2.1. Риски, связанные с осуществлением ЮЗЭД в Системах, можно разделить по:
- типу (организационные и технические);
- источнику возникновения (внешние и внутренние).
Классификация рисков представлена в таблицах 3 и 4.
2.2. Вероятность реализации рисков, подверженность информационных активов Систем воздействию рисков
С целью выделения групп близких по значимости рисков и подготовки полученных материалов для дальнейшего (например, количественного) анализа для каждого риска, выявленного в процессе анализа, экспертно оцениваются следующие показатели (присваиваются значения атрибутов):
- вероятность реализации риска;
- уровень подверженности информационного актива воздействию (существенность ущерба для Организатора).
Текстовые описания значений атрибутов приведены в таблицах 1 и 2.
Таблица 1
Значения атрибута "Вероятность реализации риска"
Вероятность | Описание |
Высокая | Вероятна реализация риска один или несколько раз в течение календарного года |
Средняя | Риск может быть реализован хотя бы один раз в течение двух-трех календарных лет |
Низкая | Реализация риска в течение трех календарных лет маловероятна |
Таблица 2
Значения атрибута "Уровень подверженности информационного актива воздействию"
Уровень подверженности воздействию | Существенность ущерба (конфиденциальность/целостность информационного актива) |
5 | Серьезные повреждения (например, повреждения, видимые снаружи и существенно влияющие на ход производственных процессов или существенно увеличивающие затраты) или полный выход актива из строя |
4 | Серьезные повреждения, не приводящие к полному выходу актива из строя (например, повреждения, не видимые снаружи, но существенно влияющие на ход производственных процессов или увеличивающие затраты) |
3 | Средние повреждения или ущерб (например, повреждения, влияющие на внутренние регламенты, увеличивающие затраты) |
2 | Незначительные повреждения или ущерб |
1 | Небольшие изменения информационного актива |
Таблица 3
Организационные риски
N | Источник возникновения | Описание | Вероятность реализации | Существенность ущерба | Меры по снижению риска |
1. | Внутренний/ Внешний | Компрометация ключа ЭП путем хищения носителей/копирования данных | высокая | 4 | Организация хранения материальных носителей, журналов выдачи. |
2. | Внутренний | Нарушение уполномоченным сотрудником правил использования СКЗИ | высокая | 3 | Ознакомление уполномоченного сотрудника под роспись в журнале ознакомления с пакетом документации по ЮЗЭД |
3. | Внутренний | Увольнение уполномоченного сотрудника, имевшего доступ к ключам ЭП | высокая | 3 | Подача заявления в УЦ на отзыв сертификата ЭП |
4. | Внутренний | Отказ от выполнения должностных обязанностей (в части использования ЭП) ввиду наличия риска компрометации ключа | средняя | 4 | Обучение персонала (ознакомление с законодательством, регламентирующим применение) |
5. | Внутренний | Несоответствие Систем требованиям ФСТЭК России в части защиты информации | средняя | 5 | Проведение аттестации Систем на соответствие классу защищенности 1Г. |
6. | Внутренний | Выгрузка в архивное хранение произведена неполностью, с нарушением целостности информации о цепочках доверия или с нарушением целостности документарных томов. | Высокая | 4 | Издание правового акта о регламенте хранения документов в архиве |
7. | Внутренний | Низкая степень значимости (важности) сертификата ключа подписи как документа для уполномоченного сотрудника | Высокая | 4 | Выдача бумажного оригинала сертификата, изготовленного на типографском бланке |
8. | Внутренний/ Внешний | Несанкционированный доступ к техническим средствам Систем (серверам, рабочим станциям пользователей и т.д.) | Средняя | 5 | Организация пропускного режима в помещения, где размещены технические средства Систем, а также в кабинеты, в которых расположены рабочие станции пользователей |
9. | Внутренний | Отказ от признания результатов экспертизы электронного документа одним из представителей конфликтующих сторон | Высокая | 3 | Издание порядка разбора конфликтных ситуаций, описывающего действия при разборе конфликтных ситуаций (в т.ч. претензионный порядок разрешения конфликтов) |
10. | Внутренний | Разрешение конфликтов в суде | Средняя | 5 | Описание досудебного разбора конфликтов |
11. | Внутренний | Доступ пользователей к не принадлежащим им объектам Систем | Высокая | 3 | Использование системы разграничения прав доступа, настройка ролей пользователей |
12. | Внутренний | Сопротивление сотрудников внедрению и использованию ЮЗЭД, неприятие новых методов работы | Высокая | 4 | Внедрение ЮЗЭД нормативным правовым актом Организатора. |
13. | Внутренний | Утечка конфиденциальной информации | Высокая | 5 | Разработка локальных актов о персональной ответственности сотрудников |
Таблица 4
Технические риски