Приложение 5. Примеры определения объектов воздействия и видов воздействия на них. Методический документ "Методика оценки угроз безопасности информации" (утв. Федеральной службой по техническому и экспортному контролю 5 февраля 2021 г.)

Приложение 5
к Методике оценки угроз
безопасности информации

Примеры определения объектов воздействия и видов воздействия на них

Таблица 5.1

Негативные последствия	Объекты воздействия	Виды воздействия
Разглашение персональных данных граждан (У1)	База данных информационной системы, содержащая идентификационную информацию граждан	Утечка идентификационной информации граждан из базы данных
	Удаленное автоматизированное рабочее место (АРМ) пользователя	Утечка идентификационной информации граждан с АРМ пользователя
	Линия связи между сервером основного центра обработки данных и сервером резервного центра обработки данных	Перехват информации, содержащей идентификационную информацию граждан, передаваемой по линиям связи
	Веб-приложение информационной системы, обрабатывающей идентификационную информацию граждан	Несанкционированный доступ к идентификационной информации граждан, содержащейся в веб-приложении информационной системы
Хищение денежных средств со счета организации (У2)	Банк-клиент	Несанкционированная подмена данных, содержащихся в реквизитах платежного поручения
	АРМ финансового директора	Несанкционированная модификация информации в платежных распоряжениях и отправка недостоверных распоряжений от имени финансового директора
	Электронный почтовый ящик финансового директора	Модификация информации в платежных распоряжениях и отправка недостоверных распоряжений от имени финансового директора
	АРМ главного бухгалтера	Подмена данных, содержащих реквизиты платежных поручений и другой платежной информации на АРМ главного бухгалтера
Срыв запланированной сделки с партнером (У2)	АРМ руководителя организации	Модификация информации и отправка электронных писем с недостоверной информацией от имени руководителя организации
	Электронный почтовый ящик руководителя организации	Модификация информации и отправка электронных писем с недостоверной информацией от имени руководителя организации
Загрязнения окружающей среды и водоемов в результате разлива нефти из нефтепровода (У3)	Коммутационный контроллер для управления аварийными задвижками в нефтепроводе	Несанкционированная модификация (изменение) логики работы или уставок коммутационного контроллера, которая приводит к открытию (или не закрытию) аварийной задвижки при нарушении герметичности нефтепровода
	Программируемый логический контроллер (ПЛК) для управления насосными станциями	Несанкционированная модификация (изменение) логики работы или уставок ПЛК, которая приводит к включению (или не отключению) насосной станции при закрытой аварийной задвижке в нефтепроводе
	АРМ оператора	Несанкционированная отправка команд, приводящая к несрабатыванию средств аварийной защиты и (или) к изменению логики ПЛК
Непредоставление государственных услуг (У3)	Веб-приложение портала государственных услуг	Отказ в обслуживании веб-приложения
	Система управления содержимым веб-приложения (сайта) портала государственных услуг	Подмена информации на страницах портала на недостоверную
	Сервер балансировки нагрузки на веб-приложение (сайт) портала государственных услуг	Отказ в обслуживании веб-приложения
	Сервер веб-приложения (сайта) портала государственных услуг	Отказ в обслуживании веб-приложения
	Сервер баз данных портала государственных услуг	Отказ в обслуживании сервера управления базами данных
		Подмена информации в базах данных на недостоверную
		Утечка персональных данных граждан