Фрагмент документа "РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. МЕТОДИКА ОЦЕНКИ РИСКОВ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ".
РЕКОМЕНДУЕМЫЙ ПЕРЕЧЕНЬ
КЛАССОВ, ОСНОВНЫХ ИСТОЧНИКОВ УГРОЗ ИБ И ИХ ОПИСАНИЕ
---------------------------------------------------------------------------
| Источник угрозы ИБ | Описание |
|-------------------------------------------------------------------------|
| Класс 1. Источники угроз ИБ, связанные с неблагоприятными событиями |
| природного, техногенного и социального характера |
|-------------------------------------------------------------------------|
|Пожар |Неконтролируемый процесс горения, |
| |сопровождающийся уничтожением материальных |
| |ценностей и создающий опасность для жизни людей. |
| |Возможные причины: поджог, самовозгорание, |
| |природное явление |
|-----------------------|-------------------------------------------------|
|Природные катастрофы, |Природные явления разрушительного характера |
|чрезвычайные ситуации |(наводнения, землетрясения, извержения вулканов, |
|и стихийные бедствия |ураганы, смерчи, тайфуны, цунами и т.д.) |
|-----------------------|-------------------------------------------------|
|Техногенные |Разрушительный процесс, развивающийся в |
|катастрофы |результате нарушения нормального взаимодействия |
| |технологических объектов между собой или с |
| |компонентами окружающей природной среды, |
| |приводящий к гибели людей, разрушению и |
| |повреждению объектов экономики и компонентов |
| |окружающей природной среды |
|-----------------------|-------------------------------------------------|
|Нарушение |Негативное изменение климатических условий в |
|внутриклиматических |помещениях, где расположены технические средства |
|условий |и/или находится персонал: значительные изменения |
| |температуры и влажности, повышение содержания |
| |углекислого газа, пыли и т.п. Возможные |
| |последствия: сбои, отказы и аварии технических |
| |средств, снижение работоспособности и нанесение |
| |ущерба здоровью персонала, нарушение |
| |непрерывности выполнения процессов, снижение |
| |качества информационных услуг (сервисов) |
|-----------------------|-------------------------------------------------|
|Нарушение |Нарушение или снижение качества электропитания. |
|электропитания |Возможные причины: техногенная катастрофа, |
| |стихийное бедствие, природное явление, |
| |террористический акт, пожар и т.п. Возможные |
| |последствия: сбои и отказы технических средств |
|-----------------------|-------------------------------------------------|
|Нарушение |Сбои и аварии в системах водоснабжения, |
|функционирования |канализации, отопления |
|систем | |
|жизнеобеспечения | |
|-----------------------|-------------------------------------------------|
|Угроза здоровью |Угроза здоровью персонала в результате |
|персонала |радиационных, биологических, механических, |
| |термических, химических и иных воздействий со |
| |стороны окружающей среды, объектов инженерной |
| |инфраструктуры, технических средств, пищевые |
| |отравления, производственный травматизм. |
| |Возможные причины: техногенные или природные |
| |катастрофы, аварии объектов инженерной |
| |инфраструктуры, неисправность оборудования, |
| |несоблюдение правил техники безопасности и охраны|
| |труда, санитарных правил и т.д. Возможные |
| |последствия: нехватка персонала, денежные |
| |выплаты, судебные разбирательства |
|-------------------------------------------------------------------------|
|Класс 2. Источники угроз ИБ, связанные с деятельностью террористов и лиц,|
| совершающих преступления и правонарушения |
|-------------------------------------------------------------------------|
|Нарушения |Уничтожение или повреждение имущества организации|
|общественного |БС РФ |
|порядка, вандализм, | |
|массовые беспорядки, | |
|политическая | |
|нестабильность | |
|-----------------------|-------------------------------------------------|
|Террористические |Совершение взрыва, поджога или иных действий, |
|действия |устрашающих население и создающих опасность |
| |гибели людей, причинения значительного |
| |имущественного ущерба либо наступления иных |
| |тяжких последствий, в целях воздействия на |
| |принятие решения организацией БС РФ, а также |
| |угроза совершения указанных действий в тех же |
| |целях |
|-----------------------|-------------------------------------------------|
|Промышленный шпионаж |Передача, собирание, похищение или хранение |
| |информационных активов организации БС РФ для |
| |использования их в ущерб организации БС РФ |
|-----------------------|-------------------------------------------------|
|Запугивание и шантаж |Принуждение персонала организации БС РФ к |
| |осуществлению несанкционированных действий, |
| |заключающееся в угрозе разоблачения, физической |
| |расправы или расправы с близкими |
|-----------------------|-------------------------------------------------|
|Социальный инжиниринг |Умышленные действия сторонних лиц, преследующих |
| |мошеннические цели, реализуемые посредством |
| |обмана, введения в заблуждение работников |
| |организации БС РФ. Возможные последствия: ошибки |
| |работников, нарушение свойств, утрата |
| |информационных активов, нарушение непрерывности |
| |процессов, снижение качества информационных услуг|
| |(сервисов) |
|-------------------------------------------------------------------------|
| Класс 3. Источники угроз ИБ, связанные с деятельностью |
| поставщиков/провайдеров/партнеров |
|-------------------------------------------------------------------------|
|Зависимость от |Зависимость от партнеров заставляет организацию |
|партнеров/клиентов |полагаться на их информационную безопасность, |
| |организация должна быть уверена, что партнер |
| |сможет обеспечить должный уровень безопасности |
| |либо учитывать данный источник угроз |
|-----------------------|-------------------------------------------------|
|Ошибки, допущенные |Неточности и неопределенности в договоре с |
|при заключении |провайдером внешних услуг, которые могут |
|контрактов с |создавать проблемы в работе заказчика |
|провайдерами внешних | |
|услуг | |
|-----------------------|-------------------------------------------------|
|Нарушения договорных |Невыполнение со стороны третьих лиц взятых на |
|обязательств |себя обязательств по качеству, составу, |
|сторонними (третьими) |содержанию и/или порядку оказания услуг, поставки|
|лицами |продукции и т.д. Например, невыполнение |
| |требований разработчиками, поставщиками |
| |программно-технических средств и услуг или |
| |внешними пользователями |
|-----------------------|-------------------------------------------------|
|Ошибки в обеспечении |Ошибки в обеспечении безопасности при разработке,|
|безопасности |эксплуатации, сопровождении и выводе из |
|информационных систем |эксплуатации информационных систем |
|на стадиях жизненного | |
|цикла | |
|-----------------------|-------------------------------------------------|
|Разработка и |Некачественное выполнение документированного |
|использование |описания технологических процессов обработки, |
|некачественной |хранения, передачи данных, руководств для |
|документации |персонала, участвующего в этих технологических |
| |процессах, а также описания средств обеспечения |
| |ИБ и руководств по их использованию |
|-----------------------|-------------------------------------------------|
|Использование |Использование в информационной системе |
|программных средств и |организации непроверенных данных или |
|информации без |нелицензионного программного обеспечения |
|гарантии источника | |
|-------------------------------------------------------------------------|
| Класс 4. Источники угроз ИБ, связанные со сбоями, отказами, |
| разрушениями/повреждениями программных и технических средств |
|-------------------------------------------------------------------------|
|Превышение допустимой |Неумышленное превышение допустимой нагрузки на |
|нагрузки |вычислительные, сетевые ресурсы системы. |
| |Выполнение работниками объема операций большего, |
| |чем это допускается психофизиологическими |
| |нормами. Возможные причины: малая вычислительная |
| |и/или пропускная мощность, неправильная |
| |организация бизнес-процессов. Возможные |
| |последствия: сбои и отказы технических средств, |
| |нарушение доступности технических средств, ошибки|
| |персонала, нанесение вреда здоровью |
|-----------------------|-------------------------------------------------|
|Разрушение/повреждение,|Физическое разрушение/повреждение технических |
|аварии технических |средств (канала связи) или определенное сочетание|
|средств и каналов связи|отказов его элементов, приводящее к нарушениям |
| |функционирования, сопряженным с особо |
| |значительными техническими потерями, делающее |
| |невозможным функционирование технического |
| |средства (канала связи) в целом в течение |
| |значительного периода времени. Возможные причины:|
| |действие внешних (физический несанкционированный |
| |доступ, террористический акт, техногенная |
| |катастрофа, стихийное бедствие, природное |
| |явление, массовые беспорядки) и/или внутренних |
| |(значительные отказы элементов технических |
| |средств) факторов. Возможные последствия: |
| |нарушение свойств информационных активов, их |
| |утрата, нарушение непрерывности выполнения |
| |процессов, снижение качества информационных услуг|
| |(сервисов) |
|-----------------------|-------------------------------------------------|
|Сбои и отказы |Нарушение работоспособности программных средств. |
|программных средств |Возможные причины: недопустимое изменение |
| |параметров или свойств программных средств под |
| |влиянием внутренних процессов (ошибок) и/или |
| |внешних воздействий со стороны вредоносных |
| |программ, оператора и технических средств. |
| |Возможные последствия: нарушение свойств |
| |информационных активов, нарушение непрерывности |
| |выполнения процессов, снижение качества |
| |информационных услуг (сервисов) |
|-----------------------|-------------------------------------------------|
|Сбои и отказы |Прерывание работоспособности технических средств |
|технических средств и |или невозможность выполнения ими своих функций в |
|каналов связи |заранее установленных границах. Возможные |
| |причины: недопустимое изменение характеристик |
| |технических средств под влиянием внутренних |
| |процессов, сложность технических средств, |
| |нехватка персонала, недостаточное техническое |
| |обслуживание. Возможные последствия: сбои, отказы|
| |программных средств, аварии систем, нарушение |
| |доступности информационных активов, нарушение |
| |непрерывности выполнения процессов, снижение |
| |качества информационных услуг (сервисов) |
|-----------------------|-------------------------------------------------|
|Нарушения |Случайное или намеренное неправильное управление |
|функциональности |криптографическими ключами, криптографическими |
|криптографической |протоколами и алгоритмами, программно-аппаратными|
|системы |средствами систем криптографической защиты |
| |информации, приводящее к потере |
| |конфиденциальности, целостности и доступности |
| |информации, нарушению неотказуемости приема- |
| |передачи информации, блокировке функционирования |
| |платежных и информационных систем организации БС |
| |РФ |
|-----------------------|-------------------------------------------------|
|Нарушения |Нарушение конфиденциальности и целостности |
|функциональности |архивных данных и/или непредоставление услуг |
|архивной системы |архивной системой (нарушение доступности) |
| |вследствие случайных ошибок пользователей или |
| |неправильного управления архивной системой, а |
| |также вследствие физических воздействий на |
| |компоненты архивной системы |
|-------------------------------------------------------------------------|
| Класс 5. Источники угроз ИБ, связанные с деятельностью внутренних |
| нарушителей ИБ |
|-------------------------------------------------------------------------|
|Недобросовестное |Сознательное неисполнение работниками |
|исполнение |определенных обязанностей или небрежное их |
|обязанностей |исполнение |
|-----------------------|-------------------------------------------------|
|Халатность |Неисполнение или ненадлежащее исполнение |
| |должностным лицом своих обязанностей вследствие |
| |недобросовестного или небрежного отношения к |
| |службе |
|-----------------------|-------------------------------------------------|
|Причинение |Умышленное нанесение персоналом вреда |
|имущественного ущерба |информационным активам. В первую очередь |
| |вредительство может быть направлено на |
| |технические и программные средства, а также на |
| |информационные активы. Возможные последствия: |
| |ущерб, вызванный нарушением свойств активов, |
| |включая их разрушение и уничтожение |
|-----------------------|-------------------------------------------------|
|Ошибка персонала |Любые не соответствующие установленному |
| |регламенту или сложившимся практикам действия |
| |персонала, совершаемые без злого умысла. |
| |Возможные причины: недостаточно четко |
| |определенные обязанности, халатность, |
| |недостаточное обучение или квалификация |
| |персонала. Возникновению ошибок способствуют |
| |отсутствие дисциплинарного процесса и |
| |документирования процессов, предоставление |
| |избыточных полномочий, умышленное использование |
| |методов социального инжиниринга по отношению к |
| |персоналу. Возможные последствия: нарушение |
| |конфиденциальности и целостности информации, |
| |утрата информационных активов, нарушение |
| |непрерывности выполнения процессов, снижение |
| |качества информационных услуг (сервисов), сбои и |
| |отказы технических и программных средств |
|-----------------------|-------------------------------------------------|
|Хищение |Совершенное с корыстной целью противоправное |
| |безвозмездное изъятие и/или обращение имущества |
| |организации БС РФ, причинившие ущерб собственнику|
| |или иному владельцу этого имущества |
|-----------------------|-------------------------------------------------|
|Выполнение |Внедрение в систему и выполнение вредоносных |
|вредоносных программ |программ: программных закладок, "троянских |
| |коней", программных "вирусов" и "червей" и т.п. |
| |Возможные причины: беспечность, халатность, |
| |низкая квалификация персонала (пользователей), |
| |наличие уязвимостей используемых программных |
| |средств. Возможные последствия: |
| |несанкционированный доступ к информационным |
| |активам, нарушение их свойств, сбои, отказы и |
| |уничтожение программных средств, нарушение |
| |непрерывности выполнения процессов, снижение |
| |качества информационных услуг (сервисов) |
|-----------------------|-------------------------------------------------|
|Использование |Умышленное использование информационных активов |
|информационных |организации в целях, отличных от целей |
|активов не по |организации. Возможные причины: отсутствие |
|назначению |контроля персонала. Возможные последствия: |
| |нехватка вычислительных, сетевых или людских |
| |ресурсов, прямой ущерб организации |
|-----------------------|-------------------------------------------------|
|Нарушения персоналом |Несоблюдение персоналом требований внутренних |
|организационных мер |документов, регламентирующих деятельность по ИБ |
|по обеспечению ИБ | |
|-----------------------|-------------------------------------------------|
|Ошибки кадровой |Ошибки кадровой работы заключаются в приеме на |
|работы |работу неквалифицированных сотрудников, |
| |увольнении/перемещении сотрудников без проведения|
| |сопутствующих процедур по обеспечению ИБ, |
| |непроведении или нерегулярном проведении |
| |тренингов и проверок персонала |
|-------------------------------------------------------------------------|
| Класс 6. Источники угроз ИБ, связанные с деятельностью внешних |
| нарушителей ИБ |
|-------------------------------------------------------------------------|
|Действия |Умышленные действия со стороны субъекта из |
|неавторизованного |внешней по отношению к области обеспечения ИБ |
|субъекта |среды. Возможные последствия: разрушение и |
| |уничтожение технических и программных средств, |
| |внедрение и выполнение вредоносных программ, |
| |нарушение свойств, утрата информационных активов |
| |и сервисов |
|-----------------------|-------------------------------------------------|
|Ложное сообщение об |Ложное сообщение об угрозе, такой как: пожар, |
|угрозе |террористический акт, техногенная катастрофа, |
| |гражданские беспорядки и т.д. Возможные |
| |последствия: нарушение свойств информационных |
| |активов, их утрата, нарушение непрерывности |
| |выполнения процессов, снижение качества |
| |информационных услуг (сервисов) |
|-----------------------|-------------------------------------------------|
|Неконтролируемое |Неумышленное уничтожение информационных активов. |
|уничтожение |Возможные причины: сбои оборудования, природные |
|информационного актива |факторы и техногенные катастрофы. Возможные |
| |последствия: прямой ущерб организации |
|-----------------------|-------------------------------------------------|
|Неконтролируемая |Неумышленное изменение информационных активов. |
|модификация |Возможные причины: сбои оборудования, природные |
|информационного актива |факторы и техногенные катастрофы. Возможные |
| |последствия: нарушение непрерывности выполнения |
| |процессов, прямой ущерб организации |
|-----------------------|-------------------------------------------------|
|Несанкционированный |Несанкционированный логический доступ |
|логический доступ |неавторизованных субъектов к компонентам |
| |подразделения и информационным активам. Возможные|
| |причины: компрометация пароля, предоставление |
| |пользователям/администраторам избыточных прав |
| |доступа, недостатки (отсутствие) механизмов |
| |аутентификации пользователей и администраторов, |
| |ошибки администрирования, оставление без |
| |присмотра программно-технических средств. Одним |
| |из путей получения несанкционированного доступа к|
| |системе является умышленное внедрение вредоносных|
| |программ с целью хищения пароля для входа в |
| |систему или получения прав доступа. Возможные |
| |последствия: нарушение свойств информационных |
| |активов, сбои, отказы и аварии программных и |
| |технических средств, нарушение непрерывности |
| |процессов и/или снижение качества информационных |
| |услуг (сервисов) |
|-----------------------|-------------------------------------------------|
|Несанкционированный |Физический несанкционированный доступ |
|физический доступ |неавторизованных лиц в контролируемую зону |
| |расположения технических средств и/или |
| |информационных активов. Возможные причины: может |
| |осуществляться путем обхода средств контроля |
| |физического доступа или использования |
| |утраченных/похищенных средств обеспечения |
| |доступа. Возможные последствия: разрушение и |
| |уничтожение технических и программных средств, |
| |нарушение конфиденциальности, целостности, |
| |доступности информационных активов, нарушение |
| |непрерывности процессов и/или снижение качества |
| |информационных услуг (сервисов) |
|-------------------------------------------------------------------------|
| Класс 7. Источники угроз ИБ, связанные с несоответствием требованиям |
| надзорных и регулирующих органов, действующему законодательству |
|-------------------------------------------------------------------------|
|Несоответствие |Несоответствие деятельности может привести к |
|внутренних документов |административным и уголовным санкциям со стороны |
|действующему |судебных, надзорных и регулирующих органов в |
|законодательству |отношении должностных лиц подразделения, вызвать |
| |остановку отдельных видов деятельности |
|-----------------------|-------------------------------------------------|
|Изменчивость и |Непостоянство, различия и коллизии в содержании |
|несогласованность |требований и/или порядке их выполнения способны |
|требований надзорных |дезорганизовать деятельность подразделения или |
|и регулирующих |его отдельных служб, снизить ее эффективность и |
|органов, вышестоящих |качество, а при определенных обстоятельствах - |
|инстанций |затруднить ее осуществление. Способствует |
| |"размыванию" или пересечению зон ответственности |
| |исполнителей и служб, манипуляции со стороны |
| |ответственных лиц и служб своими правами и |
| |обязанностями в ущерб общей деятельности. |
| |Приводит к перераспределению ресурсов в пользу |
| |той деятельности (зачастую не основной), за |
| |несоблюдение требований к которой наказание |
| |наиболее ощутимо для организации (должностного |
| |лица) |
---------------------------------------------------------------------------
Приложение 2
|
Фрагмент документа "РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. МЕТОДИКА ОЦЕНКИ РИСКОВ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ".