Приложение Б (справочное). Пример перечня угроз. Национальный стандарт РФ ГОСТ Р 59353-2021 "Системная инженерия. Защита информации в процессе передачи системы" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 28.04.2021 N 319-ст)

Приложение Б
(справочное)

Пример
перечня угроз

Перечень угроз безопасности информации в процессе передачи системы может включать (в части, свойственной этому процессу):

- угрозы, связанные с объективными и субъективными факторами, воздействующими на защищаемую информацию - по ГОСТ Р ИСО/МЭК 27002, ГОСТ Р 51275, ГОСТ Р 56939, ГОСТ Р 58412;

- угрозы государственным информационным системам, информационным системам персональных данных, автоматизированным системам управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, значимым объектам критической информационной инфраструктуры Российской Федерации - по [21]-[24];

- угрозы безопасности функционированию программного обеспечения, оборудования и коммуникаций, используемых в процессе передачи системы - по ГОСТ Р ИСО/МЭК 27002, ГОСТ Р 54124;

- угрозы, связанные с возможностями или несвоевременностью приобретения, или получения доступа к обеспечивающим системам или услугам, использование которых предполагается в процессе передачи системы или при ее последующей эксплуатации - по ГОСТ Р 59215;

- угрозы штатному функционированию обеспечивающих систем или услуг, используемых при передаче системы, связанные с возможностью аварий, технических неисправностей, помех или природных явлений - по ГОСТ Р ИСО/МЭК 27005-2010, приложение С;

- угрозы, связанные с невозможностью или несвоевременностью предоставления доступа к участку местоположения для установки/эксплуатации системы и/или несвоевременностью его подготовки - по ГОСТ Р ИСО/МЭК 27002, ГОСТ Р 59215;

- угрозы, связанные с несвоевременностью отгрузки и/или получения системных элементов и обеспечивающих систем - по ГОСТ Р ИСО/МЭК 27002, ГОСТ Р 59215;

- угрозы, связанные с организационными проблемами, препятствующими своевременному обучению операторов, пользователей и других заинтересованных сторон, задействованных в использовании и обеспечении эксплуатации системы - по ГОСТ Р ИСО/МЭК 27002;

- угрозы безопасности информации при подготовке и обработке документов - по ГОСТ Р ИСО/МЭК 27002, ГОСТ Р 51583, ГОСТ Р 56939, ГОСТ Р 58412;

- угрозы получения претензий по качеству проведенных работ при демонстрации функционирования и приемке системы - по ГОСТ Р ИСО/МЭК 27002, ГОСТ Р 59215;

- угрозы компрометации информационной безопасности приобретающей стороны (заказчика) - по ГОСТ Р ИСО/МЭК 27002, ГОСТ Р ИСО/МЭК 27005-2010, приложение С, ГОСТ Р 59215;

- угрозы возникновения ущерба репутации и/или потери доверия поставщика (производителя) к конкретному заказчику, информация и информационные системы которого были скомпрометированы - по ГОСТ Р 59215;

- угрозы, связанные с приобретением или предоставлением облачных услуг, которые могут оказать влияние на информационную безопасность организаций, использующих эти услуги при передаче системы - по ГОСТ Р ИСО/МЭК 27036-4;

- прочие соответствующие угрозы безопасности информации и уязвимости для информационных систем и автоматизированных систем управления производственными и технологическими процессами критически важных объектов из Банка данных угроз, сопровождаемого государственным регулятором.