Приложение 6. Перечень типовых уязвимостей информационной безопасности
Следующие перечни содержат примеры уязвимостей в различных областях безопасности, включая примеры угроз, которые могут использовать эти уязвимости. Эти перечни могут пригодиться при оценке уязвимостей.
Безопасность кадровых ресурсов (ISO/IEC 27002:2005, раздел 8)
| Уязвимость | Угроза, использующая уязвимость |
| Недостаточное обучение безопасности | Ошибка персонала технической поддержки |
| Неосведомленность в вопросах безопасности | Ошибки пользователей |
| Отсутствие механизмов мониторинга | Несанкционированное использование программного обеспечения |
| Отсутствие политик в области корректного использования средств телекоммуникаций и передачи сообщений | Несанкционированное использование сетевого оборудования |
| Не отменяются права доступа при увольнении | Несанкционированный доступ |
| Не существует процедуры, гарантирующей возврат ресурсов при увольнении | Кража |
| Немотивированный или недовольный персонал | Злоупотребление средствами обработки информации |
| Безнадзорная работа внешнего персонала или персонала, работающего в нерабочее время | Кража |
Физическая безопасность и безопасность окружающей среды (ISO/IEC 27002:2005, раздел 9)
| Уязвимость | Угроза, использующая уязвимость |
| Неадекватное или небрежное использование механизмов физического контроля доступа в здание, комнаты и офисы | Умышленное причинение вреда |
| Отсутствие физической защиты здания, дверей и окон | Кража |
| Размещение в зоне, подверженной затоплению | Затопление |
| Незащищенное хранение | Кража |
| Недостаточное сопровождение/неудачная установка средств хранения информации | Ошибка в процессе сопровождения |
| Отсутствие схемы периодической замены оборудования | Износ средств хранения информации |
| Подверженность оборудования влажности, пыли и загрязнению | Запыление |
| Подверженность оборудования перепадам температур | Нарушение температурного режима |
| Подверженность оборудования колебаниям напряжения | Флуктуация электропитания |
| Нестабильное электропитание | Флуктуация электропитания |
Управление коммуникациями и операциями (ISO/IEC 27002:2005, раздел 10)
| Уязвимость | Угроза, использующая уязвимость |
| Сложный пользовательский интерфейс | Ошибка персонала |
| Передача или повторное использование средств хранения информации без надлежащей очистки | Несанкционированный доступ к информации |
| Неадекватный контроль изменений | Сбой системы безопасности |
| Неадекватное управление сетью | Перегрузка трафика |
| Отсутствие процедур резервного копирования | Потеря информации |
| Отсутствие доказательств отправки или получения сообщения | Уход от ответственности |
| Отсутствие обновления программного обеспечения, используемого для защиты от вредоносного кода | Вирусная инфекция |
| Нет разделения обязанностей | Злоупотребление системой (случайное или преднамеренное) |
| Нет разделения тестового и рабочего оборудования | Несанкционированная модификация действующих систем |
| Неконтролируемое копирование | Кража |
| Незащищенные соединения с сетями общего пользования | Использование программного обеспечения неавторизованными пользователями |
Контроль доступа (ISO/IEC 27002:2005, раздел 11)
| Уязвимость | Угроза, использующая уязвимость |
| Неправильное разграничение доступа в сетях | Несанкционированные подключения к сетям |
| Отсутствие политик чистых столов и чистых экранов | Потеря или повреждение информации |
| Отсутствие механизмов идентификации и аутентификации, таких как аутентификация пользователей | Присвоение чужого пользовательского идентификатора |
| Отсутствие защиты мобильного компьютерного оборудования | Несанкционированный доступ к информации |
| Отсутствующая или некорректная политика контроля доступа | Несанкционированный доступ к информации, системам или программному обеспечению |
| Отсутствие «выхода из системы», когда покидается рабочая станция | Использование программного обеспечения неавторизованными пользователями |
| Отсутствие или проведение в недостаточном объеме тестирования программного обеспечения | Использование программного обеспечения неавторизованными пользователями |
| Отсутствие контроля и анализа прав доступа пользователей | Доступ со стороны пользователей, покинувших организацию или сменивших место работы |
| Плохое управление паролями (легко угадываемые пароли, хранение паролей, недостаточно частая смена) | Присвоение чужого пользовательского идентификатора |
| Отсутствие отключения и изменения стандартных предустановленных учетных записей и паролей | Несанкционированный доступ к информации, системам и программному обеспечению |
| Неконтролируемое использование системных утилит | Обход механизмов контроля системы или приложения |
Приобретение, разработка и сопровождение информационных систем (ISO/IEC 27002:2005, раздел 12)
| Уязвимость | Угроза, использующая уязвимость |
| Недостаточная защита криптографических ключей | Раскрытие информации |
| Несовершенная политика в области использования криптографии | Нарушение законодательства или нормативной базы |
| Отсутствие контроля входных или выходных данных | ошибка |
| Отсутствие проверки обрабатываемых данных | Искажение информации |
| Невыполнение или выполнение в недостаточном объеме тестирования программного обеспечения | Использование программного обеспечения неавторизованными пользователями |
| Плохо документированное программное обеспечение | Ошибка персонала технической поддержки |
| Непонятные или неполные спецификации для разработчиков | Сбой программного обеспечения |
| Неконтролируемая загрузка и использование программного обеспечения | Вредоносное программное обеспечение |
| Неконтролируемое использование условно бесплатного или бесплатного программного обеспечения в корпоративных приложениях | Юридическая ответственность |
| Хорошо известные дефекты в программном обеспечении | Использование программного обеспечения неавторизованными пользователями |
| Неправильный выбор тестовых данных | Несанкционированный доступ к персональным данным |