Приложение Б (справочное). Пример перечня угроз. Национальный стандарт РФ ГОСТ Р 59346-2021 "Системная инженерия. Защита информации в процессе определения системных требований" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 30.04.2021 N 332-ст)

Приложение Б
(справочное)

Пример
перечня угроз

В процессе определения системных требований учитывают угрозы безопасности информации (в части, свойственной этому процессу), которые могут иметь место на всех стадиях жизненного цикла системы.

На стадии замысла, формирования требований, разработки концепции (концептуальных положений) построения системы и ТЗ перечень угроз может включать угрозы:

- проникновения в операционные среды автоматизированных систем разработчика и несанкционированного копирования информации, содержащей сведения, не подлежащие распространению;

- перехвата информации, передаваемой по сетям общего пользования и содержащей сведения о системе, не подлежащие распространению.

На стадиях разработки, производства и поставки системы возможна реализация угроз:

- проникновения в операционные среды автоматизированных систем разработчика или поставщика и несанкционированного копирования информации, содержащей сведения, не подлежащие распространению, в том числе сведения о мерах и средствах ЗИ, подлежащих применению в системе;

- внедрения в систему вредоносных программ, обеспечивающих возможности проникновения в операционную среду системы и нарушения процесса ее функционирования, в том числе путем изменения критически важных настроек системы, копирования пользовательской информации и передачи ее по сети общего пользования;

- перехвата информации, передаваемой по сетям общего пользования и содержащей сведения о системе, не подлежащие распространению.

На стадии эксплуатации системы, в том числе на стадии сопровождения (технического обслуживания), возможна реализация угроз:

- проникновения в операционную среду системы из сетей общего пользования и несанкционированного копирования информации, содержащей сведения, не подлежащие распространению, и изменения настроек, приводящего к нарушению нормального функционирования системы или выводу ее из строя;

- внедрения в систему вредоносных программ, обеспечивающих возможности нарушения процесса ее функционирования, в том числе путем блокирования команд, изменения критически важных настроек, подмены измерительной информации, передачи специально сформированных команд управления системой, а также возможности копирования пользовательской информации, создаваемой в процессе функционирования системы и передачи ее по сети общего пользования;

- непреднамеренного изменения, уничтожения, блокирования легитимными пользователями измерительной, командной или иной информации, существенной для правильного функционирования системы или ее средств ЗИ;

- непреднамеренной или преднамеренной, в том числе скрытной, передачи информации о системе, персональных данных, информации, составляющей коммерческую тайну, и иной информации, не подлежащей распространению.

На стадии выведения системы из эксплуатации возможна реализации угроз:

- несанкционированного копирования информации, сохранившейся на утилизируемых носителях информации и не подлежащей распространению;

- перехвата информации, передаваемой по сети общего пользования и касающейся факта и сроков вывода системы из эксплуатации, персональных данных, информации, составляющей коммерческую тайну, и иной информации, не подлежащей распространению.