III. На информацию, хранимую и обрабатываемую на ресурсе.

1. Неавторизованная модификация информации в базе данных, хранящейся на ресурсе

- Отсутствие систем резервирования.

- Отсутствие инструкций для персонала по работе с ИС.

- Отсутствие настроек СУБД, обеспечивающих безопасность транзакций.

- Отсутствие журнала протокола транзакций.

- Отсутствие авторизации для внесения изменений в СУБД

- Отсутствие системы контроля целостности данных и СУБД.

- Не используется блокирование рабочей станции (терминала) при простое

Но т.к. система криптографической защиты присутствует в ИС, то этой уязвимости на ресурсе нет.

2. Неавторизованная модификация электронных документов, содержащих ценную информацию

- Отсутствие систем резервирования.

- Отсутствие инструкций для персонала по работе с информационной системой.

- Не используется блокирование рабочей станции (терминала) при простое.

- Не используется ЭЦП при пересылке электронной корреспонденции.

- Отсутствие в компании защищенного документооборота.

- Не используется система криптографической защиты данных.

- Отсутствие регламента работы с системой криптографической защиты данных.

Но т.к. система криптографической защиты присутствует в ИС, то этой уязвимости на ресурсе нет.

3. Неавторизованное чтение конфиденциальной информации в базе данных, хранящейся на ресурсе

- Не используется блокирование рабочей станции (терминала) при простое.

- Отсутствие авторизации при доступе к СУБД.

- Отсутствие инструкций для персонала по работе с конфиденциальной информацией

Но т.к. система криптографической защиты присутствует в ИС, то этой уязвимости на ресурсе нет.

4. Неавторизованное чтение конфиденциальной информации в электронных документах, хранящихся на ресурсе

- Не используется блокирование рабочей станции (терминала) при простое.

- Отсутствие в компании защищенного документооборота.

- Не используется система криптографической защиты данных

- Отсутствие регламента работы с системой криптографической защиты данных.

- Отсутствие инструкций для персонала по работе с конфиденциальной информацией

Но т.к. система криптографической защиты присутствует в ИС, то этой уязвимости на ресурсе нет.

5. Потеря или нарушение целостности информации, хранящейся на ресурсе, в результате неправильного функционирования программного обеспечения

- Отсутствие систем резервирования.

- Отсутствие системы контроля целостности данных.

- Не производится тестирование ПО перед внедрением.

- Не проводится регулярная проверка правильной работы ПО

- Низкая квалификация системных администраторов

Но т.к. система криптографической защиты присутствует в ИС, то этой уязвимости на ресурсе нет.

6 Неавторизированное умышленное использование электронной почты нарушителем от имени легального пользователя

 

- Не используется блокирование рабочей станции (терминала) при простое.

- Отсутствие инструкций для персонала по работе с электронной почтой

7 Удаление нарушителем ценной информации, хранящейся в базе данных

 

- Отсутствие систем резервирования.

- Отсутствие журнала протокола транзакций.

- Не используется блокирование рабочей станции (терминала) при простое.

- Отсутствие авторизации при доступе к СУБД.

- Отсутствие инструкций для персонала по работе с конфиденциальной информацией.

 

8 Удаление нарушителем сообщений электронной почты

 

- Отсутствие систем резервирования.

- Не используется блокирование рабочей станции (терминала) при простое.

- Отсутствие инструкций для персонала по работе с электронной почтой.

 

9 Удаление нарушителем электронных документов, содержащих ценную информацию

 

- Не используется блокирование рабочей станции (терминала) при простое.

- Отсутствие в компании защищенного документооборота.

- Отсутствие инструкций для персонала по работе с конфиденциальной информацией.

- Отсутствие авторизации при доступе к ресурсу.

 

Раздел 4. Удаленные программы (логические) угрозы, направленные на ресурс

Возможные угрозы: сбор информации об операционной системе («отпечатки» протоколов), отказ в обслуживании сетевой службы (внутренний сбой программного обеспечения), запуск эксплоитов, использующих удаленные уязвимости сетевых служб (отказ в обслуживании), запуск эксплоитов, использующих удаленные уязвимости сетевых служб (выполнение произвольного кода на удаленном компьютере), переполнение почтового ящика пользователя, подбор аутентификационных данных пользователя, удаленный сбор информации о сетевых службах, перехват информации, представляемой сетевыми службами (сообщений электронной почты; информации, хранящейся на удаленном сервере), используя уязвимости протоколов передачи данных.

 

1 Сбор информации об операционной системе («отпечатки» протоколов)

 

-.При использовании настроек сетевых протоколов по умолчанию ОС позволяет потенциальному нарушителю определить версию ОС, др. служебную информацию, представляющую интерес для нарушителя.

- Отсутствие инструкций для администраторов по настройке ОС.

- Не используется система обнаружения вторжений для раннего обнаружения атак и оперативной реакции на них.

2 Запуск эксплоитов, использующих удаленные уязвимости операционной системы (отказ в обслуживании, получение доступа с правами супер пользователя, выполнение произвольного кода на удаленном компьютере)

- Не производится регулярная установка обновлений для устранения известных уязвимостей.

- Не производится регулярная проверка прав (привилегий) пользователей.

- Не используются средства защиты программного стека от переполнения.

- Не используется система обнаружения вторжений для раннего обнаружения атак и оперативной реакции на них.

- Отсутствие обязательной авторизации для удаленного выполнения кода на ресурсе.

3 Отказ в обслуживании сетевой службы (внутренний сбой программного обеспечения)

 

- Отсутствие утвержденного перечня разрешенного к использованию прикладного ПО.

- Отсутствие инструкций по тестированию и развертыванию в бизнес-среде прикладного ПО.

- Отсутствие систем восстановления рабочих конфигураций сетевых служб. Отсутствие инструкций для администраторов

- Отсутствие инструкций для администраторов по настройкам конфигурации сетевой службы.

- Отсутствие системы мониторинга работоспособности сетевых служб, работающих в режиме реального времени.

4 Запуск эксплоитов, использующих удаленные уязвимости сетевых служб (отказ в обслуживании).

- Не производится регулярная установка обновлений для устранения известных уязвимостей.

- Не используются средства защиты программного стека от переполнения.

- Отсутствие утвержденного перечня разрешенного к использованию прикладного ПО.

- Отсутствие инструкций по тестированию и развертыванию в бизнес-среде прикладного ПО.

- Не используется система обнаружения вторжений для раннего обнаружения атак и оперативной реакции на них.

- Отсутствие системы мониторинга работоспособности сетевых служб, работающих в режиме реального времени.

- Отсутствие регулярной проверки сетевых служб на наличие уязвимостей, которые могут быть использованы при организации отказа в обслуживании.

 

5 Запуск эксплоитов, использующих удаленные уязвимости сетевых служб (выполнение произвольного кода на удаленном компьютере).

 

- Не производится регулярная установка обновлений для устранения известных уязвимостей.

- Не используются средства защиты программного стека от переполнения.

- Отсутствие утвержденного перечня разрешенного к использованию прикладного ПО.

- Отсутствие инструкций по тестированию и развертыванию в бизнес-среде прикладного ПО.

- Не используется система обнаружения вторжений для раннего обнаружения атак и оперативной реакции на них.

- Отсутствие обязательной авторизации для удаленного выполнения кода на ресурсе.

- Не используется защищенная среда выполнения сетевых служб (т.н. «песочница»).

- Удаленный компьютер предоставляет избыточный набор сетевых служб (например, в конфигурации по умолчанию).

 

6 Переполнение почтового ящика пользователя.

- Отсутствие инструкций для персонала по работе с электронной почтой.

- Отсутствие проверок на наличие свободного места в почтовом ящике пользователя

- Не используются системы контентной фильтрации нежелательных сообщений.

- Конфигурация почтовой службы не тестировалась под нагрузкой.

7 Подбор аутентификационных данных пользователя.

- Отсутствует временная блокировка учетной записи при превышении некоторого числа неудачных попыток авторизации.

- Не производится регистрация успешных и неуспешных попыток авторизации в журнале системных событий.

8 Удаленный сбор информации о сетевых службах

- Отсутствие инструкций для администраторов по настройке конфигураций сетевых служб.

- Сетевая служба предоставляет потенциальному нарушителю информацию о своей версии и текущей конфигурации

 

9 Перехват информации, представляемой сетевыми службами (сообщений электронной почты; информации, хранящейся на удаленном сервере), используя уязвимости протоколов передачи данных.

- Доступ к СУБД осуществляется по незашифрованному каналу связи.

- Низкая квалификация системных администраторов.

- Отсутствие инструкций для администраторов по настройке конфигураций сервисов, использующих протоколы передачи данных.

- Типовые ошибки при проектировании сетевой архитектуры.

- Типовые ошибки при конфигурировании сетевых служб.

- Слабая криптографическая защита протоколов передачи данных.

 

Раздел 5. Программные(логические) угрозы, направленные на канал связи.

Возможные угрозы: неавторизованный доступ к сетевому устройству на программном уровне, отказ в обслуживании на программном уровне, несанкционированное подключение к беспроводным сетям, перехват сетевого трафика на логическом уровне (в силу неправильной конфигурации сетевых устройств или невозможности разграничения трафика между узлами сети)

 

1 Неавторизованный доступ к сетевому устройству на программном уровне

- Отсутствие регулярного обновления версий ПО сетевого оборудования.

- Отсутствие регулярных проверок состояния сетевого оборудования.

- Типовые ошибки при конфигурировании ПО сетевого оборудования.

2. Отказ в обслуживании на программном уровне

 

- Отсутствие регулярного обновления версий ПО сетевого оборудования.

- Отсутствие регулярных проверок состояния сетевого оборудования.

- Типовые ошибки при конфигурировании ПО сетевого оборудования.

 

3 Несанкционированное подключение к беспроводным сетям.

 

- Типовые ошибки при проектировании сетевой архитектуры.

- Отсутствие системы аутентификации беспроводных клиентов.

- Отсутствие криптографической защиты трафика (туннелирование, защита на уровне прикладных протоколов передачи данных).

- Отсутствие регламента по использованию беспроводных устройств.

- Отсутствие программных и аппаратных средств мониторинга несанкционированных подключений к беспроводным сетям.

- Типовые ошибки при конфигурировании беспроводных точе к доступа.

 

4 Перехват сетевого трафика на логическом уровне (в силу неправильной конфигурации сетевых устройств или невозможности разграничения трафика между узлами сети)

- Типовые ошибки при проектировании сетевой архитектуры.

- Отсутствие криптографической защиты трафика (туннелирование, защита на уровне прикладных протоколов передачи данных).

- Не используются системы обнаружения вторжений.

- Не используются хосты-ловушки и сетевые сенсоры.

 

Раздел 6. Угрозы персонала.

Возможные угрозы: Недоступность информации в результате нетрудоспособности пользователей информационной системы; Неправильное функционирование информационной системы в результате нетрудоспособности администраторов (отказ ОС, отказ ПО); Снижение реакции на инциденты в области информационной безопасности в результате нетрудоспособности администратора; Нарушение неправильности ведения бизнеса в результате физического воздействия на сотрудника компании; Разглашение конфиденциальной информации в результате психологического воздействия сторонних лиц на сотрудников компании; Подлог недостоверной информации в результате психологического воздействия сторонних лиц на сотрудников компании; Модификация (удаление) информации в результате психологического воздействия сторонних лиц на сотрудников компании; Недоступность информации в результате нетрудоспособности пользователей информационной системы, владеющих данной информацией; Неправильное функционирование информационной системы в результате нетрудоспособности системных администраторов (отказ ОС, отказ ПО); Разглашение конфиденциальной информации сотрудниками компании, Модификация (удаление) информации сотрудниками компании; Подлог недостоверной информации сотрудниками компании; Нарушение конфиденциальности информации в результате неумышленных действий; Неумышленное нарушение целостности (модификация) информации; Неумышленное удаление критически важной информации.

Определим, через какие уязвимости могут быть реализованы выбранные угрозы: