Исходник_модель_пример. Генеральный директор ао Наименование

Название	Генеральный директор ао Наименование
Дата	07.08.2022
Размер	91.13 Kb.
Формат файла
Имя файла	Исходник_модель_пример.docx
Тип	Документы #641877
страница	2 из 7

1 2 3 4 5 6 7

Состав «НАИМЕНОВАНИЕ ОКИИ»

Состав технических средств (далее – ТС) «НАИМЕНОВАНИЕ ОКИИ» приведен в таблице 1, перечень программного обеспечения (далее – ПО) приведен в таблице 2.

Таблица 1 – Состав ТС «НАИМЕНОВАНИЕ ОКИИ»

№ п/п	Наименование	Примечание

Таблица 2 –Перечень ПО «НАИМЕНОВАНИЕ ОКИИ»

№ п/п	Наименование	Примечание

Описание архитектуры «НАИМЕНОВАНИЕ ОКИИ»

Описание пользователей «НАИМЕНОВАНИЕ ОКИИ»
1. Внешние пользователи

Внешними пользователями являются подрядные организации, осуществляющие внедрение, поддержку и обслуживание информационно-телекоммуникационных систем и программного обеспечения.

Внутренние пользователи

Внутренние пользователи подразделяются на:

Пользователей АС;

Системных Администраторов;

Сетевых Администраторов;

Администраторов информационной безопасности;

Привилегированные пользователи;

Системные учетные записи.

Разграничение прав доступа назначается в соответствии с Разрешительной системы доступа к ОКИИ.

Описание внешних интерфейсов и взаимодействий систем и сетей с пользователями


Устройство	Имя устройства	Интерфейс	IP адрес/маска

В связи с отсутствием сведений по обеспечению безопасности информации со стороны оператора услуг связи, принимается, что за пределами ИР АО «Наименование» находится скомпрометированные ресурсы, на которых злоумышленник обладает всеми возможностями для воздействия на информацию.

Учет машинных носителей информации осуществляется _____. Контроль использования внешних носителей информации осуществляется через программное обеспечение Антивирус Касперского и DLP-систему InfoWatch. У пользователей имеется возможность использовать машинные носители информации на всех АС ОКИИ.

Неиспользованные порты на сетевом оборудовании не опечатаны.

Схемы и рисунки, иллюстрирующие состав и архитектуру систем и сетей, интерфейсы взаимодействия компонентов системы и сети, группы пользователей, а также другие поясняющие материалы приведены в Приложении А.

Возможные негативные последствия от реализации (возникновения) угроз безопасности информации

№	Виды риска (ущерба)	Возможные типовые негативные последствия
У2	Риски юридическому лицу, связанные с хозяйственной деятельностью	Нарушение законодательства Российской Федерации. Недополучение ожидаемой (прогнозируемой) прибыли. Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций. Необходимость дополнительных (незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств). Нарушение штатного режима функционирования автоматизированной системы управления и управляемого объекта и/или процесса. Срыв запланированной сделки с партнером. Необходимость дополнительных (незапланированных) затрат на восстановление деятельности. Потеря клиентов, поставщиков. Потеря конкурентного преимущества. Нарушение деловой репутации. Причинение имущественного ущерба. Неспособность выполнения договорных обязательств. Невозможность решения задач (реализации функций) или снижение эффективности решения задач (реализации функций). Необходимость изменения (перестроения) внутренних процедур для достижения целей, решения задач (реализации функций). Рассылка информационных сообщений с использованием вычислительных мощностей оператора и (или) от его имени. Утечка конфиденциальной информации (коммерческой тайны, секретов производства (ноу-хау) и др.)
У3	Ущерб государству в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической, политической, экологической сферах деятельности	Снижение уровня дохода государственной корпорации, государственной организации или организации с государственным участием. Возникновение ущерба бюджетам Российской Федерации. Снижение показателей государственного оборонного заказа.

Возможные объекты воздействия угроз безопасности информации

Таблица

Негативные последствия	Объекты воздействия	Виды воздействия
Нарушение законодательства Российской Федерации. (У2)	Сервер почты	Распространение вредоносного программного обеспечения, а также иного контента, распространение которого нарушает законодательство Российской Федерации
Недополучение ожидаемой (прогнозируемой) прибыли. (У2)	Сетевое оборудование и/или программное обеспечение «НАИМЕНОВАНИЕ ОКИИ»	Деструктивное воздействие на сетевое оборудование и/или программное обеспечение, с наихудшим результатом в виде неработоспособности всей системы или ее части
Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций (У2)	Сетевое оборудование и/или программное обеспечение «НАИМЕНОВАНИЕ ОКИИ»	Деструктивное воздействие на сетевое оборудование и/или программное обеспечение, с наихудшим результатом в виде неработоспособности всей системы или ее части
Необходимость дополнительных (незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств) (У2)	Сетевое оборудование и/или программное обеспечение «НАИМЕНОВАНИЕ ОКИИ»	Деструктивное воздействие на сетевое оборудование и/или программное обеспечение, с наихудшим результатом в виде неработоспособности всей системы или ее части
Нарушение штатного режима функционирования автоматизированной системы управления и управляемого объекта и/или процесса (У2)	Сетевое оборудование и/или программное обеспечение «НАИМЕНОВАНИЕ ОКИИ»	Деструктивное воздействие на сетевое оборудование и/или программное обеспечение, с наихудшим результатом в виде неработоспособности всей системы или ее части
Срыв запланированной сделки с партнером (У2)	Электронный почтовый ящик руководителя организации	Модификация информации и отправка электронных писем с недостоверной информацией от имени руководителя организации
Необходимость дополнительных (незапланированных) затрат на восстановление деятельности (У2)	Сетевое оборудование и/или программное обеспечение «НАИМЕНОВАНИЕ ОКИИ»	Деструктивное воздействие на сетевое оборудование и/или программное обеспечение, с наихудшим результатом в виде неработоспособности всей системы или ее части
Потеря клиентов, поставщиков (У2)	Сетевое оборудование и/или программное обеспечение «НАИМЕНОВАНИЕ ОКИИ»	Деструктивное воздействие на сетевое оборудование и/или программное обеспечение, с наихудшим результатом в виде неработоспособности всей системы или ее части
Потеря конкурентного преимущества (У2)	Сетевое оборудование и/или программное обеспечение «НАИМЕНОВАНИЕ ОКИИ»	Деструктивное воздействие на сетевое оборудование и/или программное обеспечение, с наихудшим результатом в виде неработоспособности всей системы или ее части
Нарушение деловой репутации (У2)	Сетевое оборудование и/или программное обеспечение «НАИМЕНОВАНИЕ ОКИИ»	Деструктивное воздействие на сетевое оборудование и/или программное обеспечение, с наихудшим результатом в виде неработоспособности всей системы или ее части.
Причинение имущественного ущерба (У2)	Сетевое оборудование и/или программное обеспечение «НАИМЕНОВАНИЕ ОКИИ»	Деструктивное воздействие на сетевое оборудование и/или программное обеспечение, с наихудшим результатом в виде неработоспособности всей системы или ее части
Неспособность выполнения договорных обязательств (У2)	Сетевое оборудование и/или программное обеспечение «НАИМЕНОВАНИЕ ОКИИ»	Деструктивное воздействие на сетевое оборудование и/или программное обеспечение, с наихудшим результатом в виде неработоспособности всей системы или ее части
Невозможность решения задач (реализации функций) или снижение эффективности решения задач (реализации функций) (У2)	Сетевое оборудование и/или программное обеспечение «НАИМЕНОВАНИЕ ОКИИ»	Деструктивное воздействие на сетевое оборудование и/или программное обеспечение, с наихудшим результатом в виде неработоспособности всей системы или ее части
Необходимость изменения (перестроения) внутренних процедур для достижения целей, решения задач (реализации функций) (У2)	Сетевое оборудование и/или программное обеспечение «НАИМЕНОВАНИЕ ОКИИ»	Деструктивное воздействие на сетевое оборудование и/или программное обеспечение, с наихудшим результатом в виде неработоспособности всей системы или ее части
Простой информационной системы или сети (У2)	Сетевое оборудование и/или программное обеспечение «НАИМЕНОВАНИЕ ОКИИ»	Деструктивное воздействие на сетевое оборудование и/или программное обеспечение, с наихудшим результатом в виде неработоспособности всей системы или ее части
Рассылка информационных сообщений с использованием вычислительных мощностей оператора и (или) от его имени (У2)	Внешние адресаты через почтовый сервер	Блокировка почтового сервера
Утечка конфиденциальной информации (коммерческой тайны, секретов производства (ноу-хау) и др.) (У2)	Информационные ресурсы «НАИМЕНОВАНИЕ ОКИИ»	Блокировка, изменение и/или хищение информации. Шантаж, разглашение информации
Снижение уровня дохода государственной корпорации, государственной организации или организации с государственным участием (У3)	Сетевое оборудование и/или программное обеспечение «НАИМЕНОВАНИЕ ОКИИ»	Деструктивное воздействие на сетевое оборудование и/или программное обеспечение, с наихудшим результатом в виде неработоспособности всей системы или ее части
Возникновение ущерба бюджетам Российской Федерации (У3)	Сетевое оборудование и/или программное обеспечение «НАИМЕНОВАНИЕ ОКИИ»	Деструктивное воздействие на сетевое оборудование и/или программное обеспечение, с наихудшим результатом в виде неработоспособности всей системы или ее части
Снижение показателей государственного оборонного заказа (У3)	Сетевое оборудование и/или программное обеспечение «НАИМЕНОВАНИЕ ОКИИ»	Деструктивное воздействие на сетевое оборудование и/или программное обеспечение, с наихудшим результатом в виде неработоспособности всей системы или ее части

К модели угроз безопасности информации может прилагаться схема с отображением объектов воздействия и их назначения в составе архитектуры систем и сетей.

Источники угроз безопасности информации

№ вида	Виды нарушителя	Категории нарушителя	Возможные цели реализации угроз безопасности информации
1	Специальные службы иностранных государств	Внешний	Нанесение ущерба государству в области обеспечения обороны, безопасности и правопорядка, а также в иных отдельных областях его деятельности или секторах экономики, в том числе дискредитация или дестабилизация деятельности отдельных органов государственной власти, организаций, получение конкурентных преимуществ на уровне государства, срыв заключения международных договоров, создание внутриполитического кризиса
2	Террористические, экстремистские группировки	Внешний	Совершение террористических актов, угроза жизни граждан. Нанесение ущерба отдельным сферам деятельности или секторам экономики государства. Дестабилизация общества. Дестабилизация деятельности органов государственной власти, организаций
3	Преступные группы (криминальные структуры)	Внешний	Получение финансовой или иной материальной выгоды. Желание самореализации (подтверждение статуса)
4	Отдельные физические лица (хакеры)	Внешний	Получение финансовой или иной материальной выгоды. Любопытство или желание самореализации (подтверждение статуса)
5	Конкурирующие организации	Внешний	Получение конкурентных преимуществ. Получение финансовой или иной материальной выгоды
6	Разработчики программных, программно-аппаратных средств	Внутренний	Внедрение дополнительных функциональных возможностей в программные или программно-аппаратные средства на этапе разработки. Получение конкурентных преимуществ. Получение финансовой или иной материальной выгоды. Непреднамеренные, неосторожные или неквалифицированные действия
7	Лица, обеспечивающие поставку программных, программно-аппаратных средств, обеспечивающих систем	Внешний	Получение финансовой или иной материальной выгоды. Непреднамеренные, неосторожные или неквалифицированные действия. Получение конкурентных преимуществ
8	Поставщики вычислительных услуг, услуг связи	Внутренний	Получение финансовой или иной материальной выгоды. Непреднамеренные, неосторожные или неквалифицированные действия. Получение конкурентных преимуществ
9	Лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ	Внутренний	Получение финансовой или иной материальной выгоды. Непреднамеренные, неосторожные или неквалифицированные действия. Получение конкурентных преимуществ
10	Лица, обеспечивающие функционирование систем и сетей или обеспечивающие системы оператора (администрация, охрана, уборщики и т.д.)	Внутренний	Получение финансовой или иной материальной выгоды. Непреднамеренные, неосторожные или неквалифицированные действия
11	Авторизованные пользователи систем и сетей	Внутренний	Получение финансовой или иной материальной выгоды. Любопытство или желание самореализации (подтверждение статуса). Месть за ранее совершенные действия. Непреднамеренные, неосторожные или неквалифицированные действия
12	Системные администраторы и администраторы безопасности	Внутренний	Получение финансовой или иной материальной выгоды. Любопытство или желание самореализации (подтверждение статуса). Месть за ранее совершенные действия. Непреднамеренные, неосторожные или неквалифицированные действия
13	Бывшие работники (пользователи)	Внешний	Получение финансовой или иной материальной выгоды. Месть за ранее совершенные действия

1 2 3 4 5 6 7