 |
Выбор и обоснование ПАК для защиты информации
|
|
|
|
Обоснование и выбор программно-аппаратных комплексов
В данном разделе будут рассмотрены наиболее распространенные средства защиты от выявленных угроз.
…
…
Сравнительный анализ СЗИ и выбор оптимального значения
Для выбора оптимального решения, следует определить критерии, по которым будет осуществлятся сравнение ПАК. В качестве данных критериев будут выступать:
- …
- минимальная стоимость.
Решение задачи таким образом сводится к решению оптимизационной задачи:
…
Из таблицы видно, что наиболее оптимальным средством защиты по выбранным критерием будет СЗИ от НСД “_____”. Для полного обеспечения компании средствами защиты потребуется 23 комплекта оборудования. Стоимость одного комплекта в таком исполнении составит 12520 р. Общая стоимость комплекта оборудования для полноценного внедрения составит 287960 р.
Анализ влияния выбранных средств защиты на риски
Внедрение ПАК СЗИ “_______” позволит существенно сократить целый ряд выявленных уязвимостей. Будет затруднено использование пользователями чужих идентификаторов, будут закрыты уязвимости, связанные с контролем и разграничениями доступа, будет значительно затруднено использование нестандартного ПО или использование недокументированных ПО. Основными преимуществами СЗИ от НСД являются:
- …
Результаты оценки угроз после внедрения СЗИ от НСД “___” представлены в приложении В.
Как видно из приведенных в приложении таблиц оценки угроз после внедрения СЗИ “___” значительно снизились. Для того, чтобы получить количественную оценку этого снижения построим таблицу рисков после внедрения СЗИ (Таблица 2.11)
Таблица 2.3
Таблица рисков ООО “_” после внедрения СЗИ
|
|
|
| Описание угрозы | Ущерб | Ущерб⃰ | Вероятность | Вероятность⃰ | Риск (=Ущерб*Вероятность) | Риск (=Ущерб*Вероятность)⃰ | ||
| Физический, несанкционированный доступ в помещения организации, к оборудованию, носителям информации | 3 | 3 | 1 | 1 | 3 | 3 | ||
| Кража или повреждение компьютерного оборудования и носителей информации инсайдерами | 4 | 4 | 2 | 2 | 8 | 8 | ||
| Кража или повреждение компьютерного оборудования и носителей информации внешними злоумышленниками | 4 | 4 | 1 | 1 | 4 | 4 | ||
| Постороннее лицо может получить физический доступ к комплексу средств защиты с целью переконфигурирования или создания возможностей обхода средств защиты | 4 | 4 | 0 | 1 | 0 | 0 | ||
| Злоупотребление средствами аудита | 3 | 3 | 0 | 2 | 0 | 0 | ||
| Злоупотребление средствами обработки информации | 3 | 3 | 2 | 3 | 6 | 6 | ||
| Злоупотреблние рисками или активами | 4 | 4 | 1 | 3 | 4 | 12 | ||
| Несанкционированное использование программного обеспечения | 4 | 4 | 0 | 5 | 0 | 200 | ||
| Использование сетевых средств несанкционированным образом | 3 | 3 | 2 | 2 | 6 | 6 | ||
| Неосторожное или умышленное злоупотребление оборудованием по причине отсутствия разделения обязанностей или их неисполнения | 3 | 3 | 1 | 1 | 3 | 3 | ||
| Утечка конфиденциальной информации из сети по каналам связи | 4 | 4 | 1 | 1 | 4 | 4 | ||
| Утечка конфиденциальной информации на мобильных устройствах | 3 | 3 | 1 | 1 | 3 | 3 | ||
| Перехват информации на линиях связи путем использования различных видов анализаторов сетевого траффика | 4 | 4 | 1 | 1 | 4 | 4 | ||
| Замена, вставка, удаление или изменение данных пользователей в информационном потоке | 3 | 3 | 1 | 1 | 4 | 4 | ||
| Неумышленное раскрытие конфиденциальной информации сотрудниками компании | 3 | 3 | 2 | 4 | 6 | 12 | ||
| Использование чужих пользовательских идентификаторов | 3 | 3 | 1 | 5 | 3 | 20 | ||
| Несанкционированный доступ к ресурсам ЛВС компании со стороны внутренних злоумышленников | 4 | 4 | 2 | 2 | 8 | 8 | ||
| НСД к журналам и средствам аудита | 2 | 2 | 0 | 2 | 0 | 4 | ||
| НСД к беспроводной сети компании | 2 | 2 | 1 | 2 | 2 | 4 | ||
| НСД к резервным копиям данных | 4 | 4 | 0 | 2 | 0 | 8 | ||
| Анализ и модификация ПО | 3 | 3 | 0 | 3 | 0 | 9 | ||
| Использование незадекларированных возмжностей ПО | 4 | 4 | 0 | 1 | 0 | 4 | ||
| Внедрение несанкционированного, непроверенного или вредоносного программного кода | 4 | 4 | 1 | 5 | 4 | 20 | ||
| Атаки на отказ в обслуживании | 2 | 2 | 2 | 2 | 4 | 4 | ||
| Недоступность ИТ сервисов и информации по причине физического или логического сбоя | 2 | 2 | 1 | 1 | 2 | 2 | ||
| Повреждение носителей информации | 2 | 2 | 1 | 1 | 2 | 2 | ||
| Установка непроверенных технических средств | 3 | 3 | 1 | 1 | 3 | 3 | ||
| Нарушение безопасности по причине несоблюдения операционных процедур | 2 | 2 | 4 | 4 | 8 | 8 | ||
| Умышленное разрушение критической для бизнеса информации | 5 | 5 | 1 | 1 | 5 | 5 | ||
| Нарушение целостности данных из за ошибок пользователей | 2 | 2 | 2 | 2 | 4 | 4 | ||
| Ошибка персонала технической поддержки | 3 | 3 | 1 | 1 | 3 | 3 | ||
| Ошибка в процессах сопровождения | 1 | 1 | 4 | 4 | 4 | 4 | ||
| Изменение конфигурации активного сетевого оборудования | 1 | 1 | 2 | 2 | 2 | 2 | ||
| Фальсификация записей | 4 | 4 | 1 | 1 | 4 | 4 | ||
| Антропогенные катастрофы (взрыв, терроризм, вандализм и т.д.) | 5 | 5 | 0 | 0 | 0 | 0 | ||
| Бомбардировка | 5 | 5 | 0 | 0 | 0 | 0 | ||
| Забастовка | 5 | 5 | 0 | 0 | 0 | 0 | ||
| Природные катастрофы | 5 | 5 | 0 | 0 | 0 | 0 | ||
| Молния | 2 | 2 | 1 | 1 | 2 | 2 | ||
| Ураган | 2 | 2 | 1 | 1 | 2 | 2 | ||
| Нарушение прав интелектуальной собственности | 1 | 1 | 1 | 1 | 1 | 1 | ||
| Нелегальное использование ПО | 1 | 1 | 0 | 0 | 0 | 0 | ||
| Нарушение патентного права | 1 | 1 | 0 | 0 | 0 | 0 | ||
| Нарушение законодательства и номативной базы | 1 | 1 | 2 | 2 | 2 | 2 | ||
| Невыполнение контрактных обязательств | 5 | 5 | 2 | 2 | 10 | 10 | ||
| Итого:
| 130 | 232 | ||||||
⃰ до внедрения СЗИ
Как видно из таблицы 2.3, уровень риска стал ниже на 35%, что является очень хорошим результатом.
Приложение А
Оценка угроз активам до внедрения средств защиты
Таблица А.1
Результаты оценки угроз активам (физические угрозы)
| Физический, несанкционированный доступ в помещения организации, к оборудованию, носителям информации | Кража или повреждение компьютерного оборудования и носителей информации инсайдерами | Кража или повреждение компьютерного оборудования и носителей информации внешними злоумышленниками | Постороннее лицо может получить физический доступ к комплексу средств защиты с целью переконфигурирования или создания возможностей обхода средств защиты | |
| Недостаточное обучение технического персонала в вопросах безопасности | Средняя | Высокая | Средняя | Средняя |
| Неосведомленность пользователей в вопросах безопасности | - | Средняя | - | - |
| Отсутствие механизмов мониторинга | - | - | - | - |
| Отсутствие политик в области корректного использования технических средств | Высокая | Высокая | Средняя | Средняя |
| Нет регламента действий технических служб при увольнении сотрудников | - | Средняя | - | - |
| Немотивированный персонал | Средняя | Средняя | Средняя | Средняя |
| Безнадзорная работа внешнего персонала или персонала в нерабочее время | Высокая | Высокая | Средняя | Средняя |
| Неадекватное или небрежное использование механизмов физического контроля доступа | Средняя | Средняя | Средняя | Средняя |
| Отсутствие физической защиты здания | Средняя | Средняя | Средняя | Средняя |
| Незащищенное хранение | Высокая | Высокая | Средняя | Средняя |
| Недостаточное сопровождение средств хранения информации | Высокая | Высокая | Средняя | Средняя |
| Неадекватное управление сетью | Средняя | Средняя | - | - |
| Нет четкого разделения обязанностей и ответственности | Средняя | - | - | - |
| Нет разделения тестового и рабочего оборудования | Средняя | |||
| Неправильное использование программно-аппаратного обеспечения | Средняя | Средняя | Средняя |
Таблица А.2
|
|
|
Результаты оценки угроз активам (нецелевое использование компьютерного оборудования и сети интернет)
| Злоупотребление средствами аудита | Злоупотребление средствами обработки информации | Злоупотреблние рисками или активами | Несанкционированное использование программного обеспечения | Использование сетевых средств несанкционированным образом | Злоупотребление оборудованием по причине отсутствия разделения обязанностей или их неисполнения | |
| Недостаточное обучение технического персонала в вопросах безопасности | Высокая | Высокая | Высокая | Высокая | Высокая | Высокая |
| Неосведомленность пользователей в вопросах безопасности | Средняя | Высокая | Высокая | Высокая | Средняя | - |
| Отсутствие механизмов мониторинга | Средняя | Средняя | Средняя | Высокая | Средняя | - |
| Отсутствие политик в области корректного использования технических средств | Высокая | Высокая | Высокая | - | Средняя | Средняя |
| Нет регламента действий технических служб при увольнении сотрудников | - | - | Средняя | Высокая | - | - |
| Немотивированный персонал | - | Средняя | Средняя | - | - | - |
| Безнадзорная работа внешнего персонала или персонала в нерабочее время | Средняя | Средняя | Средняя | Средняя | Средняя | Средняя |
| Неправильное разграничения доступа к общим ресурсам | Высокая | Высокая | Высокая | |||
| Отсутствие механизмов идентификации и аутонтификации | Средняя | Высокая | Высокая | |||
| Отсутствие защиты мобильного компьютерного оборудования | Высокая | Высокая | ||||
| Отсутствие или некорректное построение политики контроля доступа | Высокая | Высокая | Высокая | |||
| Неконтролируемая загрузка и использование программного обеспечения | Средняя | Средняя | Высокая | |||
| Неправильное использование программно-аппаратного обеспечения | Высокая | Высокая | Средняя | |||
| Пересылка паролей открытым текстом | Высокая | Высокая | Высокая |
|
|
|
Таблица А.3
Результаты оценки угроз активам (угрозы утечки конфиденциальной информации)
| Утечка конфиденциальной информации из сети по каналам связи | Утечка конфиденциальной информации на мобильных устройствах | Перехват информации на линиях связи путем использования анализаторов сетевого траффика | Замена, вставка, удаление или изменение данных пользователей в информационном потоке | Неумышленное раскрытие конфиденциальной информации сотрудниками компании | |
| Недостаточное обучение технического персонала | Высокая | Высокая | Высокая | Высокая | Высокая |
| Неосведомленность пользователей | - | Высокая | Средняя | Средняя | Высокая |
| Отсутствие механизмов мониторинга | - | - | Средняя | Высокая | - |
| Отсутствие политик в области корректного использования технических средств | Высокая | Высокая | Высокая | Высокая | - |
| Нет регламента действий технических служб при увольнении сотрудников | - | - | - | - | Высокая |
| Неадекватное или небрежное использование механизмов физического контроля доступа | - | - | Средняя | - | - |
| Отсутствие физической защиты здания | - | - | Средняя | - | - |
| Недостаточное сопровождение средств хранения информации | - | - | - | - | Средняя |
| Передача или повторное использование средств хранения информации без надлежащей очистки | - | - | - | - | Высокая |
| Неадекватное управление сетью | Средняя | Средняя | Средняя | Средняя | Высокая |
| Отсутствие доказательств отправки и получения сообщений | - | - | - | Средняя | - |
| Отсутствие или несвоевременное обновление систем антивирусной защиты | Высокая | Высокая | - | Средняя | - |
| Отсутствие контроля за устанавливаемым ПО | Высокая | Высокая | Высокая | Высокая | Высокая |
| Неконтролируемое копирование | - | - | - | - | Средняя |
| Неправильное разграничения доступа к общим ресурсам | - | - | - | - | Средняя |
| Отсутствие политик чистых столов и чистых экранов | - | - | - | - | Средняя |
| Отсутствие защиты мобильного компьютерного оборудования | - | Средняя | - | - | - |
| Неконтролируемая загрузка и использование программного обеспечения | Высокая | Высокая | Высокая | Высокая | Высокая |
| Неправильное использование программно-аппаратного обеспечения | Средняя | - | Средняя | Средняя | - |
| Пересылка паролей открытым текстом | - | - | - | Средняя | - |
|
|
|
Таблица А.4
Результаты оценки угроз активам (угрозы несанкционированного доступа)
| Использование чужих пользовательских идентификаторов | НСД к ресурсам ЛВС (внутренние злоумышленники) | НСД к журналам аудита, средствам аудита, беспроводной сети, резервным копиям данных | Использование нарушителями уязвимых мест в компонентах СЗИ | Анализ и модификация ПО. Использование незадекларированных возможностей ПО | Внедрение несанкционированного, непроверенного или вредоносного программного кода | |
| Недостаточное обучение технического персонала | Высокая | Высокая | Высокая | Высокая | Высокая | Высокая |
| Неосведомленность пользователей | Высокая | - | - | - | - | Средняя |
| Отсутствие механизмов мониторинга | Средняя | Средняя | - | Высокая | Средняя | Средняя |
| Отсутствие политик в области корректного использования технических средств | - | Высокая | Высокая | Высокая | - | Средняя |
| Безнадзорная работа внешнего персонала или персонала в нерабочее время | - | Средняя | Средняя | Средняя | Средняя | Средняя |
| Передача или повторное использование средств хранения информации без надлежащей очистки | - | - | - | - | Средняя | Средняя |
| Неадекватный контроль изменений | - | - | - | - | Средняя | Средняя |
| Отсутствие или несвоевременное обновление систем антивирусной защиты | - | - | Высокая | Средняя | Высокая | Высокая |
| Отсутствие контроля за устанавливаемым ПО | - | Высокая | Высокая | Высокая | Высокая | Высокая |
| Неконтролируемое копирование | - | - | - | - | Средняя | Высокая |
| Неправильное разграничения доступа к общим ресурсам | - | Высокая | Средняя | - | - | - |
| Отсутствие механизмов идентификации и аутонтификации | Средняя | Высокая | - | - | - | - |
| Отсутствие или некорректное построение политики контроля доступа | - | Средняя | Средняя | - | - | - |
| Плохое управление паролями | Средняя | Средняя | Средняя | - | - | - |
| Отсутствие регистрации конца сеанса при выходе с рабочей станции | Средняя | Средняя | - | - | - | - |
| Неконтролируемая загрузка и использование программного обеспечения | - | Средняя | - | - | Высокая | Высокая |
| Неправильное использование программно-аппаратного обеспечения | - | Средняя | Средняя | Среднее | - | - |
| Пересылка паролей открытым текстом | Средняя | Средняя | Средняя | Средняя | - | - |
Таблица А.5
Результаты оценки угроз активам (угрозы недоступности ИТ сервисов и разрушения информационных активов)
| Атаки на отказ в обслуживании | Недоступность ИТ сервисов из за физического или логического сбоя | Установка непроверенных технических средств | Повреждение носителей информации | Нарушение безопасности по причине несоблюдения операционных процедур | Умышленное разрушение критической для бизнеса безопасности | |
| Недостаточное обучение технического персонала | Высокая | Высокая | Высокая | Высокая | Высокая | Средняя |
| Неосведомленность пользователей | - | - | - | Средняя | Средняя | - |
| Отсутствие механизмов мониторинга | Средняя | Средняя | Средняя | - | - | - |
| Отсутствие политик в области корректного использования технических средств | - | Средняя | Средняя | - | Высокая | Средняя |
| Отсутствие схемы периодической замены оборудования | Средняя | |||||
| Неадекватное управление сетью | Высокая | Средняя | Средняя | |||
| Отсутствие систем резервного копирования | Средняя | |||||
| Отсутствие или несвоевременное обновление систем антивирусной защиты | Средняя | |||||
| Отсутствие контроля за устанавливаемым ПО | Высокая | |||||
| Нет разделения тестового и рабочего оборудования | Средняя |
Таблица А.6
Результаты оценки угроз активам (угрозы нарушения целостности данных)
| Нарушение целостности данных из за ошибок пользователей | Ошибка персонала технической поддержки | Ошибка в процессах сопровождения | Изменение конфигурации активного сетевого оборудования | Фальсификация записей | |
| Недостаточное обучение технического персонала | Средняя | Средняя | Средняя | Средняя | Средняя |
| Неосведомленность пользователей | Средняя | - | - | - | - |
| Отсутствие механизмов мониторинга | Средняя | Средняя | - | - | - |
| Безнадзорная работа внешнего персонала или персонала в нерабочее время | - | - | Средняя | Средняя | Средняя |
| Неадекватный контроль изменений | Средняя | Средняя | |||
| Неадекватное управление сетью | Средняя | ||||
| Отсутствие систем резервного копирования | Высокая | Высокая | Высокая | ||
| Неправильное разграничения доступа к общим ресурсам | Средняя | - | - |
Таблица А.7
Результаты оценки угроз активам (Юридические угрозы)
| Нарушение прав интелектуальной собственности | Нелегальное использование ПО | Нарушение патентного права | Нарушение законодательства и нормативной базы | Невыполнение контрактных обязательств | |
| Недостаточное обучение технического персонала | Средняя | Высокая | - | Высокая | Высокая |
| Неосведомленность пользователей | Средняя | Средняя | - | - | Средняя |
| Безнадзорная работа внешнего персонала или персонала в нерабочее время | Средняя | Средняя | Средняя | Средняя | Средняя |
| Неадекватный контроль изменений | - | Средняя | - | - | Средняя |
| Отсутствие систем резервного копирования | - | - | - | - | Средняя |
| Отсутствие контроля за устанавливаемым ПО | Высокая | Высокая | - | Средняя | Средняя |
| Неконтролируемое копирование | Средняя | Средняя | Средняя | ||
| Неправильное разграничения доступа к общим ресурсам | Высокая | Высокая | |||
| Отсутствие механизмов идентификации и аутонтификации | Средняя | Высокая | Высокая |
Приложение Б
Таблица рисков ООО “_”
Таблица Б.1
| Описание угрозы | Ущерб | Вероятность | Риск (Ущерб*Вероятность) |
| Физический, несанкционированный доступ в помещения организации, к оборудованию, носителям информации | 3 | 1 | 3 |
| Кража или повреждение компьютерного оборудования и носителей информации инсайдерами | 4 | 2 | 8 |
| Кража или повреждение компьютерного оборудования и носителей информации внешними злоумышленниками | 4 | 1 | 4 |
| Постороннее лицо может получить физический доступ к комплексу средств защиты с целью переконфигурирования или создания возможностей обхода средств защиты | 4 | 1 | 4 |
| Злоупотребление средствами аудита | 3 | 2 | 6 |
| Злоупотребление средствами обработки информации | 3 | 3 | 9 |
| Злоупотреблние рисками или активами | 4 | 3 | 12 |
| Несанкционированное использование программного обеспечения | 4 | 5 | 20 |
| Использование сетевых средств несанкционированным образом | 3 | 2 | 6 |
| Неосторожное или умышленное злоупотребление оборудованием по причине отсутствия разделения обязанностей или их неисполнения | 3 | 1 | 3 |
| Утечка конфиденциальной информации из сети по каналам связи | 4 | 1 | 4 |
| Утечка конфиденциальной информации на мобильных устройствах | 3 | 1 | 3 |
| Перехват информации на линиях связи путем использования различных видов анализаторов сетевого траффика | 4 | 1 | 4 |
| Замена, вставка, удаление или изменение данных пользователей в информационном потоке | 3 | 1 | 4 |
| Неумышленное раскрытие конфиденциальной информации сотрудниками компании | 3 | 4 | 12 |
| Использование чужих пользовательских идентификаторов | 3 | 5 | 15 |
| Несанкционированный доступ к ресурсам ЛВС компании со стороны внутренних злоумышленников | 4 | 2 | 8 |
| НСД к журналам и средствам аудита | 2 | 2 | 4 |
| НСД к беспроводной сети компании | 2 | 2 | 4 |
| НСД к резервным копиям данных | 4 | 2 | 8 |
| Анализ и модификация ПО | 3 | 3 | 9 |
| Использование незадекларированных возмжностей ПО | 4 | 1 | 4 |
| Внедрение несанкционированного, непроверенного или вредоносного программного кода | 4 | 5 | 20 |
| Атаки на отказ в обслуживании | 2 | 2 | 4 |
| Недоступность ИТ сервисов и информации по причине физического или логического сбоя | 2 | 1 | 2 |
| Повреждение носителей информации | 2 | 1 | 2 |
| Установка непроверенных технических средств | 3 | 1 | 3 |
| Нарушение безопасности по причине несоблюдения операционных процедур | 2 | 4 | 8 |
| Умышленное разрушение критической для бизнеса информации | 5 | 1 | 5 |
| Нарушение целостности данных из за ошибок пользователей | 2 | 2 | 4 |
| Ошибка персонала технической поддержки | 3 | 1 | 3 |
| Ошибка в процессах сопровождения | 1 | 4 | 4 |
| Изменение конфигурации активного сетевого оборудования | 1 | 2 | 2 |
| Фальсификация записей | 4 | 1 | 4 |
| Антропогенные катастрофы (взрыв, терроризм, вандализм и т.д.) | 5 | 0 | 0 |
| Бомбардировка | 5 | 0 | 0 |
| Забастовка | 5 | 0 | 0 |
| Природные катастрофы | 5 | 0 | 0 |
| Молния | 2 | 1 | 2 |
| Ураган | 2 | 1 | 2 |
| Нарушение прав интелектуальной собственности | 1 | 1 | 1 |
| Нелегальное использование ПО | 1 | 0 | 0 |
| Нарушение патентного права | 1 | 0 | 0 |
| Нарушение законодательства и номативной базы | 1 | 2 | 2 |
| Невыполнение контрактных обязательств | 5 | 2 | 10 |
| Итого: | 232 | ||
Приложение В
Оценка угроз активам после внедрения СЗИ
Таблица В.1
Результаты оценки угроз активам после внедрения СЗИ (физические угрозы)
| Физический, несанкционированный доступ в помещения организации, к оборудованию, носителям информации | Кража или повреждение компьютерного оборудования и носителей информации инсайдерами | Кража или повреждение компьютерного оборудования и носителей информации внешними злоумышленниками | Постороннее лицо может получить физический доступ к комплексу средств защиты с целью переконфигурирования или создания возможностей обхода средств защиты | |
| Недостаточное обучение технического персонала в вопросах безопасности | - | Высокая | Средняя | - |
| Неосведомленность пользователей в вопросах безопасности | - | Средняя | - | - |
| Отсутствие политик в области корректного использования технических средств | Высокая | Высокая | Средняя | - |
| Нет регламента действий технических служб при увольнении сотрудников | - | Средняя | - | - |
| Немотивированный персонал | Средняя | Средняя | Средняя | - |
| Безнадзорная работа внешнего персонала или персонала в нерабочее время | Высокая | Высокая | Средняя | - |
| Неадекватное или небрежное использование механизмов физического контроля доступа | Средняя | Средняя | Средняя | - |
| Отсутствие физической защиты здания | Средняя | Средняя | Средняя | - |
| Незащищенное хранение | Высокая | Высокая | Средняя | - |
| Недостаточное сопровождение средств хранения информации | Высокая | Высокая | Средняя | - |
| Неадекватное управление сетью | Средняя | Средняя | - | - |
| Нет разделения тестового и рабочего оборудования | Средняя |
Таблица В.2
Результаты оценки угроз активам после внедрения СЗИ (нецелевое использование компьютерного оборудования и сети интернет сотрудниками организации)
| Злоупотребление средствами аудита | Злоупотребление средствами обработки информации | Злоупотреблние рисками или активами | Несанкционированное использование программного обеспечения | Использование сетевых средств несанкционированным образом | Неосторожное или умышленное злоупотребление оборудованием по причине отсутствия разделения обязанностей или их неисполнения | |
| Недостаточное обучение технического персонала в вопросах безопасности | - | Средняя | Средняя | - | - | Средняя |
| Отсутствие политик в области корректного использования технических средств | Средняя | Средняя | Средняя | - | - | Средняя |
| Нет регламента действий технических служб при увольнении сотрудников | - | - | Средняя | Высокая | - | - |
| Немотивированный персонал | - | Средняя | Средняя | - | - | - |
Таблица В.3
Результаты оценки угроз активам после внедрения СЗИ (угрозы утечки конфиденциальной информации)
| Утечка конфиденциальной информации из сети по каналам связи | Утечка конфиденциальной информации на мобильных устройствах | Перехват информации на линиях связи путем использования анализаторов сетевого траффика | Замена, вставка, удаление или изменение данных пользователей в информационном потоке | Неумышленное раскрытие конфиденциальной информации сотрудниками компании | |
| Недостаточное обучение технического персонала | Средняя | - | Высокая | Высокая | Высокая |
| Нет регламента действий технических служб при увольнении сотрудников | - | - | - | - | Высокая |
| Отсутствие физической защиты здания | - | - | Средняя | - | - |
| Неадекватное управление сетью | Средняя | Средняя | Средняя | Средняя | Высокая |
| Отсутствие доказательств отправки и получения сообщений | - | - | - | Средняя | - |
| Отсутствие или несвоевременное обновление систем антивирусной защиты | Высокая | Высокая | - | Средняя | - |
| Отсутствие политик чистых столов и чистых экранов | - | - | - | - | Средняя |
Таблица В.4
Результаты оценки угроз активам после внедрения СЗИ (угрозы несанкционированного доступа)
| Использование чужих пользовательских идентификаторов | НСД к ресурсам ЛВС (внутренние злоумышленники) | НСД к журналам аудита, средствам аудита, беспроводной сети, резервным копиям данных | Использование нарушителями уязвимых мест в компонентах СЗИ | Анализ и модификация ПО. Использование незадекларированных возможностей ПО | Внедрение несанкционированного, непроверенного или вредоносного программного кода | |
| Недостаточное обучение технического персонала | - | -
Воспользуйтесь поиском по сайту:  ©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...
|