Записи

Приложение 10. Программные продукты для управления рисками информационной безопасности

image_pdfimage_print

Ниже приводится перечень некоторых известных методов и продуктов для управления рисками информационной безопасности.

Продукт/МетодРазработчикСайтКомментарий
Классика жанра
RiskWatchRiskWatch Inc.www.riskwatch.comАмериканский стандарт де-факто
OCTAVESoftware Engineering Institute Carnegie Mellon Universitywww.cert.org/octaveОдна из наиболее популярных открытых методологий
CRAMMCentral Computer and Telecommunications Agency (UK), Insight Consulting (Siemens)www.cramm.comБританскийстандартде-факто. ПО уже не поддерживается.
RA2 art of riskAEXIS Security Consultants совместнос
XiSEC Consultants Ltd
www.aexis.deРазработчики ISO 27001 при помощи данного продукта иллюстрируют подход к оценке рисков ИБ, заложенный в стандарте. ПО уже не поддерживается.
Отечественные разработки
Digital Security OfficeDigital Securitywww.dsec.ruНаиболее раскрученная отечественная разработка
РискМенеджер (Авангард)Институт системного анализа РАНwww.ocenkariskov.tkКонцептуальная разработка, применявшаяся в ЦБ РФ
Относительно новые
Microsoft Security Assessment ToolMicrosoft Corporationwww.microsoft.com 
vsRiskIT Governance совместносVigilant Software www.itgovernance.co.ukНовая разработка для оценки рисков по ISO 27001
Высокоуровневое управление риском, соответствием и стратегическое планирование
Citicus ONE vR3.2 Citicus Limitedwww.citicus.comДля небольших организаций
Lightwave Security SecureAware v3.7.2 Lightwave Securitywww.lightwavesecurity.comДля средних организаций и для более требовательных организаций
Proteus EnterpriseInfoGovwww.infogov.co.ukМощная и дорогая система для управления ИБ
Rsam v7.0 Rsamwww.rsam.comДля крупных и наиболее требовательных организаций
Оперативное управления рисками, связанными с техническими уязвимостями (подход «снизу вверх»)
Secure Win Auditor v2.0 Secure Byteswww.secure-bytes.comНедорогое средство анализа защищенности и оценки соответствия для небольших Windows-сетей
IT GRC Solution v6.0 иMetricStreamwww.metricstream.comМощное и дорогое средство для оперативного управления уязвимостями, рисками и соответствием для крупных организаций
RiskVision v5.0Agiliancewww.agiliance.comМощное и дорогое средство для оперативного управления уязвимостями, рисками и соответствием для крупных организаций
Total Protection for Compliance v6.8 McAfeewww.mcafee.comМожно рекомендовать только тем, кто строит всю систему защиты корпоративной сети на продуктах McAfee
Skybox 4000 v1.0 Skybox Securitywww.skyboxsecurity.comХорошее соотношение цена/возможности
Network Advisor v4.1 & Vulnerability Advisor v4.1RedSeal Systemswww.redseal.netДорогой, но удобный продукт, особенно в форме эпплайенса
Устаревшие
Callio Secura 17799Callio Technologieswww.callio.comУже не поддерживается. Предназначался для автоматизации всех задач по внедрению СУИБ
COBRARiskAssociateswww.riskworld.netПримитивный и уже устаревший продукт
Прочие
BuddySystemCountermeasures Corp.www.countermeasures.com 
MethodWareMethodware (Jade Software Corporation)www.methodware.com 
PTA Risk Assessment ToolPTA Technologieswww.ptatechnologies.com 
RiskOptixChapman Technology Group, Inc.www.ctgi.net 
EnterpriseRisk RegisterIncom Pty Ltdwww.incom.com.au 
Risk CheckNorman Security Solutionswww.norman.com 
RiskPACCSCI Inc.www.csciweb.com 
Abriska 27001Ultima Risk Managementwww.ultimariskmanagement.com 
CA GRC ManagerCAhttp://www.ca-grc.com 
Archer Risk ManagementArcher Technologieshttp://www.archer.com 

Нормативные документы ФСБ России

image_pdfimage_print

Положение о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну

Приложение 1 к приказу ФСБ РФ от 13 ноября 1999 г. № 564 (система сертификации СЗИ-ГТ).

Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение Пкз-2005)

Приложение к Приказу ФСБ России от 9 февраля 2005 г. № 66.

инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием скзи информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну

Приложение к Приказу Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 13 июня 2001 г. № 152.

методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации

Методические рекомендации предназначены для операторов и разработчиков информационных систем персональных данных и охватывают вопросы защиты персональных данных с помощью криптосредств.

ТИПОВЫЕ ТРЕБОВАНИЯ по организации и обеспечению функционирования шифровальных, предназначенных для обеспечения безопасности персональных данных

Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.

Нормативные документы ФСТЭК России

image_pdfimage_print

Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), Гостехкомиссия России, 2001.

Положение о государственном лицензировании деятельности в области защиты информации

Решение Гостехкомиссии России и ФАПСИ от 27 апреля 1994 года № 10.

Положение о лицензировании деятельности по технической защите конфиденциальной информации

Утверждено Постановлением Правительства Российской Федерации от 15 августа 2006 г. № 504.

Положение о лицензировании деятельности по международному информационному обмену

Утверждено Постановлением Правительства Российской Федерации от 3 июня 1998 г. № 564.

Положение о сертификации средств защиты информации

Утверждено Постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608.

Положение о сертификации средств защиты информации по требованиям безопасности информации

Утверждено приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 27 октября 1995 г. № 199.

Положение по аттестации объектов информатизации по требованиям безопасности информации

Утверждено Председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.

Руководящий документ Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации

Утверждена решением Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.

Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения

Утверждено решением Председателя Гостехкомиссии России от 30 марта 1992 г.

Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации

Утверждено решением Председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.

Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Классификация автоматизированных систем и требования по защите информации

Решение Председателя Гостехкомиссии России от 30 марта 1992 г.

Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники

Решение Председателя Гостехкомиссии России от 30 марта 1992 г.

Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации

Решение Председателя Гостехкомиссии России от 25 июля 1997 г.

Руководящий документ. Защита информации. Специальные защитные знаки. Классификация и общие требования

Решение Председателя Гостехкомиссии России от 25 июля 1997 г.

РД. СЗИ. Защита информации в контрольно-кассовых машинах и автоматизированных кассовых системах. Классификация контрольно-кассовых машин, автоматизированных кассовых систем и требования по защите информации. Сборник руководящих документов по ЗИ

Гостехкомиссия России, 1998 г.

Руководящий документ. Средства защиты информации. Специальные и общие технические требования, предъявляемые к сетевым помехоподавляющим фильтрам

Гостехкомиссия России, 1998 г.

Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей

Приказ Председателя Гостехкомиссии России от 4 июня 1999 г. № 114.

Руководящий документ. Безопасность информационных технологий. Положение по разработке профилей защиты и заданий по безопасности

Гостехкомиссия России, 2003 г.

Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий

Приказ Председателя Гостехкомиссии России от 19 июня 2002 г. № 187.

Руководящий документ. Безопасность информационных технологий. Руководство по регистрации профилей защиты

Гостехкомиссия России, 2003 г.

Руководящий документ. Безопасность информационных технологий. Руководство по формированию семейств профилей защиты

Гостехкомиссия России, 2003 г.

Руководство по разработке профилей защиты и заданий по безопасности

Гостехкомиссия России, 2003 г.

Постановления Правительства РФ

image_pdfimage_print

О сертификации средств защиты информации

Постановление Правительства РФ от 26 июня 1995 г. № 608.

О лицензировании деятельности по технической защите конфиденциальной информации

Постановление Правительства Российской Федерации от 15 августа 2006 г. № 504.

О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации

Постановление Правительства Российской Федерации от 31 августа 2006 г. № 532.

Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами

Постановление Правительства Российской Федерации от 23 сентября 2002 г. № 691.

Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных

Постановление Правительства РФ № 781 от 17 ноября 2007.

Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации

Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687.

Указы Президента РФ

image_pdfimage_print

Доктрина информационной безопасности РФ

Доктрина информационной безопасности РФ.

Концепция национальной безопасности Российской Федерации

Утверждена Указом Президента Российской Федерации № 1300 от 17 декабря 1997 г.

О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации

Указ № 334 от 3 апреля 1995 г.

Об утверждении перечня сведений конфиденциального характера

Указ Президента Российской Федерации № 188 от 6 марта 1997 г.

Об утверждении перечня сведений, отнесенных к государственной тайне

Указ Президента Российской Федерации № 1203 от 30 ноября 1995 г.

О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена

Указ Президента РФ № 351 от 17 марта 2008 г.

О внесении изменений в некоторые акты Президента Российской Федерации

Указ № 1625 от 17 ноября 2008 г.

Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела

Указ Президента РФ № 609от 30 мая 2005 г.

Федеральные Законы РФ

image_pdfimage_print

Закон «Об электронной цифровой подписи»

Федеральный Закон от 10 января 2002 г. № 1–ФЗ «Об электронной цифровой подписи».

Закон «О техническом регулировании»

Федеральный закон от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании».

Закон «О коммерческой тайне»

Федеральный закон Российской Федерации от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне».

Закон «О персональных данных»

Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Закон «О безопасности»

Закон Российской Федерации от 5 марта 1992 г. № 2446-I «О безопасности».

Закон «О государственной тайне»

Закон Российской Федерации от 21 июня 1993 г. № 5485-I «О государственной тайне».

Кодекс Российской Федерации об административных правонарушениях

От 30 декабря 2001 года № 195-ФЗ (выписка в части вопросов защиты информации).

Уголовный кодекс Российской Федерации

От 13 июня 1996 года № 63-ФЗ (выписка в части вопросов защиты информации).

Закон «О лицензировании отдельных видов деятельности»

Федеральный закон от 8 августа 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности».

Закон «Об информации, информационных технологиях и о защите информации»

Федеральный Закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Закон «О ратификации Соглашения о сотрудничестве государств – участников Содружества Независимых Государств в борьбе с преступлениями в сфере компьютерной информации»

Федеральный закон № 164-ФЗ от 1 октября 2008 Принят Государственной Думой 12 сентября 2008 г. Одобрен Советом Федерации 19 сентября 2008 г.

Конвенция о защите физических лиц при автоматизированной обработке персональных данных

Страсбург, 28 января 1981 г. с изменениями от 15 июня 1999 г.

Трудовой кодекс РФ — Глава 14. Защита персональных данных работника

Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ (ТК РФ).

Гражданский кодекс РФ. Часть четвертая. Интеллектуальная собственность

Правовое регулирование в сфере интеллектуальной собственности.

Приложение 9. Законодательные и нормативные акты РФ в области защиты информации

image_pdfimage_print

По материалам информационного портала ISO27000.ru

Приложение 8. Опросный лист для оценки уязвимостей по методу CRAMM

image_pdfimage_print

Угроза: Использование чужого идентификатора сотрудниками организации («маскарад»)

  • Сколько человек имеют право пользоваться системой (сетью)?
  • Будет ли линейное руководство осведомлено о том, что люди, работающие под их началом, ведут себя необычным образом?
  • Какие устройства и программы доступны пользователям?
  • Возможны ли ситуации, когда сотрудникам, предупрежденным о предстоящем сокращении или увольнении, разрешается логический доступ к системе (сети)?
  • Каковы в среднем размеры рабочих групп сотрудников пользовательских подразделений, имеющих доступ к системе (сети)?
  • Станет ли факт изменения хранящихся в системе (сети) данных очевидным сразу для нескольких человек (в результате чего его будет очень трудно скрыть)?
  • Насколько велики официально предоставленные пользователям возможности по просмотру всех хранящихся в системе данных?
  • Насколько необходимо пользователям знать всю информацию, хранящуюся в системе?

Угроза: Использование чужого идентификатора поставщиками услуг («маскарад»)

  • Какое количество учетных записей пользователей хранится в системе (сети)?
  • Будут ли сотрудники организации осведомлены о том, что люди, работающие у поставщика услуг, ведут себя необычным образом?
  • Какие устройства и программы доступны поставщикам услуг?
  • Возможны ли ситуации, когда сотрудникам организации-поставщика услуг, предупрежденным о предстоящем сокращении или увольнении, разрешается логический доступ к системе (сети)?
  • Входит ли в обязанности кого-либо из сотрудников организации-поставщика услуг программирование приложений для системы?
  • Станет ли факт изменения хранящихся в системе (сети) данных очевидным сразу для нескольких человек (в результате чего его будет очень трудно скрыть)?

Угроза: Использование чужого идентификатора посторонними («маскарад»)

  • Какое количество учетных записей пользователей хранится в системе (сети)?
  • Разрешено ли пользоваться системой (сетью) рядовым гражданам?
  • К какой внешней сети подключена рассматриваемая система (сеть)?
  • Насколько велики официально предоставленные пользователям возможности по просмотру всех хранящихся в системе данных?
  • Насколько необходимо пользователям знать всю информацию, хранящуюся в системе?

Угроза: Несанкционированный доступ к приложению

  • Обладают ли сотрудники достаточными знаниями и возможностями для того, чтобы использовать приложение несанкционированным образом (например, обойти блокировки и получить непосредственный доступ к данным)?
  • Каков общий уровень загруженности персонала, имеющего доступ к приложениям?
  • Есть ли у сотрудников возможность использовать приложение несанкционированным образом (например, когда их непосредственно не контролируют, по вечерам и т.п.)?
  • Есть ли у сотрудников основания полагать, что использование ими приложения несанкционированным образом останется незамеченным?
  • Могут ли сотрудники без официального предупреждения (разрешения) получить физический или логический доступ к критичным с точки зрения функционирования информационной системы программам и устройствам?
  • Как скажется на пользователях недоступность приложения?
  • Может ли использование приложения несанкционированным образом привести к разрушению информации?
  • Может ли использование приложения несанкционированным образом привести к разглашению информации?
  • Может ли использование приложения несанкционированным образом привести к искажению информации?

Угроза: Внедрение вредоносного программного обеспечения

  • Могут ли сотрудники инсталлировать и запускать неразрешенное программное обеспечение (в том числе и с помощью электронной почты)?
  • Существуют ли ограничения на использование дискет (например, запрет на считывание с них информации)?
  • Если вредоносный программный код все же занесен в одну из частей системы, может ли он воспроизвести сам себя и оказать влияние на работу?
  • Как скажется на других пользователях внедрение вредоносного программного обеспечения?
  • Может ли внедрение вредоносного программного обеспечения привести к разрушению информации?
  • Может ли внедрение вредоносного программного обеспечения привести к разглашению информации?
  • Может ли внедрение вредоносного программного обеспечения привести к искажению информации?

Угроза: Злоупотребление системными ресурсами

  • Обладают ли сотрудники достаточными знаниями и возможностями для того, чтобы извлечь выгоду из использования привлекательных для них устройств и программ?
  • Каков общий уровень загруженности персонала?
  • Есть ли у сотрудников возможность злоупотребления системными ресурсами (например, над ними не установлен жесткий контроль, соответствующие устройства не располагаются в изолированных зонах)?
  • Есть ли у сотрудников основания полагать, что злоупотребления системными ресурсами останутся незамеченными?
  • Могут ли сотрудники без официального предупреждения (разрешения) получить физический или логический доступ к критичным с точки зрения функционирования информационной системы программам и устройствам?
  • Как скажется на пользователях злоупотребление системными ресурсами? Ресурсы, критичные с точки зрения злоупотребления ими, перечислены в анкете, посвященной угрозам.

Угроза: Использование телекоммуникаций для несанкционированного доступа сотрудниками организации

  • Входят ли в состав сети линии связи, проходящие вне территории, находящейся под непосредственным контролем организации?
  • Входят ли в состав сети радиочастотные, микроволновые или иные беспроводные линии связи?
  • Могут ли сотрудники получить доступ к внутренним линиям связи или сетевому оборудованию на время, достаточное для того, чтобы осуществить несанкционированный доступ к системе?
  • Могут ли сотрудники узнать, по каким каналам передаются данные?
  • Обладают ли сотрудники техническими познаниями и доступно ли им программное обеспечение и оборудование, необходимое для изменения сетевого трафика?
  • Передаются ли данные в таком формате, что их характер и конкретные значения могут быть распознаны сотрудниками?
  • Носят ли данные такой характер, что их искажения могут быть легко обнаружены санкционированными пользователями?
  • Легко ли сотрудникам получить в свое распоряжение оборудование, необходимое для перехвата и изменения сетевого трафика (например, сетевые анализаторы, модули маршрутизации, спутниковые широкополосные демодуляторы)?
  • Если сфера действия сети распространяется на большую территорию, то выполняется ли маршрутизация так, что данные обычно передаются по одним и тем же каналам (например, по выделенным линиям)?
  • Замечаются и расследуются ли руководством и персоналом случаи необычной деятельности в сети?
  • Доступна ли другая информация, с помощью которой можно было бы подтвердить подлинность исходных данных?
  • Построена ли сеть таким образом, что сотрудникам было бы затруднительно подключить аппаратуру для перехвата и записи данных (например, в сети широко используются оптоволоконные кабели)?
  • Строятся ли отношения между отправителями и получателями передаваемой через сеть информации в основном на доверии (т.е. не являются формальными контрактными коммерческими связями)?
  • Знакомы ли между собой лично отправители и получатели передаваемой через сеть информации, связаны ли они длительными деловыми отношениями?
  • Построена ли система прикладных программ или сетевая служба таким образом, что получатель в состоянии каким-либо дополнительным способом проверить достоверность принятых сообщений?
  • Существуют ли другие отправители аналогичных данных, от которых можно было бы получить какие-либо подтверждения достоверности источника информации?

Угроза: Использование телекоммуникаций для несанкционированного доступа поставщиком услуг

  • Входят ли в состав сети линии связи, проходящие вне территории, находящейся под непосредственным контролем организации?
  • Входят ли в состав сети радиочастотные, микроволновые или иные беспроводные линии связи?
  • Могут ли поставщики услуг получить доступ к внутренним линиям связи или сетевому оборудованию на время, достаточное для того, чтобы осуществить несанкционированный доступ к системе?
  • Могут ли поставщики услуг узнать, по каким каналам передаются данные?
  • Обладают ли поставщики услуг техническими познаниями и доступно ли им программное обеспечение и оборудование, необходимое для изменения сетевого трафика (например, выдачи ответов, внеочередной пересылки, ввода, искажения или невыдачи данных)?
  • Передаются ли данные в таком формате, что их характер и конкретные значения могут быть распознаны поставщиками услуг?
  • Носят ли данные такой характер, что их искажения могут быть легко обнаружены санкционированными пользователями?
  • Легко ли поставщикам услуг получить в свое распоряжение оборудование, необходимое для перехвата и изменения сетевого трафика (например, сетевые анализаторы, модули маршрутизации, спутниковые широкополосные демодуляторы)?
  • Если сфера действия сети распространяется на большую территорию, то выполняется ли маршрутизация так, что данные обычно передаются по одним и тем же каналам (например, по выделенным линиям)?
  • Замечаются и расследуются ли руководством и персоналом случаи необычной деятельности в сети?
  • Доступна ли другая информация, с помощью которой можно было бы подтвердить подлинность исходных данных?
  • Построена ли сеть таким образом, что поставщикам услуг было бы затруднительно подключить аппаратуру для перехвата и записи данных (например, в сети широко используются оптоволоконные кабели)?

Угроза: Использование телекоммуникаций для несанкционированного доступа посторонними

  • Входят ли в состав сети линии связи, проходящие вне территории, находящейся под непосредственным контролем организации?
  • Входят ли в состав сети радиочастотные, микроволновые или иные беспроводные линии связи?
  • Могут ли посторонние лица получить доступ к внутренним линиям связи или сетевому оборудованию на время, достаточное для того, чтобы осуществить несанкционированный доступ к системе?
  • Могут ли посторонние лица узнать, по каким каналам передаются данные?
  • Обладают ли посторонние лица техническими познаниями и доступно ли им программное обеспечение и оборудование, необходимое для изменения сетевого трафика (например, выдачи ответов, внеочередной пересылки, ввода, искажения или невыдачи данных)?
  • Передаются ли данные в таком формате, что их характер и конкретные значения могут быть распознаны посторонними лицами?
  • Носят ли данные такой характер, что их искажения могут быть легко обнаружены санкционированными пользователями?
  • Легко ли посторонним лицам получить в свое распоряжение оборудование, необходимое для перехвата и изменения сетевого трафика (например, сетевые анализаторы, модули маршрутизации, спутниковые широкополосные демодуляторы)?
  • Если сфера действия сети распространяется на большую территорию, то выполняется ли маршрутизация так, что данные обычно передаются по одним и тем же каналам (например, по выделенным линиям)?
  • Замечаются и расследуются ли руководством и персоналом случаи необычной деятельности в сети?
  • Доступна ли другая информация, с помощью которой можно было бы подтвердить подлинность исходных данных?
  • Построена ли сеть таким образом, что поставщикам услуг было бы затруднительно подключить аппаратуру для перехвата и записи данных (например, в сети широко используются оптоволоконные кабели)?

Угроза: Ошибки при маршрутизации

  • Используется ли в сети много коммуникационных протоколов и схем адресации?
  • Осуществляется ли маршрутизация и адресация в сети централизованно (т.е. с помощью сетевой службы управления или ее аналога) с обязательной регистрацией событий и аварийных предупреждений?
  • Используется ли в сети строго упорядоченная схема адресации и именования узлов?
  • Построены ли приложения или сетевая служба управления таким образом, что ошибочная доставка данных или их части может быть обнаружена санкционированными пользователями или с помощью технических приемов?

Угроза: Неисправность основного компьютера, не включенного в сеть

  • Может ли неисправность единственного компонента привести к прекращению обслуживания всех пользователей?
  • Возможно ли переконфигурировать систему так, чтобы обойти неисправность основного (не сетевого) компьютера и избежать вышеупомянутого эффекта?
  • Возможна ли доставка необходимых для ремонта материалов и оборудования в короткие сроки, с тем чтобы можно было избежать вышеупомянутого эффекта, т.е. оговорено ли, например, такое условие в контракте на обслуживание?
  • Возможно ли устранить неисправность основного (не сетевого) компьютера в течение 15 минут?
  • Возможно ли устранить неисправность основного (не сетевого) компьютера в течение одного часа?
  • Возможно ли устранить неисправность основного (не сетевого) компьютера в течение 3 часов?
  • Возможно ли устранить неисправность основного (не сетевого) компьютера в течение 12 часов?
  • Возможно ли устранить неисправность основного (не сетевого) компьютера в течение одного дня?
  • Возможно ли устранить неисправность основного (не сетевого) компьютера в течение 2 дней?

Угроза: Неисправность сетевого сервера

  • Может ли неисправность единственного компонента привести к прекращению обслуживания всех пользователей?
  • Возможно ли переконфигурировать систему так, чтобы обойти неисправность сетевого сервера и избежать вышеупомянутого эффекта?
  • Возможна ли доставка необходимых для ремонта материалов и оборудования в короткие сроки, с тем чтобы можно было избежать вышеупомянутого эффекта, т.е. оговорено ли, например, такое условие в контракте на обслуживание?
  • Возможно ли устранить неисправность сетевого сервера в течение 15 минут?
  • Возможно ли устранить неисправность сетевого сервера в течение одного часа?
  • Возможно ли устранить неисправность сетевого сервера в течение 3 часов?
  • Возможно ли устранить неисправность сетевого сервера в течение 12 часов?
  • Возможно ли устранить неисправность сетевого сервера в течение одного дня?
  • Возможно ли устранить неисправность сетевого сервера в течение 2 дней?

Угроза: Неисправность накопительного устройства

  • Может ли неисправность единственного компонента привести к прекращению обслуживания всех пользователей?
  • Возможно ли переконфигурировать систему так, чтобы обойти неисправность накопительного устройства и избежать вышеупомянутого эффекта?
  • Возможна ли доставка необходимых для ремонта материалов и оборудования в короткие сроки, с тем чтобы можно было избежать вышеупомянутого эффекта, т.е. оговорено ли, например, такое условие в контракте на обслуживание?
  • Возможно ли устранить неисправность накопительного устройства в течение 15 минут?
  • Возможно ли устранить неисправность накопительного устройства в течение одного часа?
  • Возможно ли устранить неисправность накопительного устройства в течение 3 часов?
  • Возможно ли устранить неисправность накопительного устройства в течение 12 часов?
  • Возможно ли устранить неисправность накопительного устройства в течение одного дня?
  • Возможно ли устранить неисправность накопительного устройства в течение 2 дней?

Угроза: Неисправность печатающих устройств

  • Может ли неисправность единственного компонента привести к прекращению обслуживания всех пользователей?
  • Возможно ли переконфигурировать систему так, чтобы обойти неисправность печатающего устройства и избежать вышеупомянутого эффекта?
  • Возможна ли доставка необходимых для ремонта материалов и оборудования в короткие сроки, с тем чтобы можно было избежать вышеупомянутого эффекта, т.е. оговорено ли, например, такое условие в контракте на обслуживание?
  • Возможно ли устранить неисправность печатающего устройства в течение 15 минут?
  • Возможно ли устранить неисправность печатающего устройства в течение одного часа?
  • Возможно ли устранить неисправность печатающего устройства в течение 3 часов?
  • Возможно ли устранить неисправность печатающего устройства в течение 12 часов?

Угроза: Неисправность сетевых распределяющих компонентов

  • Может ли неисправность единственного компонента привести к прекращению обслуживания всех пользователей?
  • Возможно ли переконфигурировать систему так, чтобы обойти неисправность сетевого распределяющего компонента и избежать вышеупомянутого эффекта?
  • Возможна ли доставка необходимых для ремонта материалов и оборудования в короткие сроки, с тем чтобы можно было избежать вышеупомянутого эффекта, т.е. оговорено ли, например, такое условие в контракте на обслуживание?
  • Возможно ли устранить неисправность сетевого распределяющего компонента в течение 15 минут?
  • Возможно ли устранить неисправность сетевого распределяющего компонента в течение одного часа?
  • Возможно ли устранить неисправность сетевого распределяющего компонента в течение 3 часов?
  • Возможно ли устранить неисправность сетевого распределяющего компонента в течение 12 часов?
  • Возможно ли устранить неисправность сетевого распределяющего компонента в течение одного дня?
  • Возможно ли устранить неисправность сетевого распределяющего компонента в течение 2 дней?

Угроза: Неисправность сетевых шлюзов

  • Может ли неисправность единственного компонента привести к прекращению обслуживания всех пользователей?
  • Возможно ли переконфигурировать систему так, чтобы обойти неисправность сетевого шлюза и избежать вышеупомянутого эффекта?
  • Возможна ли доставка необходимых для ремонта материалов и оборудования в короткие сроки, с тем чтобы можно было избежать вышеупомянутого эффекта, т.е. оговорено ли, например, такое условие в контракте на обслуживание?
  • Возможно ли устранить неисправность сетевого шлюза в течение 15 минут?
  • Возможно ли устранить неисправность сетевого шлюза в течение одного часа?
  • Возможно ли устранить неисправность сетевого шлюза в течение 3 часов?
  • Возможно ли устранить неисправность сетевого шлюза в течение 12 часов?
  • Возможно ли устранить неисправность сетевого шлюза в течение одного дня?
  • Возможно ли устранить неисправность сетевого шлюза в течение 2 дней?

Угроза: Неисправность средств сетевого управления или управляющих серверов

  • Может ли неисправность единственного компонента привести к прекращению обслуживания всех пользователей?
  • Возможно ли переконфигурировать систему так, чтобы обойти неисправность средства сетевого управления или управляющего сервера и избежать вышеупомянутого эффекта?
  • Возможна ли доставка необходимых для ремонта материалов и оборудования в короткие сроки, с тем чтобы можно было избежать вышеупомянутого эффекта, т.е. оговорено ли, например, такое условие в контракте на обслуживание?
  • Возможно ли устранить неисправность средства сетевого управления или управляющего сервера в течение 15 минут?
  • Возможно ли устранить неисправность средства сетевого управления или управляющего сервера в течение одного часа?
  • Возможно ли устранить неисправность средства сетевого управления или управляющего сервера в течение 3 часов?
  • Возможно ли устранить неисправность средства сетевого управления или управляющего сервера в течение 12 часов?
  • Возможно ли устранить неисправность средства сетевого управления или управляющего сервера в течение одного дня?
  • Возможно ли устранить неисправность средства сетевого управления или управляющего сервера в течение 2 дней?

Угроза: Неисправность сетевых интерфейсов

  • Переделывались ли сетевые интерфейсы тем или иным способом, в результате чего они стали нестандартными?
  • Включено ли обслуживание сетевых интерфейсов в сервисный контракт?
  • Составляются ли при неисправностях отчеты с подробной диагностикой повреждений?
  • Возможно ли устранить неисправность сетевых интерфейсов в течение 15 минут?
  • Возможно ли устранить неисправность сетевых интерфейсов в течение одного часа?
  • Возможно ли устранить неисправность сетевых интерфейсов в течение 3 часов?
  • Возможно ли устранить неисправность сетевых интерфейсов в течение 12 часов?

Угроза: Неисправность сетевых сервисов

  • Как скажется на пользователях неисправность сетевых сервисов?

Угроза: Неисправность электропитания

  • Может ли электропитание быть восстановлено при обычных обстоятельствах в течение 3 часов?
  • Может ли электропитание быть восстановлено при обычных обстоятельствах в течение одного часа?
  • Может ли электропитание быть восстановлено при обычных обстоятельствах в течение 15 минут?

Угроза: Неисправность кондиционеров

  • Будет ли прекращена работа информационной системы при неисправности одного единственного кондиционера?
  • Может ли кондиционер быть отремонтирован при обычных обстоятельствах в течение одного дня?
  • Может ли кондиционер быть отремонтирован при обычных обстоятельствах в течение 12 часов?
  • Может ли кондиционер быть отремонтирован при обычных обстоятельствах в течение 3 часов?
  • Может ли кондиционер быть отремонтирован при обычных обстоятельствах в течение одного часа?
  • Может ли кондиционер быть отремонтирован при обычных обстоятельствах в течение 15 минут?

Угроза: Сбои системного и сетевого ПО

  • Может ли работоспособность системы быть восстановлена при обычных обстоятельствах в течение 3 часов после сбоя системного или сетевого ПО?
  • Может ли работоспособность системы быть восстановлена при обычных обстоятельствах в течение одного часа после сбоя системного или сетевого ПО?
  • Может ли работоспособность системы быть восстановлена при обычных обстоятельствах в течение 15 минут после сбоя системного или сетевого ПО?
  • Может ли сбой системного или сетевого ПО привести к утечке информации к посторонним лицам?
  • Может ли сбой системного или сетевого ПО привести к утечке информации к поставщикам услуг?
  • Может ли сбой системного или сетевого ПО привести к утечке информации к сотрудникам?
  • Может ли сбой системного или сетевого ПО привести к незначительному искажению информации?
  • Может ли сбой системного или сетевого ПО привести к обширному искажению информации?
  • Можно ли обнаружить ошибки в данных?
  • Поддерживается ли в настоящее время версия установленного системного или сетевого ПО?

Угроза: Сбои прикладного ПО

  • Может ли работоспособность системы быть восстановлена при обычных обстоятельствах в течение 3 часов после сбоя прикладного ПО?
  • Может ли работоспособность системы быть восстановлена при обычных обстоятельствах в течение одного часа после сбоя прикладного ПО?
  • Может ли работоспособность системы быть восстановлена при обычных обстоятельствах в течение 15 минут после сбоя прикладного ПО?
  • Может ли сбой прикладного ПО привести к утечке информации к сотрудникам, не имеющим допуска к ней?
  • Может ли сбой прикладного ПО привести к незначительному искажению информации?
  • Может ли сбой прикладного ПО привести к обширному искажению информации?
  • Можно ли обнаружить ошибки в данных?
  • Насколько серьезно скажется на деятельности организации прекращение работы системы на срок до 12 часов?

Угроза: Ошибки операторов

  • Может ли работоспособность информационной системы быть восстановлена при обычных обстоятельствах в течение 3 часов после ошибки оператора?
  • Может ли работоспособность информационной системы быть восстановлена при обычных обстоятельствах в течение одного часа после ошибки оператора?
  • Может ли работоспособность информационной системы быть восстановлена при обычных обстоятельствах в течение 15 минут после ошибки оператора?
  • Может ли ошибка оператора привести к утечке информации к посторонним лицам?
  • Может ли ошибка оператора привести к утечке информации к поставщикам услуг?
  • Может ли ошибка оператора привести к утечке информации к сотрудникам?
  • Может ли ошибка оператора привести к незначительному искажению информации?
  • Может ли ошибка оператора привести к обширному искажению информации?
  • Можно ли обнаружить ошибки в данных?

Угроза: Ошибки при профилактических работах с оборудованием

  • Может ли работоспособность информационной системы быть восстановлена при обычных обстоятельствах в течение 3 часов после ошибки при профилактических работах с оборудованием?
  • Может ли работоспособность информационной системы быть восстановлена при обычных обстоятельствах в течение одного часа после ошибки при профилактических работах с оборудованием?
  • Может ли работоспособность информационной системы быть восстановлена при обычных обстоятельствах в течение 15 минут после ошибки при профилактических работах с оборудованием?
  • Может ли ошибка при профилактических работах с оборудованием привести к утечке информации к поставщикам услуг?
  • Может ли ошибка при профилактических работах с оборудованием привести к утечке информации к сотрудникам?

Угроза: Ошибки при профилактических работах с ПО

  • Может ли работоспособность системы быть восстановлена при обычных обстоятельствах в течение 3 часов после ошибки при профилактических работах с ПО?
  • Может ли работоспособность системы быть восстановлена при обычных обстоятельствах в течение одного часа после ошибки при профилактических работах с ПО?
  • Может ли работоспособность системы быть восстановлена при обычных обстоятельствах в течение 15 минут после ошибки при профилактических работах с ПО?
  • Может ли ошибка при профилактических работах с ПО привести к утечке информации к посторонним лицам?
  • Может ли ошибка при профилактических работах с ПО привести к утечке информации к поставщикам услуг?
  • Может ли ошибка при профилактических работах с ПО привести к утечке информации к сотрудникам?
  • Может ли ошибка при профилактических работах с ПО привести к незначительному искажению информации?
  • Может ли ошибка при профилактических работах с ПО привести к обширному искажению информации?
  • Можно ли обнаружить ошибки в данных?

Угроза: Ошибки пользователей

  • Может ли работоспособность информационной системы быть восстановлена при обычных обстоятельствах в течение 15 минут после ошибки пользователя?
  • Может ли ошибка пользователя привести к утечке информации к посторонним лицам?
  • Может ли ошибка пользователя привести к утечке информации к сотрудникам?
  • Может ли ошибка пользователя привести к незначительному искажению информации?
  • Можно ли обнаружить ошибки в данных?

Угроза: Пожар

  • Какова конструкция здания?
  • Располагаются ли снаружи на стенах здания горючие архитектурные или декоративные элементы (например, деревянная обшивка, вывески, здание оплетено виноградом и т.п.)?
  • Поддерживаются ли помещения в должном техническом состоянии (например, хорошо ли подогнаны окна и двери)?
  • Хранятся, используются и переносятся ли в непосредственной близости от ответственного оборудования, относящегося к информационной системе, горючие материалы — например, растворители, бумажные отходы, упаковочные материалы? (Речь не идет о небольших количествах вышеперечисленных материалов, используемых при повседневной работе.)
  • С какой скоростью может распространяться огонь в здании (примите во внимание наличие открытых пространств, вентиляционных и иных шахт и отверстий в потолках и стенах)?
  • Остались ли невыполненными какие-либо рекомендации или требования, высказанные при последнем визите инспектором по противопожарной безопасности?
  • Через какое время после вызова может приехать пожарная команда?
  • Насколько серьезно скажется на деятельности организации пожар в месте расположения информационной системы?

Угроза: Затопление

  • Поддерживаются ли помещения, в которых установлено ответственное оборудование информационной системы, в должном техническом состоянии (хорошо ли подогнаны окна и двери, не протекают ли трубы и т.п.)?
  • Установлено ли ответственное оборудование информационной системы в помещениях, расположенных ниже уровня грунтовых вод?
  • Установлено ли ответственное оборудование информационной системы в подвальных или полуподвальных помещениях?
  • Насколько серьезно скажется затопление на деятельности организации?

Угроза: Природные катаклизмы

  • Насколько серьезно скажется воздействие природных катаклизмов на деятельности организации?

Угроза: Нехватка персонала

  • Сколько ключевых сотрудников должно отсутствовать для того, чтобы работа застопорилась?
  • Насколько серьезно скажется отсутствие ключевых сотрудников в течение одного дня или менее на деятельности организации? (Из возможных вариантов выберите ответ с максимальным количеством баллов.)
  • Насколько серьезно скажется отсутствие ключевых сотрудников в течение недели или менее на деятельности организации? (Из возможных вариантов выберите ответ с максимальным количеством баллов.)
  • Насколько серьезно скажется отсутствие ключевых сотрудников в течение недели и более на деятельности организации? (Из возможных вариантов выберите ответ с максимальным количеством баллов.)
  • Легко ли набрать персонал, способный обслуживать ответственные компоненты системы?

Угроза: Кражи со стороны сотрудников

  • Проводится ли расследование всех случаев краж в организации?
  • Используются ли в системе устройства, которые можно легко вынести за пределы здания?
  • Насколько серьезно скажется кража оборудования на деятельности организации?
  • Возможна ли замена ответственного оборудования?
  • Необходимо ли получить письменное разрешение на вынос оборудования из здания?
  • Могут ли люди находиться на рабочих местах в нерабочее время (речь идет о сотрудниках, уборщиках, лицах, работающих по контракту)?

Угроза: Кражи со стороны посторонних

  • Расположено ли здание на территории, где возникают сложности с поддержанием правопорядка?
  • Используются ли в системе устройства, которые можно легко вынести за пределы здания?
  • Насколько серьезно скажется кража оборудования на деятельности организации?
  • Возможна ли замена ответственного оборудования?
  • Контролируется ли доступ в здание (секретарем в приемной, охранниками и т.п.)?
  • Сколько входов и выходов в здании?
  • Сопровождают ли посетителей организации?
  • Могут ли посетители проходить в здание (на территорию, занимаемую организацией) в нерабочее время?

Угроза: Преднамеренное вредительство со стороны сотрудников

  • Разрешено ли сотрудникам работать в помещениях (в зоне расположения компонентов системы) в нерабочее время?
  • Находятся ли в помещении (в зоне расположения компонентов системы) при обычных обстоятельствах два человека и более?
  • Все ли сотрудники подвергаются тщательной проверке при приеме на работу?
  • Насколько серьезно скажется поломка устройств, относящихся к информационной системе, на деятельности организации?

Угроза: Преднамеренное вредительство со стороны посторонних

  • Могут ли обычные граждане проходить рядом со зданием или на небольшом расстоянии от него?
  • Имеются ли на первом этаже здания большие застекленные окна?
  • Присутствуют ли люди в здании круглосуточно?
  • Разрешен ли обычным гражданам свободный доступ в здание?
  • Насколько серьезно скажется поломка устройств, относящихся к информационной системе, на работе пользователей?
  • Уязвимы ли для нападения жизненно важные внешние системы, обслуживающие здание (линии энергоснабжения, например)?

Угроза: Терроризм

  • Могут ли обычные граждане проходить рядом со зданием или на небольшом расстоянии от него?
  • Могут ли обычные граждане парковать свои машины со зданием или на небольшом расстоянии от него?
  • Используется ли здание совместно с другими организациями?
  • Разрешен ли обычным гражданам доступ в здание?
  • Доставляются ли в здание вне какого-либо расписания посылки, контейнеры и т.п. неизвестного происхождения?
  • Насколько серьезно нападение на здание террористов или экстремистов на деятельности организации?
  • Существует ли у кого-либо из сотрудников конфликт интересов с экстремистской или террористической организацией и не связан ли кто-нибудь из них с подобной организацией?
  • Расположено ли здание организации в стране, где существуют проблемы с поддержанием законности и порядка?

Приложение 7. Опросный лист для оценки угроз по методу CRAMM

image_pdfimage_print

Угроза: Использование чужого идентификатора сотрудниками организации («маскарад»)

  • Сколько раз за последние 3 года сотрудники организации пытались с использованием прав других пользователей получить несанкционированный доступ к хранящейся в системе (сети) информации?
  • Какова тенденция в статистике такого рода попыток несанкционированного проникновения в систему (сеть)?
  • Хранится ли в системе (сети) информация (например, личные дела), которая может представлять интерес для сотрудников организации и побуждать их к попыткам несанкционированного доступа к ней?
  • Известны ли случаи нападения, угроз, шантажа, давления на сотрудников со стороны посторонних лиц?
  • Существуют ли среди персонала группы лиц или отдельные личности с недостаточно высокими моральными качествами?
  • Хранится ли в системе (сети) информация, несанкционированное изменение которой может принести прямую выгоду сотрудникам?
  • Предусмотрена ли в системе (сети) поддержка пользователей, обладающих техническими возможностями совершить подобную «агрессию»?
  • Существуют ли другие способы просмотра информации, позволяющие злоумышленнику добраться до нее более простыми методами, чем с использованием «маскарада»?
  • Существуют ли другие способы несанкционированного изменения информации, позволяющие злоумышленнику достичь желаемого результата более простыми методами, чем с использованием «маскарада»?
  • Сколько раз за последние 3 года сотрудники пытались получить несанкционированный доступ к информации, хранящейся в других подобных системах в вашей организации?

Угроза: Использование чужого идентификатора поставщиками услуг («маскарад»)

  • Сколько раз за последние 3 года поставщики услуг пытались с использованием прав других пользователей получить несанкционированный доступ к хранящейся в системе (сети) информации?
  • Хранится ли в системе (сети) информация, которая может представлять интерес для сотрудников фирм-поставщиков услуг, например сведения о заключенных контрактах?
  • Используется ли система (сеть) для работы с финансовыми прикладными программами?
  • Известны ли случаи нападения, угроз, шантажа, давления на персонал фирмы-поставщика услуг со стороны посторонних лиц?
  • Каков общий уровень моральных качеств персонала фирмы-поставщика услуг?
  • Какова тенденция в статистике попыток несанкционированного проникновения в систему (сеть) со стороны фирмы-поставщика услуг?

Угроза: Использование чужого идентификатора посторонними («маскарад»)

  • Какая из нижеперечисленных групп может проявлять повышенный интерес к хранящейся в системе (сети) информации?
  • Сколько раз за последние 3 года посторонние лица пытались с использованием прав пользователей получить несанкционированный доступ к хранящейся в системе (сети) информации?
  • Какова общая тенденция в статистике подобных попыток?
  • Может ли раскрытие хранящейся в системе (сети) информации принести прямую финансовую выгоду посторонним лицам?
  • Может ли искажение хранящейся в системе (сети) информации принести прямую финансовую выгоду посторонним лицам?
  • Может ли сокрытие хранящейся в системе (сети) информации принести прямую финансовую выгоду посторонним лицам?
  • Сколько раз за последние 3 года посторонние лица пытались получить несанкционированный доступ к хранящейся в системе (сети) информации иными способами (не пользуясь «маскарадом»)?
  • Сколько раз за последние 3 года посторонние лица пытались получить несанкционированный доступ к информации, хранящейся в других подобных системах в вашей организации?
  • Где территориально располагается система?

Угроза: Несанкционированный доступ к приложению

  • Может ли сокрытие информации принести прямую финансовую или иную выгоду сотрудникам?
  • Может ли уничтожение информации принести прямую финансовую или иную выгоду сотрудникам?
  • Может ли раскрытие информации принести прямую финансовую или иную выгоду сотрудникам?
  • Может ли искажение информации принести прямую финансовую или иную выгоду сотрудникам?
  • Осведомлен ли персонал о тех выгодах, которые можно получить, воспользовавшись приложением несанкционированным способом?
  • Может ли сокрытие какой-либо информации (финансовых счетов, документов политически важного характера) принести существенную выгоду посторонним лицам, заинтересованным организациям и т. п.?
  • Может ли уничтожение какой-либо информации (финансовых счетов, документов политически важного характера) принести существенную выгоду посторонним лицам, заинтересованным организациям и т. п.?
  • Может ли раскрытие какой-либо информации (финансовых счетов, документов политически важного характера) принести существенную выгоду посторонним лицам, заинтересованным организациям и т. п.?
  • Может ли искажение какой-либо информации (финансовых счетов, документов политически важного характера) принести существенную выгоду посторонним лицам, заинтересованным организациям и т. п.?
  • Осведомлены ли упомянутые выше посторонние лица и организации о тех выгодах, которые можно получить, воспользовавшись приложением несанкционированным способом?
  • Существуют ли другие, более простые, способы достичь желаемого результата, чем несанкционированное использование приложения?
  • Каков общий уровень моральных качеств персонала?
  • Каким проверкам подвергается персонал при приеме на работу?
  • Известны ли случаи нападения, угроз, шантажа, давления на персонал?
  • Является ли обычной практикой использование временно нанятых или работающих по контракту сотрудников для обеспечения нормальной работы информационной системы?
  • Подвергался ли кто-нибудь из сотрудников наказаниям или дисциплинарным взысканиям за нарушение нормативных актов, определяющих правила использования компьютеров?
  • Сколько случаев несанкционированного использования приложений отмечено за последние 3 года?
  • Какова тенденция в статистике попыток несанкционированного использования приложений?

Угроза: Внедрение вредоносного программного обеспечения

  • Пользуется ли персонал, обслуживающий информационную систему, свободно распространяемым (условно свободно распространяемым – «shareware») или нелегальным программным обеспечением, а также демонстрационными версиями программ; имеют ли сотрудники доступ и получают ли информацию с «досок объявлений» («bulletin boards») или приносят ее на дискетах из дома?
  • Получаете ли вы легальное программное обеспечение только от солидных фирм-распространителей?
  • Могут ли сервис-инженеры бесконтрольно устанавливать и запускать диагностические программы?
  • Используется ли в вашей организации недостаточно отработанное программное обеспечение (т.е. предварительные версии программ)?
  • Предусмотрен ли в вашей системе свободный обмен информацией с другими организациями?
  • Сколько происшествий, связанных с вредоносным программным обеспечением, произошло за последние 3 года?
  • Какова общая тенденция в статистике происшествий, связанных с внедрением вредоносного программного обеспечения в систему?

Угроза: Злоупотребление системными ресурсами

  • Может ли злоупотребление привлекательными ресурсами (игры, печать на цветных принтерах, доступ к BBS и т.п.) привести к их недоступности в течение 15 минут?
  • Может ли злоупотребление привлекательными ресурсами привести к их недоступности в течение 1 часа?
  • Может ли злоупотребление программным обеспечением для разработчиков, компиляторами и т.п. привести к его недоступности в течение 15 минут?
  • Может ли злоупотребление программным обеспечением для разработчиков, компиляторами и т.п. привести к его недоступности в течение 1 часа?
  • Каков общий уровень моральных качеств персонала?
  • Каким проверкам подвергается персонал при приеме на работу?
  • Является ли обычной практикой использование временно нанятых или работающих по контракту сотрудников, ответственных за использование ресурсов информационной системы?
  • Подвергался ли кто-нибудь из сотрудников наказаниям или дисциплинарным взысканиям за нарушение нормативных актов, определяющих правила использования компьютеров?
  • Сколько случаев злоупотребления системными ресурсами отмечено за последние 3 года?

Угроза: Использование телекоммуникаций для несанкционированного доступа сотрудниками организации

  • Может ли повторная посылка данных принести прямую финансовую или иную выгоду сотрудникам?
  • Может ли внеочередная передача данных принести прямую финансовую или иную выгоду сотрудникам?
  • Может ли уничтожение данных в процессе их передачи принести прямую финансовую или иную выгоду сотрудникам?
  • Может ли добавление лишних данных в процессе их передачи принести прямую финансовую или иную выгоду сотрудникам?
  • Может ли искажение данных в процессе их передачи принести прямую финансовую или иную выгоду сотрудникам?
  • Может ли недоставка по назначению передаваемых данных принести прямую финансовую или иную выгоду сотрудникам?
  • Может ли просмотр и запись данных в процессе их передачи принести прямую финансовую или иную выгоду сотрудникам?
  • Может ли знание идентификаторов отправителей и адресатов конкретных сетевых посылок использовано сотрудниками для получения прямых финансовых или иных выгод?
  • Может ли маскировка под легитимный хост принести прямую финансовую или иную выгоду сотрудникам?
  • Может ли частичный или полный отказ от передачи той или иной информации принести прямую финансовую или иную выгоду сотрудникам?
  • Может ли частичный или полный отказ от приема той или иной информации принести прямую финансовую или иную выгоду сотрудникам?
  • Осведомлены ли сотрудники о том, что искажение данных в процессе передачи может оказаться для них выгодным?
  • Существуют ли другие способы достижения тех же выгод и преимуществ, которые могут оказаться для сотрудников более привлекательными?
  • Сколько попыток или реальных случаев несанкционированного внедрения сотрудников в систему с использованием телекоммуникаций и доступа к критическим данным произошло за последние 3 года?
  • Сколько попыток или реальных случаев несанкционированного внедрения сотрудников в систему с использованием телекоммуникаций и доступа к прочим данным произошло за последние 3 года?
  • Какова общая тенденция в статистике происшествий, связанных с попытками сотрудников получить доступ к данным, передаваемым по коммуникационной сети?
  • Подвергался ли кто-нибудь из сотрудников наказаниям или дисциплинарным взысканиям за нарушение нормативных актов, определяющих правила использования компьютеров?
  • Был ли предоставлен привилегированный доступ к сети или сетевому оборудованию сотрудникам, предупрежденным о предстоящем увольнении или сокращении?
  • Были ли ранее зафиксированы попытки оказать давление на сотрудников?

Угроза: Использование телекоммуникаций для несанкционированного доступа поставщиком услуг

  • Может ли повторная посылка данных принести прямую финансовую или иную выгоду поставщику услуг?
  • Может ли внеочередная передача данных принести прямую финансовую или иную выгоду поставщику услуг?
  • Может ли уничтожение данных в процессе их передачи принести прямую финансовую или иную выгоду поставщику услуг?
  • Может ли добавление лишних данных в процессе их передачи принести прямую финансовую или иную выгоду поставщику услуг?
  • Может ли искажение данных в процессе их передачи принести прямую финансовую или иную выгоду поставщику услуг?
  • Может ли недоставка по назначению передаваемых данных принести прямую финансовую или иную выгоду поставщику услуг?
  • Может ли просмотр и запись данных в процессе их передачи принести прямую финансовую или иную выгоду поставщику услуг?
  • Может ли знание идентификаторов отправителей и адресатов конкретных сетевых посылок использовано поставщиком услуг для получения прямых финансовых или иных выгод?
  • Может ли маскировка под легитимный хост принести прямую финансовую или иную выгоду поставщику услуг?
  • Осведомлен ли поставщик услуг о том, что искажение данных в процессе передачи может оказаться для него выгодным?
  • Существуют ли другие способы достижения тех же выгод и преимуществ, которые могут оказаться для поставщика услуг более привлекательными?
  • Сколько попыток или реальных случаев несанкционированного внедрения поставщика услуг в систему с использованием телекоммуникаций и доступа к критическим данным произошло за последние 3 года?
  • Сколько попыток или реальных случаев несанкционированного внедрения поставщика услуг в систему с использованием телекоммуникаций и доступа к прочим данным произошло за последние 3 года?
  • Подвергался ли кто-нибудь из сотрудников фирмы-поставщика услуг наказаниям или дисциплинарным взысканиям за нарушение нормативных актов, определяющих правила использования компьютеров?
  • Был ли предоставлен привилегированный доступ к сети или сетевому оборудованию сотрудникам фирмы-поставщика услуг, предупрежденным о предстоящем увольнении или сокращении?
  • Были ли ранее зафиксированы попытки оказать давление на сотрудников фирмы-поставщика услуг?
  • Может ли частичный или полный отказ от передачи той или иной информации принести прямую финансовую или иную выгоду поставщику услуг?
  • Может ли частичный или полный отказ от приема той или иной информации принести прямую финансовую или иную выгоду поставщику услуг?
  • Какова общая тенденция в статистике происшествий, связанных с попытками поставщиков услуг получить доступ к данным, передаваемым по коммуникационной сети?

Угроза: Использование телекоммуникаций для несанкционированного доступа посторонними

  • Может ли повторная посылка данных принести прямую финансовую или иную выгоду посторонним лицам?
  • Может ли внеочередная передача данных принести прямую финансовую или иную выгоду посторонним лицам?
  • Может ли уничтожение данных в процессе их передачи принести прямую финансовую или иную выгоду посторонним лицам?
  • Может ли добавление лишних данных в процессе их передачи принести прямую финансовую или иную выгоду посторонним лицам?
  • Может ли искажение данных в процессе их передачи принести прямую финансовую или иную выгоду посторонним лицам?
  • Может ли недоставка по назначению передаваемых данных принести прямую финансовую или иную выгоду посторонним лицам?
  • Может ли просмотр и запись данных в процессе их передачи принести прямую финансовую или иную выгоду посторонним лицам?
  • Может ли знание идентификаторов отправителей и адресатов конкретных сетевых посылок использовано посторонними лицами для получения прямых финансовых или иных выгод?
  • Может ли маскировка под легитимный хост принести прямую финансовую или иную выгоду посторонним лицам?
  • Осведомлены ли посторонние лица о том, что искажение данных в процессе передачи может оказаться для них выгодным?
  • Существуют ли другие способы достижения тех же выгод и преимуществ, которые могут оказаться для посторонних лиц более привлекательными?
  • Сколько попыток или реальных случаев несанкционированного внедрения посторонних лиц в систему с использованием телекоммуникаций и доступа к критическим данным произошло за последние 3 года?
  • Сколько попыток или реальных случаев несанкционированного внедрения посторонних лиц в систему с использованием телекоммуникаций и доступа к прочим данным произошло за последние 3 года?
  • К какой из категорий относятся посторонние лица или организации, которые могут проявить интерес к передаваемым по сети данным?
  • Разрешен ли рядовым гражданам физический доступ к сетевым устройствам в обычном режиме работы сети?
  • Разрешено ли рядовым гражданам пользоваться сетью в ее обычном режиме работы?
  • Используется ли сеть совместно с другими организациями?
  • Можно ли получить передаваемую по сети информацию из других источников?
  • Какова общая тенденция в статистике происшествий, связанных с попытками посторонних лиц и организаций получить доступ к данным, передаваемым по коммуникационной сети?

Угроза: Ошибки при маршрутизации

  • Каков размер сети (количество узлов или адресов)?
  • Каково количество маршрутизирующих узлов (таблиц) в сети?
  • Каков общий уровень компетенции обслуживающего персонала в вопросах сетевых технологий?
  • Сколько случайных ошибок при маршрутизации, зарегистрированных за последние 3 года, имело отношение к критическим данным?
  • Сколько случайных ошибок при маршрутизации, зарегистрированных за последние 3 года, имело отношение к другим данным, передававшимся через те же сетевые службы?
  • Может ли сложность таблиц маршрутизации или частота внесения в них изменений вызвать беспокойство с точки зрения возрастания вероятности ошибок при маршрутизации данных?
  • Может ли сложность таблиц фильтрации или частота внесения в них изменений (в сами таблицы фильтрации или закрытые группы пользователей) вызвать беспокойство с точки зрения возрастания вероятности ошибок при маршрутизации данных?

Угроза: Неисправность основного компьютера, не включенного в сеть

  • Основной (не сетевой) компьютер выпущен от 1 до 6 лет назад?
  • Основной (не сетевой) компьютер – новой конструкции, а значит, еще не прошел всестороннюю проверку и не доказал свою надежность?
  • Основной (не сетевой) компьютер подвергался перед установкой специальной доработке?
  • Основной (не сетевой) компьютер используется нестандартным образом или выполняет задачи, для которых он не предназначен?
  • Нарушаются ли рекомендованные фирмой-изготовителем условия эксплуатации (температура, влажность, запыленность, параметры питающей электросети и т.п.)?
  • Основной (не сетевой) компьютер эксплуатируется на пределе своих возможностей?
  • Сколько случаев технической неисправности основного (не сетевого) компьютера зафиксировано за последние 3 года?
  • Какова общая тенденция в статистике отказов основного (не сетевого) компьютера?

Угроза: Неисправность сетевого сервера

  • Сетевой сервер выпущен от 1 до 6 лет назад?
  • Сетевой сервер – новой конструкции, а значит, еще не прошел всестороннюю проверку и не доказал свою надежность?
  • Сетевой сервер подвергался перед установкой специальной доработке?
  • Сетевой сервер используется нестандартным образом или выполняет задачи, для которых он не предназначен?
  • Нарушаются ли рекомендованные фирмой-изготовителем условия эксплуатации (температура, влажность, запыленность, параметры питающей электросети и т.п.)?
  • Сетевой сервер эксплуатируется на пределе своих возможностей?
  • Сколько случаев технической неисправности сетевого сервера зафиксировано за последние 3 года?
  • Какова общая тенденция в статистике отказов сетевого сервера?

Угроза: Неисправность накопительного устройства

  • Накопительное устройство выпущено от 1 до 6 лет назад?
  • Накопительное устройство – новой конструкции, а значит, еще не прошло всестороннюю проверку и не доказало свою надежность?
  • Накопительное устройство подвергалось перед установкой специальной доработке?
  • Накопительное устройство используется нестандартным образом или выполняет задачи, для которых оно не предназначено?
  • Нарушаются ли рекомендованные фирмой-изготовителем условия эксплуатации (температура, влажность, запыленность, параметры питающей электросети и т.п.)?
  • Накопительное устройство эксплуатируется на пределе своих возможностей?
  • Сколько случаев технической неисправности накопительного устройства зафиксировано за последние 3 года?
  • Какова общая тенденция в статистике отказов накопительного устройства?

Угроза: Неисправность печатающих устройств

  • Печатающее устройство выпущено от 1 до 6 лет назад?
  • Печатающее устройство – новой конструкции, а значит, еще не прошло всестороннюю проверку и не доказало свою надежность?
  • Печатающее устройство подвергалось перед установкой специальной доработке?
  • Печатающее устройство используется нестандартным образом или выполняет задачи, для которых оно не предназначено?
  • Нарушаются ли рекомендованные фирмой-изготовителем условия эксплуатации (температура, влажность, запыленность, параметры питающей электросети и т.п.)?
  • Печатающее устройство эксплуатируется на пределе своих возможностей?
  • Сколько случаев технической неисправности печатающего устройства зафиксировано за последние 3 года?
  • Какова общая тенденция в статистике отказов печатающего устройства?

Угроза: Неисправность сетевых распределяющих компонентов

  • Сетевой распределяющий компонент выпущен от 1 до 6 лет назад?
  • Сетевой распределяющий компонент новой конструкции, а, значит, еще не прошел всестороннюю проверку и не доказал свою надежность?
  • Сетевой распределяющий компонент подвергался перед установкой специальной доработке?
  • Сетевой распределяющий компонент используется нестандартным образом или выполняет задачи, для которых он не предназначен?
  • Нарушаются ли рекомендованные фирмой-изготовителем условия эксплуатации (температура, влажность, запыленность, параметры питающей электросети и т.п.)?
  • Сетевой распределяющий компонент эксплуатируется на пределе своих возможностей?
  • Сколько случаев технической неисправности сетевого распределяющего компонента зафиксировано за последние 3 года?
  • Какова общая тенденция в статистике отказов сетевого распределяющего компонента?

Угроза: Неисправность сетевых шлюзов

  • Сетевой шлюз выпущен от 1 до 6 лет назад?
  • Сетевой шлюз – новой конструкции, а значит, еще не прошел всестороннюю проверку и не доказал свою надежность?
  • Сетевой шлюз подвергался перед установкой специальной доработке?
  • Сетевой шлюз используется нестандартным образом или выполняет задачи, для которых он не предназначен?
  • Нарушаются ли рекомендованные фирмой-изготовителем условия эксплуатации (температура, влажность, запыленность, параметры питающей электросети и т.п.)?
  • Сетевой шлюз эксплуатируется на пределе своих возможностей?
  • Сколько случаев технической неисправности сетевого шлюза зафиксировано за последние 3 года?
  • Какова общая тенденция в статистике отказов сетевого шлюза?

Угроза: Неисправность средств сетевого управления или управляющих серверов

  • Средство сетевого управления или управляющий сервер выпущен от 1 до 6 лет назад?
  • Средство сетевого управления или управляющий сервер – новой конструкции, а значит, еще не прошел всестороннюю проверку и не доказал свою надежность?
  • Средство сетевого управления или управляющий сервер подвергался перед установкой специальной доработке?
  • Средство сетевого управления или управляющий сервер используется нестандартным образом или выполняет задачи, для которых он не предназначен?
  • Нарушаются ли рекомендованные фирмой-изготовителем условия эксплуатации (температура, влажность, запыленность, параметры питающей электросети и т.п.)?
  • Средство сетевого управления или управляющий сервер эксплуатируется на пределе своих возможностей?
  • Сколько случаев технической неисправности средства сетевого управления или управляющего сервера зафиксировано за последние 3 года?
  • Какова общая тенденция в статистике отказов средства сетевого управления или управляющего сервера?

Угроза: Неисправность сетевых интерфейсов

  • Часто ли перекоммутируются кабели, распределительные и нагрузочные устройства, имеющие непосредственное отношение к передаче данных?
  • Располагаются ли кабели, распределительные и нагрузочные устройства в зонах с повышенным уровнем электромагнитных помех?
  • Располагаются ли кабели, распределительные и нагрузочные устройства в зонах с повышенным риском случайного повреждения, например в результате ремонта?
  • Сколько раз за последние 3 года работа системы прерывалась более чем на час из-за неполадок в сетевых интерфейсах?

Угроза: Неисправность сетевых сервисов

  • Предусмотрен ли сетевой сервис в соответствии с общепринятыми уровнями?
  • Сколько раз за последние 3 года работа системы прерывалась более чем на час из-за неисправности сетевого сервиса?
  • Какова общая тенденция в статистике неисправностей сетевого сервиса?

Угроза: Неисправность электропитания

  • Сколько раз за последние 3 года штатные источники электропитания отключались более чем на 3 часа?
  • Сколько раз за последние 3 года штатные источники электропитания отключались более чем на 1 час, но менее чем на 3 часа?
  • Сколько раз за последние 3 года штатные источники электропитания отключались более чем на 15 минут, но менее чем на 1 час?
  • Какова общая тенденция в статистике отказов источников электропитания?
  • Располагается ли система или ее отдельные компоненты в непосредственной близости от зон с повышенным риском аварий питающей электросети?

Угроза: Неисправность кондиционеров

  • Система установлена в стране, где температура воздуха регулярно повышается до 40 °C и более?
  • Кондиционеры выпущены от 1 до 6 лет назад?
  • Кондиционеры – новой конструкции, а значит, еще не прошли всестороннюю проверку и не доказали свою надежность?
  • Кондиционеры подвергались перед установкой специальной доработке?
  • Кондиционеры эксплуатируются на пределе своих возможностей?
  • Сколько раз за последние 3 года кондиционеры выходили из строя?
  • Какова общая тенденция в статистике отказов кондиционеров?

Угроза: Сбои системного и сетевого ПО

  • Сколько раз за последние 3 года работа прерывалась более чем на 12 часов из-за сбоев системного или сетевого ПО?
  • Сколько раз за последние 3 года работа прерывалась более чем на 3 часа, но менее чем на 12 часов из-за сбоев системного или сетевого ПО?
  • Сколько раз за последние 3 года работа прерывалась более чем на 1 час, но менее чем на 3 часа из-за сбоев системного или сетевого ПО?
  • Сколько раз за последние 3 года работа прерывалась более чем на 15 минут, но менее чем на 1 час из-за сбоев системного или сетевого ПО?
  • Сколько раз за последние 3 года из-за сбоев системного или сетевого ПО происходила утечка информации?
  • Сколько раз за последние 3 года из-за сбоев системного или сетевого ПО происходило незначительное несанкционированное искажение информации?
  • Сколько раз за последние 3 года из-за сбоев системного или сетевого ПО происходило обширное несанкционированное искажение информации?
  • Как выглядит «послужной список» фирмы-разработчика вашего системного и сетевого ПО?
  • Системное и сетевое ПО разработано недавно или построено на новых принципах, а значит, еще не прошло всестороннюю проверку и не доказало свою надежность?
  • Системное и сетевое ПО подвергалось перед установкой специальной доработке?
  • Какова общая тенденция в статистике сбоев системного и сетевого ПО?

Угроза: Сбои прикладного ПО

  • Сколько раз за последние 3 года работа прерывалась более чем на 12 часов из-за сбоев прикладного ПО?
  • Сколько раз за последние 3 года работа прерывалась более чем на 3 часа, но менее чем на 12 часов из-за сбоев прикладного ПО?
  • Сколько раз за последние 3 года работа прерывалась более чем на 1 час, но менее чем на 3 часа из-за сбоев прикладного ПО?
  • Сколько раз за последние 3 года работа прерывалась более чем на 15 минут, но менее чем на 1 час из-за сбоев прикладного ПО?
  • Сколько раз за последние 3 года работа прерывалась менее чем на 15 минут из-за сбоев прикладного ПО?
  • Сколько раз за последние 3 года из-за сбоев прикладного ПО информация становилась доступной лицам, не обладающим соответствующими правами, или обслуживающему персоналу?
  • Сколько раз за последние 3 года из-за сбоев прикладного ПО происходило незначительное несанкционированное искажение информации?
  • Сколько раз за последние 3 года из-за сбоев прикладного ПО происходило обширное несанкционированное искажение информации?
  • Не перегружены ли программисты работой настолько, что это может повысить риск возникновения ошибки?
  • На каком языке пишутся программы?
  • Каков профессиональный опыт прикладных программистов, разрабатывающих ПО данного конкретного типа?
  • Какова общая тенденция в статистике сбоев прикладного ПО?

Угроза: Ошибки операторов

  • Сколько раз за последние 3 года ошибки операторов приводили к потере работоспособности системы?
  • Сколько раз за последние 3 года ошибки операторов приводили к утечке информации?
  • Сколько раз за последние 3 года ошибки операторов приводили к искажениям данных?
  • Сколько операторов обслуживают основную систему?
  • Не перегружены ли операторы работой настолько, что это может повысить риск возникновения ошибки?
  • Каков профессиональный опыт операторов (в среднем)?
  • Какова общая тенденция в статистике операторских ошибок?

Угроза: Ошибки при профилактических работах с оборудованием

  • Сколько раз за последние 3 года ошибки при профилактических работах с оборудованием приводили к потере работоспособности системы?
  • Сколько раз за последние 3 года ошибки при профилактических работах с оборудованием приводили к утечке информации?
  • Существовали ли ранее претензии к качеству выполнения профилактических работ с оборудованием?
  • Сколько человек занимаются профилактикой оборудования?
  • Не перегружены ли сотрудники, выполняющие профилактические работы с оборудованием, настолько, что это может повысить риск возникновения ошибки?
  • Каков профессиональный опыт сотрудников, выполняющих профилактические работы с оборудованием (в среднем)?

Угроза: Ошибки при профилактических работах с ПО

  • Сколько раз за последние 3 года персонал, выполняющий профилактические работы с ПО, допускал ошибки, приводившие к потере работоспособности системы?
  • Сколько раз за последние 3 года персонал, выполняющий профилактические работы с ПО, допускал ошибки, приводившие к утечке информации?
  • Сколько раз за последние 3 года персонал, выполняющий профилактические работы с ПО, допускал ошибки, приводившие к искажению данных?
  • Сколько человек занимаются профилактикой ПО на основной системе?
  • Не перегружены ли сотрудники, выполняющие профилактические работы с ПО, настолько, что это может повысить риск возникновения ошибки?
  • Каков профессиональный опыт сотрудников, выполняющих профилактические работы с ПО (в среднем)?

Угроза: Ошибки пользователей

  • Сколько раз за последние 3 года ошибки пользователей приводили к потере работоспособности системы?
  • Сколько раз за последние 3 года ошибки пользователей приводили к утечке информации?
  • Сколько раз за последние 3 года ошибки пользователей приводили к незначительным искажениям данных?
  • Сколько пользователей работает с приложением?
  • Не перегружены ли пользователи настолько, что это может повысить риск возникновения ошибки?
  • Каков опыт пользователей в их сфере деятельности (в среднем)?
  • Каков опыт пользователей в работе с конкретным приложением (в среднем)?
  • Какую долю операций, выполняемых при работе с конкретным приложением, можно отнести к категории элементарных (например, обычные операции копирования)?
  • Какую долю операций, выполняемых при работе с конкретным приложением, можно отнести к категории действий средней сложности (например, операции, требующие проведения вычислений или ввода данных, за которыми нужно обращаться к справочникам)?
  • Какую долю операций, выполняемых при работе с конкретным приложением, можно отнести к категории сложных (например, требующих создания новых документов)?
  • Какова общая тенденция в статистике ошибок пользователей?

Угроза: Пожар

  • Сколько пожаров или возгораний любой степени тяжести произошло за последние 3 года?
  • Располагаются ли поблизости от системы устройства, относящиеся к категории пожароопасных (например, электроплитки)?
  • Разрешено ли курить в непосредственной близости от ответственных компонентов оборудования информационной системы?
  • Располагаются ли поблизости от системы экспериментальные или нестандартные устройства, представляющие опасность с точки зрения возможного возгорания в результате короткого замыкания (например, оборудование, находящееся на стадии разработки, силовые коммутационные устройства, старая электропроводка и т.п.)?
  • Представляют ли опасность с точки зрения распространения пожара соседние здания или помещения в том же здании, но занимаемые другими организациями (например, не хранятся ли в них запасы бумаги для принтеров, не расположены ли рядом бензозаправочные станции и т.п.)?
  • Установлены ли поблизости баки с горючим, не оборудованные в соответствии с правилами пожарной безопасности?
  • Достаточно ли в помещении (здании) точек подключения к силовой электросети всех устройств, необходимых для нормальной работы (в первую очередь оцените, не перегружены ли электрические розетки)?
  • Какова общая тенденция в статистике пожаров?

Угроза: Затопление

  • Сколько случаев затопления произошло за последние 3 года?
  • Какова общая тенденция в статистике затоплений?
  • Проходят ли трубы, по которым протекает вода, через или над помещением, где располагаются ответственные компоненты информационной системы (речь идет о трубах центрального отопления, водопроводных или относящихся к общей системе кондиционирования здания)?
  • Располагаются ли поблизости резервуары, вода из которых в случае утечки может нанести ущерб ответственным компонентам информационной системы?
  • Возможны ли иные аварийные ситуации в здании, при которых будут затоплены ответственные компоненты информационной системы (например, протечка плоской крыши при ливне, неисправность пожарного гидранта и т.п.)
  • Может ли наводнение в результате выхода из берегов близлежащей реки или водохранилища нанести ущерб ответственным компонентам информационной системы?

Угроза: Природные катаклизмы

  • Может ли здание пострадать в результате воздействия природных катаклизмов?
  • Сколько случаев нарушения работы вычислительного комплекса в результате природных катаклизмов было зафиксировано за последние 3 года?
  • Какова общая тенденция в статистике природных катаклизмов?

Угроза: Нехватка персонала

  • Сколько раз за последние 3 года нарушалась работа информационной системы по причинам, не связанным с забастовками (речь идет о болезнях сотрудников, проблемах с транспортом, эвакуации персонала и т.п.)?
  • Сколько раз за последние 3 года нарушалась работа информационной системы по причинам, связанным с забастовками?
  • Каков общий уровень моральных качеств персонала?
  • Какова общая тенденция в статистике нарушений работы информационной системы по причинам, связанным с нехваткой персонала?

Угроза: Кражи со стороны сотрудников

  • Сколько случаев краж со стороны сотрудников зафиксировано за последние 3 года?
  • Что крали (если есть несколько вариантов ответов, выберите один из них с максимальным количеством баллов)?
  • Кем кражи производились?
  • Понимают ли сотрудники, какую выгоду они могут получить в результате кражи оборудования?
  • Подвергался ли кто-нибудь из сотрудников наказаниям или дисциплинарным взысканиям за нарушение законодательных актов, связанных с защитой данных, авторских прав и т.п.?
  • Были ли ранее зафиксированы попытки оказать давление на кого-либо из сотрудников?
  • Каков общий уровень моральных качеств персонала?
  • Понимают ли сотрудники, какую выгоду они могут получить в результате кражи информации?

Угроза: Кражи со стороны посторонних

  • Сколько случаев краж со стороны посторонних зафиксировано за последние 3 года?
  • Что крали (если есть несколько вариантов ответов, выберите один из них с максимальным количеством баллов)?
  • кражи производились:
  • Понимают ли посторонние лица, какую выгоду они могут получить в результате кражи оборудования?
  • Сколько посетителей входит в здание за день (в среднем)?
  • Понимают ли посторонние лица, какую выгоду они могут получить в результате кражи информации?

Угроза: Преднамеренное вредительство со стороны сотрудников

  • Сколько человек имеют доступ в помещение или зону размещения системы?
  • Существуют ли группы сотрудников или отдельные личности, моральные качества которых невысоки?
  • Сколько случаев преднамеренного вредительства со стороны сотрудников зафиксировано за последние 3 года?
  • Какова общая тенденция в статистике случаев преднамеренного вредительства со стороны сотрудников?
  • Может ли сотрудник получить финансовую выгоду в результате преднамеренного вредительства?
  • Сколько человек имеют доступ в здание?

Угроза: Преднамеренное вредительство со стороны посторонних

  • Располагается ли система на территории, где часто совершаются акты вандализма?
  • Сколько раз за последние 3 года посторонними лицами наносился ущерб зданию?
  • Какова общая тенденция в статистике случаев преднамеренного вредительства со стороны посторонних?
  • Какая из нижеперечисленных групп может быть заинтересована в причинении физического ущерба зданию?

Угроза: Терроризм

  • Осведомлены ли экстремистские и террористические группировки о тех выгодах, которые они могут получить в результате нападения на организацию? Расположено ли здание во враждебном окружении или рядом с потенциальной мишенью террористов?
  • Имеются ли данные о том, что определенные группировки совершали нападения?
  • Какова ощутимая тенденция в статистике нападений определенных группировок?
  • Получала ли организация заслуживающие доверия предупреждения о возможных нападениях со стороны экстремистских или террористических группировок? Не пытались ли подобные группировки вступить в контакт с кем-либо из сотрудников?
  • Имеют ли определенные группировки возможность совершить нападение?
  • Располагают ли определенные группировки необходимыми для нападения ресурсами?

Приложение 6. Перечень типовых уязвимостей информационной безопасности

image_pdfimage_print

Следующие перечни содержат примеры уязвимостей в различных областях безопасности, включая примеры угроз, которые могут использовать эти уязвимости. Эти перечни могут пригодиться при оценке уязвимостей.

Безопасность кадровых ресурсов (ISO/IEC 27002:2005, раздел 8)

УязвимостьУгроза, использующая уязвимость
Недостаточное обучение безопасностиОшибка персонала технической поддержки
Неосведомленность в вопросах безопасностиОшибки пользователей
Отсутствие механизмов мониторингаНесанкционированное использование программного обеспечения
Отсутствие политик в области корректного использования средств телекоммуникаций и передачи сообщенийНесанкционированное использование сетевого оборудования
Не отменяются права доступа при увольненииНесанкционированный доступ
Не существует процедуры, гарантирующей возврат ресурсов при увольненииКража
Немотивированный или недовольный персоналЗлоупотребление средствами обработки информации
Безнадзорная работа внешнего персонала или персонала, работающего в нерабочее времяКража

Физическая безопасность и безопасность окружающей среды (ISO/IEC 27002:2005, раздел 9)

УязвимостьУгроза, использующая уязвимость
Неадекватное или небрежное использование механизмов физического контроля доступа в здание, комнаты и офисыУмышленное причинение вреда
Отсутствие физической защиты здания, дверей и оконКража
Размещение в зоне, подверженной затоплениюЗатопление
Незащищенное хранениеКража
Недостаточное сопровождение/неудачная установка средств хранения информацииОшибка в процессе сопровождения
Отсутствие схемы периодической замены оборудованияИзнос средств хранения информации
Подверженность оборудования влажности, пыли и загрязнениюЗапыление
Подверженность оборудования перепадам температурНарушение температурного режима
Подверженность оборудования колебаниям напряженияФлуктуация электропитания
Нестабильное электропитаниеФлуктуация электропитания

Управление коммуникациями и операциями (ISO/IEC 27002:2005, раздел 10)

УязвимостьУгроза, использующая уязвимость
Сложный пользовательский интерфейсОшибка персонала
Передача или повторное использование средств хранения информации без надлежащей очисткиНесанкционированный доступ к информации
Неадекватный контроль измененийСбой системы безопасности
Неадекватное управление сетьюПерегрузка трафика
Отсутствие процедур резервного копированияПотеря информации
Отсутствие доказательств отправки или получения сообщенияУход от ответственности
Отсутствие обновления программного обеспечения, используемого для защиты от вредоносного кодаВирусная инфекция
Нет разделения обязанностейЗлоупотребление системой (случайное или преднамеренное)
Нет разделения тестового и рабочего оборудованияНесанкционированная модификация действующих систем
Неконтролируемое копированиеКража
Незащищенные соединения с сетями общего пользованияИспользование программного обеспечения неавторизованными пользователями

Контроль доступа (ISO/IEC 27002:2005, раздел 11)

УязвимостьУгроза, использующая уязвимость
Неправильное разграничение доступа в сетяхНесанкционированные подключения к сетям
Отсутствие политик чистых столов и чистых экрановПотеря или повреждение информации
Отсутствие механизмов идентификации и аутентификации, таких как аутентификация пользователейПрисвоение чужого пользовательского идентификатора
Отсутствие защиты мобильного компьютерного оборудованияНесанкционированный доступ к информации
Отсутствующая или некорректная политика контроля доступаНесанкционированный доступ к информации, системам или программному обеспечению
Отсутствие «выхода из системы», когда покидается рабочая станцияИспользование программного обеспечения неавторизованными пользователями
Отсутствие или проведение в недостаточном объеме тестирования программного обеспеченияИспользование программного обеспечения неавторизованными пользователями
Отсутствие контроля и анализа прав доступа пользователейДоступ со стороны пользователей, покинувших организацию или сменивших место работы
Плохое управление паролями (легко угадываемые пароли, хранение паролей, недостаточно частая смена)Присвоение чужого пользовательского идентификатора
Отсутствие отключения и изменения стандартных предустановленных учетных записей и паролейНесанкционированный доступ к информации, системам и программному обеспечению
Неконтролируемое использование системных утилитОбход механизмов контроля системы или приложения

Приобретение, разработка и сопровождение информационных систем (ISO/IEC 27002:2005, раздел 12)

УязвимостьУгроза, использующая уязвимость
Недостаточная защита криптографических ключейРаскрытие информации
Несовершенная политика в области использования криптографииНарушение законодательства или нормативной базы
Отсутствие контроля входных или выходных данныхошибка
Отсутствие проверки обрабатываемых данныхИскажение информации
Невыполнение или выполнение в недостаточном объеме тестирования программного обеспеченияИспользование программного обеспечения неавторизованными пользователями
Плохо документированное программное обеспечениеОшибка персонала технической поддержки
Непонятные или неполные спецификации для разработчиковСбой программного обеспечения
Неконтролируемая загрузка и использование программного обеспеченияВредоносное программное обеспечение
Неконтролируемое использование условно бесплатного или бесплатного программного обеспечения в корпоративных приложенияхЮридическая ответственность
Хорошо известные дефекты в программном обеспеченииИспользование программного обеспечения неавторизованными пользователями
Неправильный выбор тестовых данныхНесанкционированный доступ к персональным данным