Основными угрозами информационной безопасности информационной системы Организации являются:
- нарушение доступности информации и предоставляемых сервисов;
- нарушение целостности информации (данных) и программного обеспечения;
- нарушение конфиденциальности (неправомерное использование) информации, в том числе за счет хищения отчуждаемых машинных носителей с несанкционированно копированной информацией.
- нарушение регламентов технологических процессов совершения банковских операций;
- хищение информационных активов.
Перечень источников угроз для объектов защиты и возможные последствия их реализации:
На физическом и канальном уровне:
- возникновение катастроф и неблагоприятных событий природного и техногенного характера;
- проведение террористических актов;
- зависимость от поставщиков аппаратно-программных и технических средств, расходных материалов, телекоммуникационных услуг и т.п.;
- атаки из внешних информационных сред на аппаратно-программные и технические комплексы Организации;
|
|
- физическое повреждение каналов связи и технических средств.
Указанные угрозы могут приводить к нарушению доступности информации:
- невозможности выполнения персоналом Организации своих функциональных обязанностей;
- нарушению сроков и порядка прохождения отчетной информации;
- нарушению сроков проведения операций между Организациями и его клиентами;
- нарушению информационного обмена.
На транспортном, сетевом уровне и уровне сетевых приложений и сервисов:
- блокирование работы программно-технического комплекса электронного обмена информацией между Организациями и подчиненными подразделениями путем проведения атак типа "Отказ в обслуживании";
- блокирование работы телекоммуникационной системы Организации путем использования ошибочных настроек, модификации программного обеспечения;
- чтение и копирование данных;
- нарушение нормального информационного взаимодействия Организации с внешними организациями в результате несанкционированного доступа к телекоммуникационному серверу почтовой системы извне, как в результате действий компьютерных злоумышленников, так и в результате утечки (разглашения) паролей и атрибутов доступа.
Реализации данных угроз могут приводить к нарушению целостности и конфиденциальности электронных сообщений:
- разглашению информации, доверенной Организации его клиентами, третьим лицам;
- получению субъектами, не имеющими на это соответствующих прав, возможности доступа к информации, в отношении которой Организацией установлен режим защиты;
- использованию информации, в отношении которой Организацией установлен режим защиты, в личных целях, или в целях, противоречащих интересам Организации или его клиентов и т.п.
|
|
На уровне операционных систем, прикладного программного обеспечения и СУБД:
- уничтожение, искажение прикладного программного обеспечения;
- нарушение правильной работы почтовых и телекоммуникационных серверов, абонентских пунктов, в результате воздействия вредоносного программного кода при проведении модификации программного обеспечения;
- искажение/уничтожение информации в результате воздействия вредоносного программного кода при (приеме) переносе информации от внешних организаций;
- чтение и копирование данных;
- нарушение защитных механизмов телекоммуникационной системы в результате воздействия специальных программных модулей-закладок при неконтролируемой установке программного обеспечения.
Реализации данных угроз могут приводить к нарушению доступности, целостности и конфиденциальности информации:
- невозможности выполнения персоналом Организации своих функциональных обязанностей;
- нарушению сроков и порядка прохождения отчетной информации;
- нарушению сроков проведения операций между Организацией и его клиентами;
- нарушению информационного обмена;
- разглашению информации, доверенной Организации его клиентами, третьим лицам;
- получению субъектами, не имеющими на это соответствующих прав, возможности доступа к информации, в отношении которой Банком России установлен режим защиты;
- использованию информации, в отношении которой Организацией установлен режим защиты, в личных целях, или в целях, противоречащих интересам Организации или его клиентов и т.п.