Оценка уязвимостей активов - Анализ информационной безопасности предприятия

Оценка уязвимости может быть выполнена по отношению ко многим объектам, не только компьютерным системам/сетям. Например, физические здания могут быть подвергнуты оценке, по результатам которой будет понятно, какие части здания имеют изъяны. Если взломщик может обойти охранника у парадной двери и проникнуть внутрь здания через заднюю дверь - это, определенно, уязвимость. Если он на самом деле сделает это - это эксплойт. Физическая безопасность - один из наиболее важных аспектов, которым нужно придавать значение. Поскольку если сервер украден, атакующему не нужно обходить IDS (система обнаружения вторжений), не нужно обходить IPS (система предотвращения вторжений), не нужно думать над способом, с помощью которого можно передать 10 ТБ данных, - они уже здесь, на сервере. Полное шифрование диска может помочь, но обычно его не используют на серверах.

В качестве объектов защиты выступают следующие виды информационных ресурсов предприятия:

    - информация (данные, телефонные переговоры и факсы) передаваемая по каналам связи; - информация, хранимая в базах данных, на файловых серверах и рабочих станциях, на серверах каталогов, в почтовых ящиках пользователей корпоративной сети и т. п.; - конфигурационная информация и протоколы работы сетевых устройств, программных систем и комплексов.

В таблице 4 представлено сопоставление физических угроз и уязвимости активов.

Таблица Сопоставление физических угроз и уязвимостей автоматизированной системы ООО "Facilicom"

УГРОЗЫ АРМ

УЯЗВИМОСТИ АРМ

1). Физический доступ нарушителя к АРМ

1). Отсутствие системы контроля доступа сотрудников к чужим АРМ

2). Отсутствие системы видеонаблюдения в организации

3). Несогласованность в системе охраны периметра

2). Разглашение конфиденциальной информации, хранящейся на рабочем месте сотрудника организации

1). Отсутствия соглашения о неразглашении между работником и работодателем

2). Нечеткая регламентация ответственности сотрудников организации

2. УГРОЗЫ СЕРВЕРОВ

2. УЯЗВИМОСТИ СЕРВЕРОВ

1). Физический неавторизованный доступ нарушителя в серверную комнату

1). Неорганизованный контрольно-пропускной режим в организации

2). Отсутствие видеонаблюдения в серверной комнате

3). Отсутствие охранной сигнализации

2). Разглашение конфиденциальной информации

1). Отсутствие соглашения о нераспространении конфиденциальной информации

2). Нечеткая регламентация ответственности сотрудников организации

3. УГРОЗЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

3. УЯЗВИМОСТИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

1). Физический доступ нарушителя к носителям с конфиденциальной информации

1). Неорганизованность контрольно-пропускного пункта

2). Отсутствие системы видеонаблюдения в организации

3). Отсутствие системы охранной сигнализации

2). Разглашение конфиденциальной информации, в документах, вынос носителей за пределы контролируемой зоны

1). Отсутствие соглашения о неразглашении конфиденциальной информации

2). Нечеткое распределение ответственности за документы (носители конфиденциальной информации) между сотрудниками организации

3).Несанкционированное копирование, печать и размножение носителей конфиденциальной информации

1).Нечеткая организация конфиденциального документооборота в организации

2). Неконтролируемый доступ сотрудников к копировальной и множительной технике

4. Угрозы сетевых устройств и коммутационного оборудования

4. Уязвимости сетевых устройств и коммутационного оборудования

1). Физический доступ к сетевому устройству

1). Неорганизованный контрольно-пропускной режим в организации

2). Отсутствие системы видеонаблюдения в организации

3). Несогласованность в системе охраны периметра

4). Нечеткая регламентация ответственности сотрудников предприятия

2). Разрушение (повреждение, утрата) сетевых устройств и коммутационного оборудования

1). Отсутствие ограничения доступа к сетевым устройствам и коммутационному оборудованию, внутренней сети предприятия

2). Нечеткая регламентация ответственности сотрудников предприятия

В таблице 5 представлены результаты оценки уязвимости активов.

Таблица Результаты оценки уязвимости информационных активов ООО "Facilicom"

Группа уязвимостей

Содержание уязвимости

Отчеты о деятельность подразделений

Сервер с базой электронных писем

База данных бухгалтерии

Сервер БД с информацией о клиентах

1. Среда и инфраструктура

Отсутствие системы контроля доступа сотрудников к чужим АРМ.

Низкая

Средняя

Низкая

Средняя

Отсутствие системы видеонаблюдения в организации.

Средняя

Высокая

Средняя

Высокая

Несогласованность в системе охраны периметра.

Средняя

Средняя

Средняя

Средняя

Отсутствия соглашения о неразглашении между работником и работодателем.

Нечеткая регламентация ответственности сотрудников организации.

Высокая

Высокая

Высокая

Высокая

Средняя

Средняя

Высокая

Высокая

2. Аппаратное обеспечение

Неорганизованный контрольно-пропускной режим в организации.

Среднее

Высокая

Средняя

Высокая

Отсутствие видеонаблюдения в серверной комнате.

Низкая

Средняя

Низкая

Средняя

Отсутствие охранной сигнализации.

Низкая

Средняя

Низкая

Средняя

Отсутствие соглашения о нераспространении конфиденциальной информации.

Высокая

Среднее

Высокая

Среднее

Нечеткая регламентация ответственности сотрудников организации.

Средняя

Средняя

Средняя

Средняя

3. Программное обеспечение

Неорганизованность контрольно-пропускного пункта.

Отсутствие системы видеонаблюдения в организации.

Низкая

Низкая

Низкая

Низкая

Средняя

Низкая

Средняя

Низкая

Отсутствие системы охранной сигнализации.

Низкая

Низкая

Низкая

Низкая

Отсутствие соглашения о неразглашении конфиденциальной информации.

Низкая

Низкая

Низкая

Низкая

Нечеткое распределение ответственности за

Документы (носители конфиденциальной информации) между сотрудниками организации.

Средняя

Низкая

Средняя

Низкая

Нечеткая организация конфиденциального документооборота в организации.

Средняя

Низкая

Средняя

Низкая

Неконтролируемый доступ сотрудников к копировальной и множительной технике

Средняя

Низкая

Средняя

Низкая

4. Коммуникации

Неорганизованный контрольно-пропускной режим в организации.

Отсутствие системы видеонаблюдения в организации.

Высокая

Средняя

Высокая

Средняя

Средняя

Высокая

Средняя

Высокая

Несогласованность в системе охраны периметра.

Высокая

Средняя

Высокая

Средняя

Нечеткая регламентация ответственности сотрудников предприятия.

Средняя

Высокая

Средняя

Высокая

Отсутствие ограничения доступа к сетевым устройствам и коммутационному оборудованию, внутренней сети предприятия.

Средняя

Средняя

Средняя

Средняя

Похожие статьи




Оценка уязвимостей активов - Анализ информационной безопасности предприятия

Предыдущая | Следующая