Анализ защищенности

Оценка реализуемости  УБПДн представлена в таблице 2.3.

Таблица 2.3 – Реализуемость УБПДн

Тип угроз безопасности ПДн	Коэффициент реализуемости угрозы (Y)	Возможность реализации
1. Угрозы от утечки по техническим каналам.
1.1. Угрозы утечки акустической информации	0,25	низкая
1.2. Угрозы утечки видовой информации	0,35	средняя
1.3. Угрозы утечки информации по каналам ПЭМИН	0,25	низкая
2. Угрозы несанкционированного доступа к информации.
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн
2.1.1. Кража ПЭВМ	0,25	низкая
2.1.2. Кража носителей информации	0,25	низкая
2.1.3. Кража ключей и атрибутов доступа	0,35	средняя
2.1.4. Кражи, модификации, уничтожения информации	0,25	низкая
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи	0,5	средняя
2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ	0,25	низкая
2.1.7. Несанкционированное отключение средств защиты	0,25	низкая
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий).
2.2.1. Действия вредоносных программ (вирусов)	0,5	средняя
2.2.2. Недекларированные возможности системного ПО и ПО для обработки персональных данных	0,35	средняя
2.2.3. Установка ПО не связанного с исполнением служебных обязанностей	0,25	низкая
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
2.3.1. Утрата ключей и атрибутов доступа	0,35	средняя
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками	0,25	низкая
2.3.3. Непреднамеренное отключение средств защиты	0,25	низкая
2.3.4. Выход из строя аппаратно-программных средств	0,35	средняя
2.3.5. Сбой системы электроснабжения	0,25	низкая
2.3.6. Стихийное бедствие	0,25
2.4. Угрозы преднамеренных действий внутренних нарушителей
2.4.1. Доступ к информации, модификация, уничтожение  лиц не допущенных к ее обработке	0,25	низкая
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками, допущенными к ее обработке	0,35	средняя
2.5.Угрозы несанкционированного доступа по каналам связи.
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:	0,35	средняя
2.5.1.1. Перехват за переделами с контролируемой зоны	0,5	средняя
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями	0,25	низкая
2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями.	0,25	низкая
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.	0,25	низкая
2.5.3.Угрозы выявления паролей по сети	0,5	средняя
2.5.4.Угрозы навязывание ложного маршрута сети	0,35	средняя
2.5.5.Угрозы подмены доверенного объекта в сети	0,35	средняя
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях	0,35	средняя
2.5.7.Угрозы типа «Отказ в обслуживании»	0,5	средняя
2.5.8.Угрозы удаленного запуска приложений	0,5	средняя
2.5.9.Угрозы внедрения по сети вредоносных программ	0,5	средняя

2.2.6 Оценка опасности угроз

 

Оценка опасности  УБПДн представлена таблице 2.4.

Таблица 2.4 – Опасность УБПДн

Тип угроз безопасности ПДн	Опасность угрозы
1. Угрозы от утечки по техническим  каналам.
1.1. Угрозы утечки акустической информации	низкая
1.2. Угрозы утечки видовой информации	высокая
1.3. Угрозы утечки информации по  каналам ПЭМИН	низкая
2. Угрозы несанкционированного доступа  к информации.
2.1. Угрозы уничтожения, хищения аппаратных  средств ИСПДн носителей информации  путем физического доступа к  элементам ИСПДн
2.1.1. Кража ПЭВМ	высокая
2.1.2. Кража носителей информации	высокая
2.1.3. Кража ключей и атрибутов доступа	высокая
2.1.4. Кражи, модификации, уничтожения  информации	высокая
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи	средняя
2.1.6. Несанкционированный доступ к  информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ	высокая
2.1.7. Несанкционированное отключение  средств защиты	средняя
2.2. Угрозы хищения, несанкционированной  модификации или блокирования  информации за счет несанкционированного  доступа (НСД) с применением  программно-аппаратных и программных  средств (в том числе программно-математических  воздействий).
2.2.1. Действия вредоносных программ (вирусов)	высокая
2.2.2. Недекларированные возможности системного ПО и ПО для обработки персональных данных	низкая
2.2.3. Установка ПО не связанного  с исполнением служебных обязанностей	низкая
2.3. Угрозы не преднамеренных действий  пользователей и нарушений безопасности  функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
2.3.1. Утрата ключей и атрибутов  доступа	средняя
2.3.2. Непреднамеренная модификация (уничтожение)  информации сотрудниками	высокая
2.3.3. Непреднамеренное отключение средств  защиты	средняя
2.3.4. Выход из строя аппаратно-программных  средств	средняя
2.3.5. Сбой системы электроснабжения	низкая
2.3.6. Стихийное бедствие	средняя
2.4. Угрозы преднамеренных действий  внутренних нарушителей
2.4.1. Доступ к информации, модификация,  уничтожение  лиц не допущенных  к ее обработке	высокая
2.4.2. Разглашение информации, модификация,  уничтожение сотрудниками допущенными  к ее обработке	высокая
2.5.Угрозы  несанкционированного доступа по  каналам связи.
2.5.1.Угроза  «Анализ сетевого трафика» с  перехватом передаваемой из ИСПДн  и принимаемой из внешних сетей  информации:	средняя
2.5.1.1. Перехват за переделами с контролируемой  зоны	средняя
2.5.1.2. Перехват в пределах контролируемой  зоны внешними нарушителями	высокая
2.5.1.3.Перехват  в пределах контролируемой зоны  внутренними нарушителями.	средняя
2.5.2.Угрозы  сканирования, направленные на выявление  типа или типов используемых  операционных систем, сетевых адресов  рабочих станций ИСПДн, топологии  сети, открытых портов и служб,  открытых соединений и др.	средняя
2.5.3.Угрозы  выявления паролей по сети	средняя
2.5.4.Угрозы  навязывание ложного маршрута  сети	низкая
2.5.5.Угрозы  подмены доверенного объекта  в сети	низкая
2.5.6.Угрозы  внедрения ложного объекта как  в ИСПДн, так и во внешних  сетях	низкая
2.5.7.Угрозы  типа «Отказ в обслуживании»	средняя
2.5.8.Угрозы  удаленного запуска приложений	высокая
2.5.9.Угрозы  внедрения по сети вредоносных  программ	высокая

2.2.6 Определение актуальности угроз в ИСПДн

Оценка актуальности угроз безопасности представлена в  таблице 2.5.

Таблица 2.5 – Актуальность УБПДн

Тип угроз безопасности ПДн	Опасность угрозы
1. Угрозы от утечки по техническим  каналам.
1.1. Угрозы утечки акустической информации	неактуальная
1.2. Угрозы утечки видовой информации	актуальная
1.3. Угрозы утечки информации по  каналам ПЭМИН	неактуальная
2. Угрозы несанкционированного доступа  к информации.
2.1. Угрозы уничтожения, хищения аппаратных  средств ИСПДн носителей информации  путем физического доступа к  элементам ИСПДн
2.1.1. Кража ПЭВМ	актуальная
2.1.2. Кража носителей информации	актуальная
2.1.3. Кража ключей и атрибутов доступа	актуальная
2.1.4. Кражи, модификации, уничтожения  информации	актуальная
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи	актуальная
2.1.6. Несанкционированный доступ к  информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ	актуальная
2.1.7. Несанкционированное отключение  средств защиты
2.2. Угрозы хищения, несанкционированной  модификации или блокирования  информации за счет несанкционированного  доступа (НСД) с применением  программно-аппаратных и программных  средств (в том числе программно-математических  воздействий).
2.2.1. Действия вредоносных программ (вирусов)	актуальная
2.2.2. Недекларированные возможности системного ПО и ПО для обработки персональных данных	неактуальная
2.2.3. Установка ПО не связанного  с исполнением служебных обязанностей	неактуальная
2.3. Угрозы не преднамеренных действий  пользователей и нарушений безопасности  функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
2.3.1. Утрата ключей и атрибутов  доступа	актуальная
2.3.2. Непреднамеренная модификация (уничтожение)  информации сотрудниками	актуальная
2.3.3. Непреднамеренное отключение средств  защиты	неактуальная
2.3.4. Выход из строя аппаратно-программных  средств	актуальная
2.3.5. Сбой системы электроснабжения	неактуальная
2.3.6. Стихийное бедствие	неактуальная
2.4. Угрозы преднамеренных действий  внутренних нарушителей
2.4.1. Доступ к информации, модификация,  уничтожение  лиц не допущенных  к ее обработке	актуальная
2.4.2. Разглашение информации, модификация,  уничтожение сотрудниками допущенными  к ее обработке	актуальная
2.5.Угрозы  несанкционированного доступа по  каналам связи.
2.5.1.Угроза  «Анализ сетевого трафика» с  перехватом передаваемой из ИСПДн  и принимаемой из внешних сетей  информации:	неактуальная
2.5.1.1. Перехват за переделами с контролируемой  зоны	актуальная
2.5.1.2. Перехват в пределах контролируемой  зоны внешними нарушителями	неактуальная
2.5.1.3.Перехват  в пределах контролируемой зоны  внутренними нарушителями.	неактуальная
2.5.2.Угрозы  сканирования, направленные на выявление  типа или типов используемых  операционных систем, сетевых адресов  рабочих станций ИСПДн, топологии  сети, открытых портов и служб,  открытых соединений и др.	неактуальная
2.5.3.Угрозы  выявления паролей по сети	актуальная
2.5.4.Угрозы  навязывание ложного маршрута  сети	неактуальная
2.5.5.Угрозы  подмены доверенного объекта  в сети	неактуальная
2.5.6.Угрозы  внедрения ложного объекта как  в ИСПДн, так и во внешних  сетях	неактуальная
2.5.7.Угрозы  типа «Отказ в обслуживании»	актуальная
2.5.8.Угрозы  удаленного запуска приложений	актуальная
2.5.9.Угрозы  внедрения по сети вредоносных  программ	актуальная

 

 

3. Оценка рисков РЕАЛИЗАЦИИ УГРОЗ ИСПДн ООО «Усольехимпром»

3.1 Оценка регуляторных  рисков

Основой для  оценки рисков в отношении оператора  ПДн являются нормы законодательства, представленные в таблице 3.1.

 

Таблица 3.1 – Оценка регуляторных рисков в отношении оператора ПДн

Источник	Номер статьи	Содержание статьи	Ожидаемая величина ущерба
1	2	3	4
[1]	23	Уполномоченный  орган по защите прав субъектов персональных данных имеет право: 4) принимать в  установленном законодательством  Российской Федерации порядке  меры по приостановлению или  прекращению обработки персональных  данных, осуществляемой с нарушением  требований настоящего Федерального  закона.	Недополученный  доход от бизнес процессов связанных  с работой ИСПДн. Ущерб репутации.
[15]	237	Моральный вред, причиненный  работнику неправомерными действиями или бездействием работодателя, возмещается  работнику в денежной форме в  размерах, определяемых соглашением  сторон трудового договора. В случае возникновения  спора факт причинения работнику  морального вреда и размеры его  возмещения определяются судом независимо от подлежащего возмещению имущественного ущерба.	Сумма возмещения морального ущерба.
[16]	151	Если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные  права либо посягающими на принадлежащие  гражданину другие нематериальные блага, а также в других случаях, предусмотренных  законом, суд может возложить  на нарушителя обязанность денежной компенсации указанного вреда. При определении  размеров компенсации морального вреда  суд принимает во внимание степень  вины нарушителя и иные заслуживающие  внимания обстоятельства. Суд должен также учитывать степень физических и нравственных страданий, связанных  с индивидуальными особенностями  лица, которому причинен вред.	Сумма возмещения морального ущерба
[16]	152.1	Обнародование и  дальнейшее использование изображения  гражданина (в том числе его  фотографии, а также видеозаписи  или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого  гражданина. После смерти гражданина его изображение может использоваться только с согласия детей и пережившего  супруга, а при их отсутствии –  с согласия родителей. Такое согласие не требуется в случаях, когда: 1) использование  изображения осуществляется в  государственных, общественных или  иных публичных интересах; 2) изображение гражданина  получено при съемке, которая  проводится в местах, открытых  для свободного посещения, или  на публичных мероприятиях (собраниях,  съездах, конференциях, концертах,  представлениях, спортивных соревнованиях  и подобных мероприятиях), за исключением  случаев, когда такое изображение  является основным объектом использования; 3) гражданин позировал  за плату.
[17]	5.27	Нарушение законодательства о труде и об охране труда влечет наложение административного штрафа на должностных лиц в размере  от одной тысячи до пяти тысяч рублей; на лиц, осуществляющих предпринимательскую  деятельность без образования юридического лица, – от одной тысячи до пяти тысяч  рублей или административное приостановление  деятельности на срок до девяноста  суток; на юридических лиц – от тридцати тысяч до пятидесяти тысяч  рублей или административное приостановление  деятельности на срок до девяноста  суток.	40 тыс. руб.
[17]	13.11	Нарушение установленного законом порядка сбора, хранения, использования или распространения  информации о гражданах (персональных данных) – влечет предупреждение или  наложение административного штрафа на граждан в размере от трехсот  до пятисот рублей; на должностных  лиц – от пятисот до одной тысячи рублей; на юридических лиц –  от пяти тысяч до десяти тысяч рублей.	8 тыс.руб.
[17]	13.12	Использование несертифицированных  информационных систем, баз и банков данных, а также несертифицированных  средств защиты информации, если они  подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), – влечет наложение  административного штрафа на граждан  в размере от пятисот до одной  тысячи рублей с конфискацией несертифицированных  средств защиты информации или без  таковой; на должностных лиц –  от одной тысячи до двух тысяч рублей; на юридических лиц – от десяти тысяч до двадцати тысяч рублей с  конфискацией несертифицированных  средств защиты информации или без  таковой.	15 тыс.руб.
[17]	13.13	Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения  в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), – влечет наложение  административного штрафа на граждан  в размере от пятисот до одной тысячи рублей с конфискацией средств защиты информации или без таковой; на должностных лиц – от двух тысяч до трех тысяч рублей с конфискацией средств защиты информации или без таковой; на юридических лиц – от десяти тысяч до двадцати тысяч рублей с конфискацией средств защиты информации или без таковой.	15 тыс.руб.
[17]	19.5	Невыполнение в  установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего  государственный надзор (контроль), об устранении нарушений законодательства – влечет наложение административного  штрафа на граждан в размере от трехсот до пятисот рублей; на должностных  лиц – от одной тысячи до двух тысяч рублей или дисквалификацию  на срок до трех лет; на юридических  лиц – от десяти тысяч до двадцати тысяч рублей.	15 тыс.руб.
[17]	19.7	Непредставление или  несвоевременное представление  в государственный орган (должностному лицу) сведений (информации), представление  которых предусмотрено законом  и необходимо для осуществления  этим органом (должностным лицом) его  законной деятельности, а равно представление  в государственный орган (должностному лицу) таких сведений (информации) в  неполном объеме или в искаженном виде, за исключением случаев, предусмотренных  статьями 19.7.1, 19.7.2, 19.7.3, 19.7.4, 19.8, 19.19 настоящего Кодекса, – влечет наложение административного штрафа на граждан в размере от ста до трехсот рублей; на должностных лиц – от трехсот до пятисот рублей; на юридических лиц – от трех тысяч до пяти тысяч рублей.	4 тыс.руб.
[17]	19.20	Осуществление деятельности, не связанной с извлечением прибыли, без специального разрешения (лицензии), если такое разрешение (такая лицензия) обязательно (обязательна), – влечет наложение административного штрафа на граждан в размере от пятисот  до одной тысячи рублей; на должностных  лиц – от одной тысячи до двух тысяч рублей; на юридических лиц  – от десяти тысяч до двадцати тысяч  рублей.	15 тыс.руб.

 

Таким образом, несоблюдение требований регулирующих органов в области защиты ПДн  может повлечь наложение на оператора  ПДн штрафа до 112 тысяч рублей единовременно, а так же может быть возложена  обязанность денежной компенсации  вреда субъекту ПДн, последовать  конфискация несертифицированных  средств защиты, приостановление  или прекращение обработки персональных данных.

После выявление  нарушений оператору ПДн будет  выписано предписание с указанием  сроков и необходимых мер по их устранению. По наступлению указанных  в предписании сроков по выполнению требований, будет произведена проверка на их исполнение. В случае отрицательного результата, будут повторно применены  санкции к оператору ПДн и  выписано очередное предписание.

В таком  случае, потенциальные финансовые потери за период 3 лет будут составлять:

, (1)

где П –  потенциальные финансовые потери за счет регуляторных рисков за период 3 года;

I – размер  возможного штрафа со стороны  регулирующих органов в год,  в случае отсутствия СЗПДн;

M – размер  денежной компенсации субъекту  ПДн в год, учитывая наличие  в базах данных оператора ПДн  20 000 субъектов ПДн;

K – финансовые  потери в случае конфискации  несертифицированных средств защиты  информации в год.

Размер возможного штрафа со стороны регулирующих органов  в год с учетом среднего штрафа в размере 70% от максимального и  наличия трёх проверок в год (одна плановая, последующие – контроль выполнения предписаний) в случае отсутствия СЗПДн будет равен:

, рублей

Исходя из опыта судебного делопроизводства размер возмещения ущерба субъекту ПДн  обычно не превышает 2500 рублей. Взяв в  расчёт, что в базах данных оператора  ИСПДн обрабатываются ПДн 5 000 субъектов  ПДн, средний размер возмещения ущерба равным 1 500 рублей, процент утечки ПДн  из базы данных оператора 30% в год  и 25% субъектов, потенциально подающих заявление на возмещение материального  ущерба, размер необходимых выплат оператором субъектам ПДн в год  будет составлять:

, рублей

Финансовые  потери в случае конфискации несертифицированных  средств защиты информации, с учетом используемых в ИСПДн СЗИ, будут  составлять 100 000 рублей в год.

Потенциальные финансовые потери за период 3 года за счет регуляторных рисков согласно формуле  (1) будут составлять: