<Письмо> Минэнерго России от 11.12.2024 N СЦ-21040/07 "О внесении изменений в базовую модель угроз безопасности информации в интеллектуальных системах учета электрической энергии (мощности)"

5. Возможные негативные последствия от реализации (возникновения) угроз безопасности обрабатываемой информации

5 ВОЗМОЖНЫЕ НЕГАТИВНЫЕ ПОСЛЕДСТВИЯ ОТ РЕАЛИЗАЦИИ

(ВОЗНИКНОВЕНИЯ) УГРОЗ БЕЗОПАСНОСТИ ОБРАБАТЫВАЕМОЙ ИНФОРМАЦИИ

В ходе оценки угроз безопасности информации определены негативные последствия, которые могут наступить от реализации (возникновения) угроз безопасности управляющих воздействий, направленных на полное и (или) частичное ограничение режима потребления электрической энергии (приостановление или ограничение предоставления коммунальной услуги), а также возобновление подачи электрической энергии.

Реализация (возникновение) угроз безопасности информации может привести к:

- нарушению прав граждан;

- возникновению финансовых, производственных, репутационных или иных рисков (видов ущерба) для обладателя информации, оператора;

- возникновению ущерба в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической, политической, экологической сферах деятельности государства.

Таким образом, виды рисков (ущербов), которые могут наступить от нарушения или прекращения основных процессов системы, можно разделить на три типа:

- ущерб физическому лицу;

- ущерб юридическому лицу (владельцу ИСУЭ);

- ущерб государству в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической, политической сферах деятельности.

Возможные негативные последствия, которые могут наступить при реализации (возникновении) угроз, приведены в таблице 9.

Таблица 9 - Виды рисков (ущерба) и негативные последствия от реализации УБИ

Тип угрозы

Виды риска (ущерба)

Возможные негативные последствия

1

Ущерб физическому лицу

- не предоставление гарантированных услуг (нарушение гражданских прав);

- дополнительные финансовые расходы (например, в случае необоснованного увеличения тарифа);

- угроза жизни и здоровью (например, если человек подключен к системе жизнеобеспечения);

- утечка персональных данных

2

Ущерб юридическому лицу

- необходимость дополнительных (незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств) для устранения последствий;

- невозможность решения целевых задач (реализации функций) или снижение эффективности решения задач (реализации функций);

- необходимость изменения (перестроения) внутренних процедур для достижения целей, решения задач (реализации функций);

- принятие неправильных решений (например, при изменении тарифа у пользователя);

- получение преимущества конкурирующими организациями;

- привлечение к административной ответственности;

- привлечение к уголовной ответственности (статья 274.1 Федерального закона от 26.07.2017 N 194-ФЗ "О внесении изменений в УК РФ и УПК РФ в связи с принятием ФЗ "О безопасности КИИ РФ";

- репутационные риски

3

Ущерб государству в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической, политической сферах деятельности

- ущерб в секторе электроэнергетики страны, прекращение или нарушение функционирования предприятия в части невыполнения возложенной на функции;

- дестабилизации социальной и экономической ситуации в стране;

- дестабилизации политической ситуации в стране с целью создания внутриполитического кризиса;

- срыв заключения международных договоров

4.5. Обобщенные возможности потенциальных нарушителей 6. Определение класса СКЗИ