Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение D
(справочное)
Примеры общих уязвимостей
В настоящем приложении приведены примеры уязвимых мест применительно к различным объектам, требующим обеспечения безопасности, а также примеры угроз, которые могут возникнуть на конкретных объектах. Данные примеры могут оказаться полезными при оценке уязвимых мест. Следует отметить, что в некоторых случаях упомянутым выше уязвимым местам могут угрожать другие угрозы.
1 Среда и инфраструктура
Отсутствие физической защиты зданий, дверей и окон (возможна, например, угроза кражи). Неправильное или халатное использование физических средств управления доступом в здания, помещения (возможна, например, угроза намеренного повреждения).
Нестабильная работа электросети (возможна, например, угроза колебаний напряжения). Размещение в зонах возможного затопления (возможна, например, угроза затопления).
2 Аппаратное обеспечение
Отсутствие схем периодической замены (возможна, например, угроза ухудшения состояния запоминающей среды).
Подверженность колебаниям напряжения (возможна, например, угроза возникновения колебаний напряжения).
Подверженность температурным колебаниям (возможна, например, угроза возникновения экстремальных значений температуры).
Подверженность воздействию влаги, пыли, загрязнения (возможна, например, угроза запыления).
Чувствительность к воздействию электромагнитного излучения (возможна, например, угроза воздействия электромагнитного излучения).
Недостаточное обслуживание/неправильная инсталляция запоминающих сред (возможна, например, угроза возникновения ошибки при обслуживании).
Отсутствие контроля за эффективным изменением конфигурации (возможна, например, угроза ошибки операторов).
3 Программное обеспечение
Неясные или неполные технические требования к разработке средств программного обеспечения (возможна, например, угроза программных сбоев).
Отсутствие тестирования или недостаточное тестирование программного обеспечения (возможна, например, угроза использования программного обеспечения несанкционированными пользователями).
Сложный пользовательский интерфейс (возможна, например, угроза ошибки операторов).
Отсутствие механизмов идентификации и аутентификации, например аутентификации пользователей (возможна, например, угроза нелегального проникновения злоумышленников под видом законных пользователей).
Отсутствие аудиторской проверки (возможна, например, угроза использования программного обеспечения несанкционированным способом).
Хорошо известные дефекты программного обеспечения (возможна, например, угроза использования программного обеспечения несанкционированными пользователями).
Незащищенные таблицы паролей (возможна, например, угроза нелегального проникновения злоумышленников под видом законных пользователей).
Плохое управление паролями (легко определяемые пароли, хранение в незашифрованном виде, недостаточно частая замена паролей).
Неправильное присвоение прав доступа (возможна, например, угроза использования программного обеспечения несанкционированным способом).
Неконтролируемая загрузка и использование программного обеспечения (возможна, например, угроза столкновения с вредоносным программным обеспечением).
Отсутствие регистрации конца сеанса при выходе с рабочей станции (возможна, например, угроза использования программного обеспечения несанкционированными пользователями).
Отсутствие эффективного контроля внесения изменений (возможна, например, угроза программных сбоев).
Отсутствие документации (возможна, например, угроза ошибки операторов).
Отсутствие резервных копий (возможна, например, угроза воздействия вредоносного программного обеспечения или пожара).
Списание или повторное использование запоминающих сред без надлежащего стирания записей (возможна, например, угроза использования программного обеспечения несанкционированными пользователями).
4 Коммуникации
Незащищенные линии связи (возможна, например, угроза перехвата информации).
Неудовлетворительная стыковка кабелей (возможна, например, угроза несанкционированного проникновения к средствам связи).
Отсутствие идентификации и аутентификации отправителя и получателя (возможна, например, угроза нелегального проникновения злоумышленников под видом законных пользователей).
Пересылка паролей открытым текстом (возможна, например, угроза доступа несанкционированных пользователей к сети).
Отсутствие подтверждений посылки или получения сообщения (возможна, например, угроза изменения смысла переданной информации).
Коммутируемые линии (возможна, например, угроза доступа несанкционированных пользователей к сети).
Незащищенные потоки конфиденциальной информации (возможна, например, угроза перехвата информации).
Неадекватное управление сетью (недостаточная гибкость маршрутизации) (возможна, например, угроза перегрузки трафика).
Незащищенные подключения к сетям общего пользования (возможна, например, угроза использования программного обеспечения несанкционированными пользователями).
5 Документы
Хранение в незащищенных местах (возможна, например, угроза хищения).
Недостаточная внимательность при уничтожении (возможна, например, угроза хищения).
Бесконтрольное копирование (возможна, например, угроза хищения).
6 Персонал
Отсутствие персонала (возможна, например, угроза недостаточного числа работников).
Отсутствие надзора за работой лиц, приглашенных со стороны, или за работой уборщиц (возможна, например, угроза хищения).
Недостаточная подготовка персонала по вопросам обеспечения безопасности (возможна, например, угроза ошибки операторов).
Отсутствие необходимых знаний по вопросам безопасности (возможна, например, угроза ошибок пользователей).
Неправильное использование программно-аппаратного обеспечения (возможна, например, угроза ошибки операторов).
Отсутствие механизмов отслеживания (возможна, например, угроза использования программного обеспечения несанкционированным способом).
Отсутствие политики правильного пользования телекоммуникационными системами для обмена сообщениями (возможна, например, угроза использования сетевых средств несанкционированным способом).
Несоответствующие процедуры набора кадров (возможна, например, угроза намеренного повреждения).
7 Общие уязвимые места
Отказ системы вследствие отказа одного из элементов (возможна, например, угроза сбоев в функционировании услуг связи).
Неадекватные результаты проведения технического обслуживания (возможна, например, угроза аппаратных отказов).
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.