МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ. 2. Учебный пример МУ ИСПДн ИМОИБ. Учебный пример для самостоятельной подготовки
 Скачать 122.98 Kb.
|
Возможные негативные последствия от реализации (возникновения) угроз безопасности информацииВ ходе оценки угроз безопасности информации определяются негативные последствия, которые могут наступить от реализации (возникновения) угроз безопасности информации. Исходными данными для определения негативных последствий от реализации угроз безопасности информации являются: общий перечень угроз безопасности информации, содержащийся в банке данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru), модели угроз безопасности информации, разрабатываемые ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. №1085, а также отраслевые (ведомственные, корпоративные) модели угроз безопасности информации; нормативные правовые акты Российской Федерации, в соответствии с которыми создается и функционирует ИСПДн, содержащие в том числе описание назначения, задач (функций) ИСПДн, состав обрабатываемой информации и ее правовой режим; документация на ИСПДн (в части сведений о назначении и функциях ИСПДн, о составе и архитектуре ИСПДн); технологические, производственные карты или иные документы, содержащие описание основных (критических) процессов (бизнес-процессов) обладателя информации, оператора; результаты оценки рисков (ущерба), проведенной обладателем информации или оператором. На основе анализа исходных данных определяются событие или группа событий, наступление которых в результате реализации (возникновения) угроз безопасности информации может привести к: нарушению прав граждан; возникновению ущерба в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической, политической, экологической сферах деятельности государства; возникновению финансовых, производственных, репутационных или иных рисков (видов ущерба) для обладателя информации, оператора. Событие или группа событий определяются применительно к нарушению основных (критических) процессов (бизнес-процессов), выполнение которых обеспечивает ИСПДн, и применительно к нарушению безопасности информации, содержащейся в ИСПДн. В случае отсутствия у обладателя информации или оператора результатов оценки рисков (ущерба), возможные негативные последствия от реализации угроз безопасности информации определяются на основе экспертной оценки специалистов, проводящих оценку угроз безопасности информации, на основе информации, представляемой профильными подразделениями или специалистами обладателя информации или оператора. Определяемые в ходе оценки угроз безопасности информации негативные последствия должны быть конкретизированы применительно к областям и особенностям деятельности обладателя информации или оператора. Для систем и сетей обладателя информации или оператора может быть определено одно или несколько негативных последствий. Виды рисков (ущербов), актуальных для оператора ИСПДнВ соответствии с Методическим документом «Методика оценки угроз безопасности информации», утвержденным ФСТЭК России 05.02.2021 г. (далее – Методика), для оператора ИСПДн определяется следующий типовой перечень возможных рисков (ущербов): Ущерб физическому лицу; Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью; Ущерб государству в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической, политической, экологической сферах деятельности. В соответствии с экспертной оценкой, представителями Наименование предприятия были признаны актуальными следующие типы рисков (ущербов): Ущерб физическому лицу; Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью; Ущерб государству в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической, политической, экологической сферах деятельности. Возможные негативные последствия, наступление которых может привести к возникновению рисков (ущербов)Определение возможных негативных последствий производится экспертным методом экспертной группой, состав которой приведен в Главе 1 настоящей Модели угроз. В ходе работы экспертной группы проводится опрос ее членов с целью определить, возможно ли соответствующее негативное последствие в случае реализации угроз безопасности информации или нет. Оценка производится в 2 раунда. Опрос экспертов включает следующие этапы: каждый эксперт проводит оценку возможности негативных последствий по числовой шкале от «1» до «10»; в каждом раунде после оценки соответствующего негативного последствия каждым членом экспертной группы отбрасываются минимальные и максимальные оценки; определяется среднее значение в каждом раунде; определяется итоговое среднее значение по всем раундам. Негативные последствия считаются актуальными, если итоговое среднее значение больше или равно «7». Результаты опроса экспертной группы представлены в Таблице №2. Таблица №2
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||