностей	средняя
3.5. Внедрение или сокрытие недекларированных возможностей системного ПО и ПО для обработки персональных данных	низкая
3.6. Создание учетных записей теневых пользователей и неучтенных точек доступа в систему	низкая
4. Угрозы несанкционированного доступа к информации по каналам связи
4.1. Угроза «Анализ сетевого трафика» с перехватом информации за пределами контролируемой зоны	низкая
4.2. Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.	низкая
4.3. Угрозы выявления паролей по сети	низкая
4.4. Угрозы типа «Отказ в обслуживании»	низкая
4.5. Угрозы внедрения по сети вредоносных программ	низкая
4.6.Утечка информации, передаваемой с использованием протоколов беспроводного доступа	низкая
4.7. Перехват, модификация закрытого ключа ЭЦП	низкая
4.8. Угрозы удаленного запуска приложений	низкая
5. Угрозы антропогенного характера
5.1. Разглашение информации	средняя
5.2. Сокрытие ошибок и неправомерных действий пользователей и администраторов	низкая
5.3. Угроза появления новых уязвимостей вследствие невыполнения ответственными лицами своих должностных обязанностей	низкая
5.4. Угроза нарушения политики предоставления и прекращения доступа	низкая
5.5. Непреднамеренная модификация (уничтожение) информации	низкая
5.6. Непреднамеренное отключение средств защиты	низкая
6. Угрозы воздействия непреодолимых сил
6.1. Стихийное бедствие	низкая
6.2. Выход из строя аппаратно-программных средств	низкая
6.3. Аварии (пожар, потоп, случайное отключение электричества)	низкая