|
Есть, к примеру, документ с градацией "высокая - средняя - низкая" http://securitywiki.ru/RBKoncepcijaIBNPS "На основании анализа риска опасные виды угроз безопасности информации ИС платежной системы, ранжированные по степени опасности и вероятности угроз в градации «высокая – средняя – низкая», представлены следующим списком.
53.1. На первом месте по степени опасности находятся антропогенные внутренние источники случайных угроз безопасности ИС платежной системы. Основные угрозы информационной безопасности в ИС платежной системы, возникающие за счет непреднамеренных действий человека (случайно, по невнимательности или халатности, по незнанию, из любопытства, но без злого умысла), и меры по нейтрализации соответствующих угроз и снижению возможного наносимого ими ущерба приведены в приложении 1 к настоящей Концепции. Основными из них с вероятностью возникновения «высокая» предполагаются угрозы НСД к информации санкционированных (зарегистрированных) пользователей за счет непреднамеренных действий пользователей ИС, а также сбои ПО, вызванные ошибками программистов разработчика.
53.2. На втором месте по степени опасности находятся источники техногенных и стихийных угроз информационной безопасности АС МБР и другим ИС платежной системы.
Техногенные и стихийные источники угроз с вероятностью возникновения «средняя» могут привести к нарушениям работоспособности ИС поддерживающей информационной структуры платежной системы, а также средств телекоммуникаций, за счет сбоев и отказов технических средств, вызванных нештатными режимами работы, техническими поломками, сбоями в электропитании, нарушениями физической целостности технических средств и ресурсов системы. Основные угрозы информационной безопасности в ИС платежной системы, возникающие из-за техногенных и стихийных источников угроз, приводящих к кризисным ситуациям и нарушению процесса функционирования ИС поддерживающей информационной структуры платежной системы, приведены в приложении 2 к настоящей Концепции. Нарушения работоспособности ИС могут привести к задержкам платежей, к нарушению договорных обязательств и к нанесению ущерба участнику.
53.3. На третьем месте по степени опасности находятся угрозы информационной безопасности, создаваемые преднамеренными действиями человека. Преднамеренные действия человека связаны, как правило, с корыстными целями, с принуждением, желанием отомстить и т.п., но иногда и с любопытством, граничащим с халатностью или незнанием. Категории лиц, которые могут реализовывать преднамеренные угрозы:
пользователи, операторы, системные администраторы и работники организаций, осуществляющих сопровождение и обслуживание ИС и ПО;
удаленные пользователи других взаимодействующих с ИС внешних систем, операторы средств телекоммуникаций;
разработчики ПО;
вспомогательный персонал ИС и взаимодействующих с ней внешних систем;
хакеры.
|