САНКТ-ПЕТЕРБУРГСКОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ПРОФЕССИОНАЛЬНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ 4 страница
Наименование угрозы
| Возможные последствия
| Показатель
| Сумма
| Несанкционированные действия
| внутренние расходы
|
|
|
| материальный ущерб
|
|
| судебные дела и штрафы
|
|
| потеря технической репутации
|
|
| опасность для персонала/безопасность пользователей
|
|
| нарушение законов/норм
|
|
| нарушение внутреннего функционирования
|
| Компрометация функций
| внутренние расходы
|
|
| нарушение законов/норм
|
|
| нарушение договора
|
|
| увольнения
|
|
| судебные дела и штрафы
|
| Компрометация информации
| нарушение законов/норм
|
|
| финансовые потери
|
|
| потеря конкурентного преимущества
|
|
| потеря технологического/технического лидерства
|
| Ценность вспомогательного актива сотрудники техподдержки составляет 16
Таблица 83. - ценность вспомогательного актива: начальники отделов
Наименование угрозы
| Возможные последствия
| Показатель
| Сумма
| Несанкционированные действия
| внутренние расходы
|
|
|
| материальный ущерб
|
|
| судебные дела и штрафы
|
|
| потеря технической репутации
|
|
| опасность для персонала/безопасность пользователей
|
|
| нарушение законов/норм
|
|
| нарушение внутреннего функционирования
|
| Компрометация функций
| внутренние расходы
|
|
| нарушение законов/норм
|
|
| нарушение договора
|
|
| увольнения
|
|
| судебные дела и штрафы
|
| Компрометация информации
| нарушение законов/норм
|
|
| финансовые потери
|
|
| потеря конкурентного преимущества
|
|
| потеря технологического/технического лидерства
|
| Ценность вспомогательного актива начальники отделов составляет 16
2.5. Оценка рисков информационной безопасности путем ранжирования угроз посредством мер риска
Для всех активов ПАО «Виа Информация» была проведена оценка рисков информационной безопасности путем ранжирования угроз посредством мер риска.
Мера риска определялась по формуле (1).
После определения меры риска все угрозы были проранжированы от наиболее опасной к наименее опасной.
Данные расчетов приведены в Таблицах 84-109.
Таблица 84 – Оценка рисков для актива Разработка ПО
Наименование угрозы
| Вероятность возникновения угрозы
| Ценность актива
| Мера риска
| Ранжирование угроз
| Физический ущерб
|
|
|
|
| Компрометация информации
|
|
|
|
| Наиболее опасной угрозой является: Компрометация информации
Таблица 85 – Оценка рисков для актива Продажа ПО
Наименование угрозы
| Вероятность возникновения угрозы
| Ценность актива
| Мера риска
| Ранжирование угроз
| Компрометация информации
|
|
|
|
| Утрата важных сервисов
|
|
|
|
| Наиболее опасной угрозой является: Компрометация информации
Таблица 86 – Оценка рисков для актива Методики разработки программного обеспечения
Наименование угрозы
| Вероятность возникновения угрозы
| Ценность актива
| Мера риска
| Ранжирование угроз
| Физический ущерб
|
|
|
|
| Компрометация информации
|
|
|
|
| Наиболее опасной угрозой является: Компрометация информации
Таблица 87 – Оценка рисков для актива Персональные данные слушателей
Наименование угрозы
| Вероятность возникновения угрозы
| Ценность актива
| Мера риска
| Ранжирование угроз
| Природные явления
|
|
|
|
| Технические неисправности
|
|
|
|
| Наиболее опасной угрозой является: Природные явления
Таблица 88 – Оценка рисков для актива Информация о финансовом положении
Наименование угрозы
| Вероятность возникновения угрозы
| Ценность актива
| Мера риска
| Ранжирование угроз
| Компрометация информации
|
|
|
|
| Компрометация
функций
|
|
|
|
| Наиболее опасной угрозой является: Компрометация функций
Таблица 89 – Оценка рисков для актива Информация о заключенных контрактах
Наименование угрозы
| Вероятность возникновения угрозы
| Ценность актива
| Мера риска
| Ранжирование угроз
| Несанкционированные действия
|
|
|
|
| Компрометация функций
|
|
|
|
| Наиболее опасной угрозой является: Несанкционированные действия
Таблица 90 – Оценка рисков для актива Персональные данные сотрудников
Наименование угрозы
| Вероятность возникновения угрозы
| Ценность актива
| Мера риска
| Ранжирование угроз
| Технические неисправности
|
|
|
|
| Несанкционированные действия
|
|
|
|
| Наиболее опасной угрозой является: Несанкционированные действия
Таблица 91 – Оценка рисков для актива Компьютер (системный блок, мышь, клавиатура, монитор)
Наименование угрозы
| Вероятность возникновения угрозы
| Ценность актива
| Мера риска
| Ранжирование угроз
| Компрометация информации
|
|
|
|
| Компрометация функций
|
|
|
|
| Наиболее опасной угрозой является: Компрометация функций
Таблица 92 – Оценка рисков для актива Сервер
Наименование угрозы
| Вероятность возникновения угрозы
| Ценность актива
| Мера риска
| Ранжирование угроз
| Компрометация функций
|
|
|
|
| Несанкционированные действия
|
|
|
|
| Наиболее опасной угрозой является: Несанкционированные действия
Таблица 93 – Оценка рисков для актива Сетевое оборудование
Наименование угрозы
| Вероятность возникновения угрозы
| Ценность актива
| Мера риска
| Ранжирование угроз
| Компрометация информации
|
|
|
|
| Технические неисправности
|
|
|
|
| Наиболее опасной угрозой является: Технические неисправности
Таблица 94 – Оценка рисков для актива Источник бесперебойного питания
Наименование угрозы
| Вероятность возникновения угрозы
| Ценность актива
| Мера риска
| Ранжирование угроз
| Компрометация информации
|
|
|
|
| Физический ущерб
|
|
|
|
| Наиболее опасной угрозой является: Компрометация информации
Таблица 95 – Оценка рисков для актива Флеш накопитель
Наименование угрозы
| Вероятность возникновения угрозы
| Ценность актива
| Мера риска
| Ранжирование угроз
| Физический ущерб
|
|
|
|
| Технические неисправности
|
|
|
|
| Наиболее опасной угрозой является: Технические неисправности
Таблица 96 – Оценка рисков для актива Внешний жесткий диск
Наименование угрозы
| Вероятность возникновения угрозы
| Ценность актива
| Мера риска
| Ранжирование угроз
| Физический ущерб
|
|
|
|
| Технические неисправности
|
|
|
|
| Наиболее опасной угрозой является: Технические неисправности
Таблица 97 – Оценка рисков для актива Windows 10
Наименование угрозы
| Вероятность возникновения угрозы
| Ценность актива
| Мера риска
| Ранжирование угроз
| Физический ущерб
|
|
|
|
| Технические неисправности
|
|
|
|
| Наиболее опасной угрозой является: Технические неисправности
Таблица 98 – Оценка рисков для актива 7 Zip
Наименование угрозы
| Вероятность возникновения угрозы
| Ценность актива
| Мера риска
| Ранжирование угроз
| Физический ущерб
|
|
|
|
| Технические неисправности
|
|
|
|
| Наиболее опасной угрозой является: Технические неисправности
Таблица 99 – Оценка рисков для актива Dr. Web
Наименование угрозы
| Вероятность возникновения угрозы
| Ценность актива
| Мера риска
| Ранжирование угроз
| Физический ущерб
|
|
|
|
| Технические неисправности
|
|
|
|
| Наиболее опасной угрозой является: Технические неисправности
Таблица 100 – Оценка рисков для актива Google Chrome browser
Наименование угрозы
| Вероятность возникновения угрозы
| Ценность актива
| Мера риска
| Ранжирование угроз
| Физический ущерб
|
|
|
|
| Технические неисправности
|
|
|
|
| Наиболее опасной угрозой является: Технические неисправности
Таблица 101 – Оценка рисков для актива Пакет программ Microsoft Office
Наименование угрозы
| Вероятность возникновения угрозы
| Ценность актива
| Мера риска
| Ранжирование угроз
| Физический ущерб
|
|
|
|
| Технические неисправности
|
|
|
|
| Наиболее опасной угрозой является: Технические неисправности
Таблица 102 – Оценка рисков для актива ИС для автоматизации бухгалтерского учета
Наименование угрозы
| Вероятность возникновения угрозы
| Ценность актива
| Мера риска
| Ранжирование угроз
| Физический ущерб
|
|
|
|
| Технические неисправности
|
|
|
|
| Наиболее опасной угрозой является: Технические неисправности
Таблица 103 – Оценка рисков для актива ИС управления персоналом
Наименование угрозы
| Вероятность возникновения угрозы
| Ценность актива
| Мера риска
| Ранжирование угроз
| Физический ущерб
|
|
|
|
| Технические неисправности
|
|
|
|
| Наиболее опасной угрозой является: Технические неисправности
Таблица 104 – Оценка рисков для актива CRM-система
Наименование угрозы
| Вероятность возникновения угрозы
| Ценность актива
| Мера риска
| Ранжирование угроз
| Физический ущерб
|
|
|
|
| Технические неисправности
|
|
|
|
| Наиболее опасной угрозой является: Технические неисправности
Таблица 105 – Оценка рисков для актива Локальная сеть организации (Глобальная сеть с ограничениями к некоторым ресурсов)
Наименование угрозы
| Вероятность возникновения угрозы
| Ценность актива
| Мера риска
| Ранжирование угроз
| Физический ущерб
|
|
|
|
| Технические неисправности
|
|
|
|
| Наиболее опасной угрозой является: Технические неисправности
Таблица 106 – Оценка рисков для актива, Сотрудники отдела разработки ПО
Наименование угрозы
| Вероятность возникновения угрозы
| Ценность актива
| Мера риска
| Ранжирование угроз
| Компрометация информации
|
|
|
|
| Технические неисправности
|
|
|
|
| Наиболее опасной угрозой является: Технические неисправности
Таблица 107 – Оценка рисков для актива Руководитель организации
Наименование угрозы
| Вероятность возникновения угрозы
| Ценность актива
| Мера риска
| Ранжирование угроз
| Несанкционированные действия
|
|
|
|
| Компрометация функций
|
|
|
|
| Компрометация информации
|
|
|
|
| Наиболее опасной угрозой является: Несанкционированные действия
Таблица 108 – Оценка рисков для актива Сотрудники техподдержки
Наименование угрозы
| Вероятность возникновения угрозы
| Ценность актива
| Мера риска
| Ранжирование угроз
| Несанкционированные действия
|
|
|
|
| Компрометация функций
|
|
|
|
| Компрометация информации
|
|
|
|
| Наиболее опасной угрозой является: Несанкционированные действия
Таблица 109 – Оценка рисков для актива Начальники отделов
Наименование угрозы
| Вероятность возникновения угрозы
| Ценность актива
| Мера риска
| Ранжирование угроз
| Несанкционированные действия
|
|
|
|
| Компрометация функций
|
|
|
|
| Компрометация информации
|
|
|
|
| Наиболее опасной угрозой является: Несанкционированные действия
Перечень наиболее опасных угроз для активов ПАО «Виа Инормация»:
‒ Несанкционированные действия
‒ Технические неисправности
‒ Компрометация информации
‒ Компрометация функций
‒ Природные явления
Уязвимости, которые могут привести к реализации указанных выше угроз:
‒ Недостаточное техническое обслуживание/неправильная установка носителей данных
‒ Чувствительность к влажности, пыли, загрязнению
‒ Отсутствие эффективного контроля изменений конфигурации
‒ Отсутствующее или недостаточное тестирование программных средств
‒ Отсутствие «завершения сеанса» при уходе с рабочего места
‒ Плохой менеджмент паролей
‒ Плохая разводка кабелей
‒ Единая точка отказа
‒ Неадекватные процедуры набора персонала
‒ Отсутствие осведомленности о безопасности
ЗАКЛЮЧЕНИЕ
Риск ИБ – это возможность того, что произойдет определенное неблагоприятное событие, имеющее свою цену (размер ожидаемого ущерба) и вероятность наступления. Процесс управления рисками можно подразделить на следующие этапы: выбор анализируемых объектов и уровня детализации их рассмотрения; выбор методики оценки рисков; идентификация активов; анализ угроз и их последствий, определение уязвимостей в защите; оценка рисков; выбор защитных мер; реализация и проверка выбранных мер; оценка остаточного риска.
Анализ рисков информационной безопасности производится в соответствии с ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности.
В ходе выполнения курсовой работы была проведена оценка рисков информационной безопасности «Виа Информация»
Оценка рисков проводилась путем ранжирования угроз по средствам мер риска, в соответствии с методикой, приведенной в ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности
Для оценки рисков информационной безопасности «Виа Информация» были выполнены следующие этапы: устанавливался контент для последующей оценки рисков информационной безопасности, определялись основные и вспомогательные активы организации, выявлялись угрозы для активов организации и их источники, определялись ценность активов организации, оценивались риски информационной безопасности.
Проведенная оценка рисков показала, что наиболее опасными угрозами ИБ ПАО «Виа Информация» является: несанкционированные действия, технические неисправности, компрометация информации, компрометация функций, природные явления.
К реализации указанных угроз могут привести следующие уязвимости: недостаточное техническое обслуживание/неправильная установка носителей данных, чувствительность к влажности, пыли, загрязнению, отсутствие эффективного контроля изменений конфигурации, отсутствующее или недостаточное тестирование программных средств, отсутствие «завершения сеанса» при уходе с рабочего места, плохой менеджмент паролей, плохая разводка кабелей, единая точка отказа, неадекватные процедуры набора персонала, отсутствие осведомленности о безопасности.
СПИСОК ИСТОЧНИКОВ ИНФОРМАЦИИ
1. Риски информационной безопасности [Электронный ресурс] Режим доступа: https://arinteg.ru/articles/riski-informatsionnoy-bezopasnosti-26222.html
2. Утечки данных 2019: статистика, тенденции кибербезопасности и меры по снижению рисков взлома [Электронный ресурс] Режим доступа: https://vc.ru/services/103616-utechki-dannyh-2019-statistika-tendencii-kiberbezopasnosti-i-mery-po-snizheniyu-riskov-vzloma
3. Основные этапы управления рисками [Электронный ресурс] Режим доступа: http://citforum.ru/security/articles/risk_management/2.shtml
4. Методики управления рисками информационной безопасности и их оценки [Электронный ресурс] Режим доступа: https://safe-surf.ru/specialists/article/5193/587932/
5. ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности
Приложение 1
Перечень типичных угроз в соответствии с ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности
Вид
| Угрозы
| Происхождение
| Физический ущерб
| Пожар
| С, У, П
| Ущерб, причиненный водой
| С, У, П
| Загрязнение
| С, У, П
| Крупная авария
| С, У, П
| Разрушение оборудования или носителей
| С, У, П
| Пыль, коррозия, замерзание
| С, У,П
| Природные явления
| Климатическое явление
| П
| Сейсмическое явление
| П
| Вулканическое явление
| П
| Метеорологическое явление
| П
| Наводнение
| П
| Утрата важных сервисов
| Авария системы кондиционирования воздуха или водоснабжения
| С. У
| Нарушение энергоснабжения
| С, У.П
| Отказ телекоммуникационного оборудования
| С, У
| Помехи вследствие излучения
| Электромагнитное излучение
| С, У.П
| Тепловое излучение
| С, У.П
| Электромагнитные импульсы
| С, У.П
| Компрометация информации
| Перехват компрометирующих сигналов помех
| У
| Дистанционный шпионаж
| У
| Прослушивание
| У
| Кража носителей или документов
| У
| Кража оборудования
| У
| Поиск повторно используемых или забракованных носителей
| У
| Раскрытие
| С, У
| Данные из ненадежных источников
| С, У
| Преступное использование аппаратных средств
| У
| Преступное использование программного обеспечения
| С, У
| Определение местонахождения
| У
| Технические неисправности
| Отказ оборудования
| С
| Неисправная работа оборудования
| С
| Насыщение информационной системы
| С, У
| Нарушение функционирования программного обеспечения
| С
| Нарушение сопровождения информационной системы
| С, У
| Несанкционированные действия
| Несанкционированное использование оборудования
| У
| Мошенническое копирование программного обеспечения
| У
| Использование контрафактного или скопированного программного обеспечения
| С, У
| Искажение данных
| У
| Незаконная обработка данных
| У
| Компрометация функций
| Ошибка при использовании
| С
| Злоупотребление правами
| С, У
| Фальсификация прав
| У
| Отказ в осуществлении действий
| У
| Нарушение работоспособности персонала
| С, У,П
|
Приложение 2
Источники угроз в соответствии с ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности
Источник угрозы
| Мотивация
| Действие угрозы
| Хакер, взломщик
| Вызов
Самомнение
Бунтарство
Статус
Деньги
| Хакерство
Социальная инженерия
Проникновение в систему, взлом
Несанкционированный доступ к системе
| Лицо, совершающее компьютерное преступление
| Разрушение информации Незаконное раскрытие информации
Денежная выгода
Несанкционированное изменение данных
| Компьютерное преступление (например, компьютерное преследование)
Мошенническая деятельность (например, воспроизведение, выдача себя за другого, перехват)
Информационный подкуп
Получение доступа обманным путем
Проникновение в систему
| Террорист
| Шантаж
Разрушение
Использование в личных интересах
Месть
Политическая выгода
Охват среды (передачи данных)
| Взрыв/Терроризм
Информационная война
Системная атака (например, распределенный отказ в обслуживании)
Проникновение в систему
Порча системы
| Промышленный шпионаж (сведения секретного характера компании, иностранные правительства, другие правительственные объединения)
| Конкурентное преимущество
Экономический шпионаж
| Получение оборонного преимущества
Получение информационного преимущества
Экономическая эксплуатация
Хищение информации
Покушение на неприкосновенность личной жизни
| Промышленный шпионаж (сведения
секретного характера компании, иностранные правительства, другие правительственные объединения)
|
| Социальная инженерия
Проникновение в систему
Несанкционированный доступ к системе (доступ к секретной информации, являющейся собственностью фирмы и/или связанной с технологией)
| Инсайдеры (плохо обученные, недовольные, Злонамеренные, беспечные, нечестные или уволенные служащие)
| Любопытство
Самомнение
Разведка
Денежная выгода
Месть
Ненамеренные ошибки и упущения (например, ошибка ввода данных, ошибка в составлении программы)
| Нападение на служащего
Шантаж
Просмотр информации, являющейся собственностью фирмы
Неправильное использование компьютера
Мошенничество и хищение Информационный подкуп
Вредоносное программное обеспечение (например, вирус, логическая бомба, Троянский конь)
Продажа информации личного характера «Жучки» в системе
Проникновение в систему
Вредительство в системе
Несанкционированный доступ к системе[АКБ1]
|
Приложение 3
Вид
| Примеры уязвимостей
| Примеры угроз
| Аппаратные средства
| Недостаточное техническое обслуживание/неправильная установка носителей данных
| Нарушение ремонтопригодности информационных систем
| Отсутствие программ периодической замены
| Ухудшение состояния носителей данных
| Чувствительность к влажности, пыли, загрязнению
| Образование пыли, коррозия, замерзание
| Чувствительность к электромагнитному излучению
| Электромагнитное излучение
| Отсутствие эффективного контроля изменений конфигурации
| Ошибка в использовании
| Чувствительность к колебаниям напряжения
| Потеря электропитания
| Чувствительность к колебаниям температуры
| Метеорологические явления
| Незащищенное хранение
| Хищение носителей данных или документов
| Небрежное (безответственное) размещение
| Хищение носителей данных или документов
| Неконтролируемое копирование
| Хищение носителей данных или документов
| Программные средства
| Отсутствующее или недостаточное тестирование программных средств
| Злоупотребление правами
| Широко известные дефекты программных средств
| Злоупотребление правами
| Отсутствие «завершения сеанса» при уходе с рабочего места
| Злоупотребление правами
| Списание или повторное использование носителей данных без надлежащего удаления информации
| Злоупотребление правами
| Отсутствие «следов» аудита
| Злоупотребление правами
| Неверное распределение прав доступа
| Злоупотребление правами
| Широко распределенное программное обеспечение
| Порча данных
| Применение прикладных программ для несоответствующих, с точки зрения времени, данных
| Порча данных
| Сложный пользовательский интерфейс
| Ошибка в использовании
| Отсутствие документации
| Ошибка в использовании
| Программные средства
| Неправильные параметры установки
| Ошибка в использовании
| Неправильные данные
| Ошибка в использовании
| Отсутствие механизмов идентификации и аутентификации, таких, как аутентификация пользователей
| Фальсификация прав
| Незащищенные таблицы паролей
| Фальсификация прав
| Плохой менеджмент паролей
| Фальсификация прав
| Активизация ненужных сервисов
| Нелегальная обработка данных
| Недоработанное или новое программное обеспечение
| Сбой программных средств
| Нечеткие или неполные спецификации для разработчиков
| Сбой программных средств
| Отсутствие эффективного контроля изменений
| Сбой программных средств
| Неконтролируемая загрузка и использование программных средств
| Тайные действия с программными средствами
| Отсутствие резервных копий
| Тайные действия с программными средствами
| Отсутствие физической защиты здания, дверей и окон
| Хищение носителей данных или документов
| Отказ в обеспечении отчетов по менеджменту
| Неавторизованное использование оборудования
| Сеть
| Отсутствие подтверждения отправления или получения сообщения
| Отказ в осуществлении действий
| Незащищенные линии связи
| Перехват информации
| Незащищенный чувствительный трафик
| Перехват информации
| Плохая разводка кабелей
| Отказ телекоммуникационного оборудования
| Единая точка отказа
| Отказ телекоммуникационного оборудования
| Отсутствие идентификации и аутентификации отправителя и получателя
| Фальсификация прав
| Ненадежная сетевая архитектура
| Дистанционный шпионаж
| Передача паролей в незашифрованном виде
| Дистанционный шпионаж
| Неадекватный сетевой менеджмент (устойчивость маршрутизации)
| Насыщение информационной системы
| Незащищенные соединения сети общего пользования
| Неавторизованное использование оборудования
| Персонал
| Отсутствие персонала
| Нарушение работоспособности персонала
| Неадекватные процедуры набора персонала
| Разрушение оборудования или носителей данных
| Недостаточное осознание безопасности
| Ошибка в использовании
| Ненадлежащее использование программных и аппаратных средств
| Ошибка в использовании
| Персонал
| Отсутствие осведомленности о безопасности
| Ошибка в использовании
| Отсутствие механизмов мониторинга
| Нелегальная обработка данных
| Безнадзорная работа внешнего персонала или персонала организации, занимающегося уборкой
| Хищение носителей данных или документов
| Отсутствие политик по правильному использованию телекоммуникационной среды и обмена сообщениями
| Неавторизованное использование оборудования
| Место функционирования организации
| Неадекватное или небрежное использование физического управления доступом к зданиям и помещениям
| Ухудшение состояния носителей данных
| Размещение в местности, предрасположенной к наводнениям
| Затопление
| Нестабильная электрическая сеть
| Отсутствие электропитания
| Отсутствие физической защиты здания, дверей и окон
| Хищение аппаратуры
| Организация
| Отсутствие формальной процедуры для регистрации и снятия с регистрации пользователей
| Злоупотребление правами
| Отсутствие формального процесса для пересмотра (надзора) прав доступа
| Злоупотребление правами
| Отсутствие или недостаточные условия (касающиеся безопасности) в договорах с клиентами и/или третьими сторонами
| Злоупотребление правами
| Отсутствие процедуры, касающейся мониторинга средств обработки информации
| Злоупотребление правами
| Отсутствие регулярных аудитов (надзора)
| Злоупотребление правами
| Отсутствие процедур идентификации и оценки риска
| Злоупотребление правами
| Отсутствие сообщений об ошибках, зафиксированных в журнале регистрации администратора и оператора
| Злоупотребление правами
| Неадекватная ответственность за техническое обслуживание
| Нарушение обслуживания информационной системы
| Отсутствующее или неудовлетворительное соглашение об уровне сервиса
| Нарушение обслуживания информационной системы
| Отсутствие процедуры контроля изменений
| Нарушение обслуживания информационной системы
| Отсутствие формальной процедуры контроля документации. касающейся системы менеджмента ИБ
| Порча данных
| Отсутствие формальной процедуры надзора за записями системы менеджмента ИБ
| Порча данных
| Отсутствие формального процесса санкционирования общедоступной информации
| Данные из ненадежных источников
| Отсутствие надлежащего распределения обязанностей по обеспечению информационной безопасности
| Отказ в осуществлении деятельности
| Организация
| Отсутствие планов обеспечения непрерывности бизнеса
| Отказ оборудования
| Отсутствие политики по использованию электронной почты
| Ошибка в использовании
| Отсутствие процедур введения программного обеспечения в операционные системы
| Ошибка в использовании
| Отсутствие записей в журнале регистрации администратора и оператора
| Ошибка в использовании
| Отсутствие процедур для обработки секретной информации
| Ошибка в использовании
| Отсутствие обязанностей по обеспечению информационной безопасности в должностных инструкциях
| Ошибка в использовании
| Отсутствие или недостаточные условия (касающиеся информационной безопасности) в договорах со служащими
| Нелегальная обработка данных
| Отсутствие оговоренного дисциплинарного процесса в случае инцидента безопасности
| Хищение оборудования
| Отсутствие формальной политики по использованию портативных компьютеров
| Хищение оборудования
| Отсутствие контроля над активами, находящимися за пределами организации
| Хищение оборудования
| Отсутствующая или неудовлетворительная политика «чистого стола и пустого экрана»
| Хищение носителей информации или документов
| Отсутствие авторизации средств обработки информации
| Хищение носителей информации или документов
| Отсутствие установленных механизмов мониторинга нарушений безопасности
| Хищение носителей информации или документов
| Отсутствие регулярных проверок, проводимых руководством
| Неавторизованное использование оборудования
| Отсутствие процедур сообщения о слабых местах безопасности
| Неавторизованное использование оборудования
| Отсутствие процедур, обеспечивающих соблюдение прав на интеллектуальную собственность
| Использование контрафактных или копированных программных средств
|
[АКБ1]
|