ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности
Приложение D
(справочное)
Уязвимости и методы оценки уязвимости
D.1 Примеры уязвимостей
В приведенной таблице D.2 даны примеры уязвимостей в различных сферах безопасности, включая примеры угроз, которые могут использовать эти уязвимости. Эти перечни могут быть полезными во время оценки угроз и уязвимостей для определения сценария значимого инцидента. Следует подчеркнуть, что в некоторых случаях эти уязвимости могут использоваться и другими угрозами.
Таблица D.1 - Примеры уязвимостей и угроз
Вид | Примеры уязвимостей | Примеры угроз |
Аппаратные средства | Недостаточное техническое обслуживание/неправильная установка носителей данных | Нарушение ремонтопригодности информационных систем |
Отсутствие программ периодической замены | Ухудшение состояния носителей данных | |
Чувствительность к влажности, пыли, загрязнению | Образование пыли, коррозия, замерзание | |
Чувствительность к электромагнитному излучению | Электромагнитное излучение | |
Отсутствие эффективного контроля изменений конфигурации | Ошибка в использовании | |
Чувствительность к колебаниям напряжения | Потеря электропитания | |
Чувствительность к колебаниям температуры | Метеорологические явления | |
Незащищенное хранение | Хищение носителей данных или документов | |
Небрежное (безответственное) размещение | Хищение носителей данных или документов | |
Неконтролируемое копирование | Хищение носителей данных или документов | |
Программные средства | Отсутствующее или недостаточное тестирование программных средств | Злоупотребление правами |
Широко известные дефекты программных средств | Злоупотребление правами | |
Отсутствие "завершения сеанса" при уходе с рабочего места | Злоупотребление правами | |
Списание или повторное использование носителей данных без надлежащего удаления информации | Злоупотребление правами | |
Отсутствие "следов" аудита | Злоупотребление правами | |
Неверное распределение прав доступа | Злоупотребление правами | |
Широко распределенное программное обеспечение | Порча данных | |
Применение прикладных программ для несоответствующих, с точки зрения времени, данных | Порча данных | |
Сложный пользовательский интерфейс | Ошибка в использовании | |
Отсутствие документации | Ошибка в использовании | |
Неправильные параметры установки | Ошибка в использовании | |
Неправильные данные | Ошибка в использовании | |
Отсутствие механизмов идентификации и аутентификации, таких, как аутентификация пользователей | Фальсификация прав | |
Незащищенные таблицы паролей | Фальсификация прав | |
Плохой менеджмент паролей | Фальсификация прав | |
Активизация ненужных сервисов | Нелегальная обработка данных | |
Недоработанное или новое программное обеспечение | Сбой программных средств | |
Нечеткие или неполные спецификации для разработчиков | Сбой программных средств | |
Отсутствие эффективного контроля изменений | Сбой программных средств | |
Неконтролируемая загрузка и использование программных средств | Тайные действия с программными средствами | |
Отсутствие резервных копий | Тайные действия с программными средствами | |
Отсутствие физической защиты здания, дверей и окон | Хищение носителей данных или документов | |
Отказ в обеспечении отчетов по менеджменту | Неавторизованное использование оборудования | |
Сеть | Отсутствие подтверждения отправления или получения сообщения | Отказ в осуществлении действий |
Незащищенные линии связи | Перехват информации | |
Незащищенный чувствительный трафик | Перехват информации | |
Плохая разводка кабелей | Отказ телекоммуникационного оборудования | |
Единая точка отказа | Отказ телекоммуникационного оборудования | |
Отсутствие идентификации и аутентификации отправителя и получателя | Фальсификация прав | |
Ненадежная сетевая архитектура | Дистанционный шпионаж | |
Передача паролей в незашифрованном виде | Дистанционный шпионаж | |
Неадекватный сетевой менеджмент (устойчивость маршрутизации) | Насыщение информационной системы | |
Незащищенные соединения сети общего пользования | Неавторизованное использование оборудования | |
Персонал | Отсутствие персонала | Нарушение работоспособности персонала |
Неадекватные процедуры набора персонала | Разрушение оборудования или носителей данных | |
Недостаточное осознание безопасности | Ошибка в использовании | |
Ненадлежащее использование программных и аппаратных средств | Ошибка в использовании | |
Отсутствие осведомленности о безопасности | Ошибка в использовании | |
Отсутствие механизмов мониторинга | Нелегальная обработка данных | |
Безнадзорная работа внешнего персонала или персонала организации, занимающегося уборкой | Хищение носителей данных или документов | |
Отсутствие политик по правильному использованию телекоммуникационной среды и обмена сообщениями | Неавторизованное использование оборудования | |
Место функционирования организации | Неадекватное или небрежное использование физического управления доступом к зданиям и помещениям | Ухудшение состояния носителей данных |
Размещение в местности, предрасположенной к наводнениям | Затопление | |
Нестабильная электрическая сеть | Отсутствие электропитания | |
Отсутствие физической защиты здания, дверей и окон | Хищение аппаратуры | |
Организация | Отсутствие формальной процедуры для регистрации и снятия с регистрации пользователей | Злоупотребление правами |
Отсутствие формального процесса для пересмотра (надзора) прав доступа | Злоупотребление правами | |
Отсутствие или недостаточные условия (касающиеся безопасности) в договорах с клиентами и/или третьими сторонами | Злоупотребление правами | |
Отсутствие процедуры, касающейся мониторинга средств обработки информации | Злоупотребление правами | |
Отсутствие регулярных аудитов (надзора) | Злоупотребление правами | |
Отсутствие процедур идентификации и оценки риска | Злоупотребление правами | |
Отсутствие сообщений об ошибках, зафиксированных в журнале регистрации администратора и оператора | Злоупотребление правами | |
Неадекватная ответственность за техническое обслуживание | Нарушение обслуживания информационной системы | |
Отсутствующее или неудовлетворительное соглашение об уровне сервиса | Нарушение обслуживания информационной системы | |
Отсутствие процедуры контроля изменений | Нарушение обслуживания информационной системы | |
Отсутствие формальной процедуры контроля документации, касающейся системы менеджмента ИБ | Порча данных | |
Отсутствие формальной процедуры надзора за записями системы менеджмента ИБ | Порча данных | |
Отсутствие формального процесса санкционирования общедоступной информации | Данные из ненадежных источников | |
Отсутствие надлежащего распределения обязанностей по обеспечению информационной безопасности | Отказ в осуществлении деятельности | |
Отсутствие планов обеспечения непрерывности бизнеса | Отказ оборудования | |
Отсутствие политики по использованию электронной почты | Ошибка в использовании | |
Отсутствие процедур введения программного обеспечения в операционные системы | Ошибка в использовании | |
Отсутствие записей в журнале регистрации администратора и оператора | Ошибка в использовании | |
Отсутствие процедур для обработки секретной информации | Ошибка в использовании | |
Отсутствие обязанностей по обеспечению информационной безопасности в должностных инструкциях | Ошибка в использовании | |
Отсутствие или недостаточные условия (касающиеся информационной безопасности) в договорах со служащими | Нелегальная обработка данных | |
Отсутствие оговоренного дисциплинарного процесса в случае инцидента безопасности | Хищение оборудования | |
Отсутствие формальной политики по использованию портативных компьютеров | Хищение оборудования | |
Отсутствие контроля над активами, находящимися за пределами организации | Хищение оборудования | |
Отсутствующая или неудовлетворительная политика "чистого стола и пустого экрана" | Хищение носителей информации или документов | |
Отсутствие авторизации средств обработки информации | Хищение носителей информации или документов | |
Отсутствие установленных механизмов мониторинга нарушений безопасности | Хищение носителей информации или документов | |
Отсутствие регулярных проверок, проводимых руководством | Неавторизованное использование оборудования | |
Отсутствие процедур сообщения о слабых местах безопасности | Неавторизованное использование оборудования | |
Отсутствие процедур, обеспечивающих соблюдение прав на интеллектуальную собственность | Использование контрафактных или копированных программных средств |
D.2 Методы оценки технических уязвимостей
Профилактические методы, такие, как тестирование информационной системы, могут быть использованы для эффективного выявления уязвимостей в зависимости от критичности системы информационных и телекоммуникационных технологий (ИКТ) и доступных ресурсов (например, выделенных фондов, доступной технологии, лиц, имеющих опыт проведения тестирования). Методы тестирования включают:
- автоматизированные инструментальные средства поиска уязвимостей;
- тестирование и оценка безопасности;
- тестирование на проникновение;
- проверка кодов.
Автоматизированные инструментальные средства поиска уязвимостей используются для просмотра группы хостов или сети на предмет наличия известных уязвимых сервисов (например, система разрешает использование анонимного протокола передачи файлов, ретрансляцию отправленной почты). Следует, однако, отметить, что некоторые из потенциальных уязвимостей, идентифицированных автоматизированными инструментальными средствами поиска уязвимостей, могут не представлять реальных уязвимостей в контексте системной среды. Например, некоторые из этих средств поиска определяют потенциальные уязвимости, не учитывая среду и требования сайта. Некоторые из уязвимостей, отмеченных автоматизированными инструментальными средствами поиска уязвимостей, могут в действительности не быть уязвимостями для конкретного сайта, а быть сконфигурированными таким образом, как этого требует среда. Таким образом, этот метод тестирования может давать ошибочные результаты исследования.
Другим методом, который может использоваться для выявления уязвимостей системы ИКТ во время процесса оценки риска, является тестирование и оценка безопасности. Он включает в себя разработку и осуществление плана тестирования (например, сценарий тестирования, процедуры тестирования и ожидаемые результаты тестирования). Цель тестирования безопасности системы состоит в тестировании эффективности мер и средств контроля и управления безопасности системы ИКТ, которые были применены в операционной среде. Задача заключается в том, чтобы удостовериться, что применяющиеся меры и средства контроля и управления соответствуют утвержденной спецификации безопасности для программных и аппаратных средств, обеспечивают реализацию политики безопасности организации или соответствуют отраслевым стандартам.
Тестирование на проникновение может использоваться как дополнение к проверке мер и средств контроля и управления безопасности и обеспечение защиты различных аспектов системы ИКТ. Когда тестирование на проникновение используется в процессе оценки риска, оно может применяться для оценки способности системы ИКТ противостоять умышленным попыткам обойти защиту системы. Его задача состоит в тестировании системы ИКТ с точки зрения источника угрозы и выявлении потенциальных сбоев в структурах защиты системы ИКТ.
Проверка кодов является наиболее тщательным (но также и самым дорогостоящим) способом оценки уязвимостей.
Результаты этих видов тестирования безопасности помогут выявить уязвимости системы.
Важно отметить, что методы и средства тестирования на проникновение могут давать ложные результаты, если уязвимость не была успешно использована. Чтобы использовать конкретную уязвимость, нужно знать точную систему/приложение/исправления, установленные на тестируемой системе. Если во время тестирования эти данные неизвестны, успешное использование конкретной уязвимости может быть невозможным (например, достичь удаленного обратного соединения), однако по-прежнему возможно взломать или перезапустить тестируемый процесс или систему. В таком случае тестируемый объект тоже должен считаться уязвимым.
Методы могут включать следующие виды деятельности:
- опрос сотрудников и пользователей;
- анкетирование;
- физический осмотр;
- анализ документов.