Уязвимости представляют собой слабости защиты, ассоциированные с активами организации. Эти слабости могут использоваться одной или несколькими угрозами, являющимися причиной нежелательных инцидентов. Уязвимость сама по себе не наносит ущерба, это только условие или набор условий, позволяющих угрозе причинить ущерб активам.
Другими словами, уязвимости – это любые факторы, делающие возможной успешную реализацию угроз. Поэтому для оценки уязвимостей необходимо идентифицировать существующие механизмы безопасности и оценить их эффективность.
Идентификация уязвимостей должна определять связанные с активами слабости в следующих областях:
- физическом окружении;
- персонале, процедурах управления, администрирования и механизмах контроля;
- деловых операциях и предоставлении сервисов;
- технических средствах, программном обеспечении, телекоммуникационном оборудовании и поддерживающей инфраструктуре.
Примеры уязвимостей приведены в Приложении № 6.
Угрозы и уязвимости должны объединиться для того, чтобы стать причиной инцидентов, которые могут причинить ущерб активам. Поэтому необходимо четко определять взаимосвязь между угрозами и уязвимостями.
Мы делим все существующие уязвимости на две большие группы: организационные и технические. Далее мы рассмотрим, каким образом может осуществляться идентификация и анализ этих уязвимостей.
