Поделиться Поделиться

I. Физическое воздействие на человека.

1. Недоступность информации в результате нетрудоспособности пользователей информационной системы

- Отсутствие распределения атрибутов безопасности (ключи доступа, шифрование) между несколькими доверенными сотрудниками.

- Выполнение важных операций одним доверенным сотрудником.

- Отсутствие разделения административных обязанностей по управлению и поддержке различных сервисов.

2. Неправильное функционирование информационной системы в результате нетрудоспособности администраторов (отказ ОС, отказ ПО).

- Отсутствие распределения атрибутов безопасности (ключи доступа, шифрование) между несколькими доверенными сотрудниками.

- Отсутствие разделения административных обязанностей по управлению и поддержке различных сервисов.

- Выполнение работ по администрированию (информационной системы или отдельных сервисов) одним сотрудником.

3. Снижение реакции на инциденты в области информационной безопасности в результате нетрудоспособности администратора.

- Отсутствие распределения атрибутов безопасности (ключи доступа, шифрование) между несколькими доверенными сотрудниками.

- Отсутствие разделения административных обязанностей по управлению и поддержке различных сервисов.

- Выполнение работ по администрированию (информационной системы или отдельных сервисов) одним сотрудником.

4. Нарушение непрерывности ведения бизнеса в результате физического воздействия на сотрудника компании

- Отсутствие физической охраны (сопровождение, специальный транспорт) для ключевых сотрудников.

- Отсутствие системы замещения кадров при нетрудоспособности сотрудника (перераспределение бизнес-функций, резервирование персонала).

II. Психологическое воздействие на человека.

1. Разглашение конфиденциальной информации в результате психологического воздействия сторонних лиц на сотрудников компании

- Отсутствие инструкций для персонала по работе с информацией ограниченного доступа.

- Отсутствуют необходимые проверки сотрудников при приеме на работу (на предмет психологических отклонений).

- Отсутствуют тренинги персонала по вопросам ИБ.

- Отсутствие штатного психолога в компании.

- Неблагоприятный психологический климат в компании, несоблюдение норм социальной и деловой этики.

- Распределения атрибутов безопасности (ключи доступа, шифрование) между несколькими доверенными сотрудниками.

- Разделения административных обязанностей по управлению и поддержке различных сервисов.

2. Подлог недостоверной информации в результате психологического воздействия сторонних лиц на сотрудников компании

- Отсутствие инструкций для персонала по работе с информацией ограниченного доступа.

- Отсутствуют необходимые проверки сотрудников при приеме на работу (на предмет психологических отклонений).

- Отсутствуют тренинги персонала по вопросам ИБ.

- Отсутствие штатного психолога в компании.

- Неблагоприятный психологический климат в компании, несоблюдение норм социальной и деловой этики.

- Распределения атрибутов безопасности (ключи доступа, шифрование) между несколькими доверенными сотрудниками.

- Разделения административных обязанностей по управлению и поддержке различных сервисов.

- Выполнение важных операций несколькими доверенными сотрудниками.

3. Модификация (удаление) информации в результате психологического воздействия сторонних лиц на сотрудников компании.

- Отсутствие инструкций для персонала по работе с информацией ограниченного доступа.

- Отсутствуют необходимые проверки сотрудников при приеме на работу (на предмет психологических отклонений).

- Отсутствуют тренинги персонала по вопросам ИБ.

- Отсутствие штатного психолога в компании.

- Неблагоприятный психологический климат в компании, несоблюдение норм социальной и деловой этики.

- Распределения атрибутов безопасности (ключи доступа, шифрование) между несколькими доверенными сотрудниками.

- Разделения административных обязанностей по управлению и поддержке различных сервисов.

- Выполнение важных операций несколькими доверенными сотрудниками.

4. Недоступность информации в результате нетрудоспособности пользователей информационной системы, владеющих данной информацией

- Отсутствие распределения атрибутов безопасности (ключи доступа, шифрование) между несколькими доверенными сотрудниками.

- Выполнение операций одним доверенным сотрудником.

- Отсутствие разделения административных обязанностей по управлению и поддержке различных сервисов.

- Отсутствие штатного психолога в компании.

5. Неправильное функционирование информационной системы в результате нетрудоспособности системных администраторов (отказ ОС, отказ ПО).

- Отсутствие распределения атрибутов безопасности (ключи доступа, шифрование) между несколькими доверенными сотрудниками.

- Отсутствие разделения административных обязанностей по управлению и поддержке различных сервисов.

- Выполнение работ по администрированию (информационной системы или отдельных сервисов) одним сотрудником.

- Отсутствие штатного психолога в компании.

III. Шпионаж.

1. Разглашение конфиденциальной информации сотрудниками компании.

- Отсутствие штатного психолога в компании.

- Неблагоприятный психологический климат в компании, несоблюдение норм социальной и деловой этики.

- Распределения атрибутов безопасности (ключи доступа, шифрование) между несколькими доверенными сотрудниками.

- Разделения административных обязанностей по управлению и поддержке различных сервисов.

- Отсутствует адекватная оценка труда сотрудников.

- Отсутствие соглашений о конфиденциальности.

- Отсутствие нормативных документов, определяющих ответственность за разглашение конфиденциальной информации.

- Неформальные отношения с недоверенными сотрудниками.

2. Модификация (удаление) информации сотрудниками компании.

- Отсутствие штатного психолога в компании.

- Неблагоприятный психологический климат в компании, несоблюдение норм социальной и деловой этики.

- Распределения атрибутов безопасности (ключи доступа, шифрование) между несколькими доверенными сотрудниками.

- Разделения административных обязанностей по управлению и поддержке различных сервисов.

- Отсутствует адекватная оценка труда сотрудников.

- Отсутствие соглашений о конфиденциальности.

- Отсутствие нормативных документов, определяющих ответственность за разглашение конфиденциальной информации.

- Неформальные отношения с недоверенными сотрудниками.

3. Подлог недостоверной информации сотрудниками компании

- Отсутствие штатного психолога в компании.

- Неблагоприятный психологический климат в компании, несоблюдение норм социальной и деловой этики.

- Распределения атрибутов безопасности (ключи доступа, шифрование) между несколькими доверенными сотрудниками.

- Разделения административных обязанностей по управлению и поддержке различных сервисов.

- Отсутствует адекватная оценка труда сотрудников.

- Отсутствие соглашений о конфиденциальности.

- Отсутствие нормативных документов, определяющих ответственность за разглашение конфиденциальной информации.

- Неформальные отношения с недоверенными сотрудниками.

IV. Неумышленные действия.

1. Нарушение конфиденциальности информации в результате неумышленных действий.

- Отсутствие в компании системы защищенного документооборота.

- Должностные инструкции не включают ответственность за неумышленные действия.

- Отсутствие обязательного информирования персонала о нормативных документах, определяющих действия с конфиденциальной информацией.

- Не выполняется регулярная проверка действующих прав пользователей на доступ к информационным ресурсам.

- Отсутствие обязательной авторизации для доступа к конфиденциальной информации.

- Отсутствие маркеров конфиденциальности (грифов) на документах, содержащих конфиденциальные сведения.

2. Неумышленное нарушение целостности (модификация) информации

- Отсутствие систем резервирования.

- Отсутствие систем контроля целостности.

- Отсутствие в компании системы защищенного документооборота.

- Должностные инструкции не включают ответственность за неумышленные действия.

- Отсутствие обязательного информирования персонала о нормативных документах, определяющих действия с конфиденциальной информацией.

- Не выполняется регулярная проверка действующих прав пользователей на доступ к информационным ресурсам.

- Отсутствие обязательной авторизации для модификации конфиденциальной информации.

Но т.к. система резервирования присутствует в ИС, то этой уязвимости на ресурсе нет.

3. Неумышленное удаление критически важной информации.

- Отсутствие систем резервирования.

- Отсутствие в компании системы защищенного документооборота.

- Должностные инструкции не включают ответственность за неумышленные действия.

- Отсутствие обязательного информирования персонала о нормативных документах, определяющих действия с конфиденциальной информацией.

- Не выполняется регулярная проверка действующих прав пользователей на доступ к информационным ресурсам.

- Отсутствие обязательной авторизации для удаления информации.

Но т.к. система резервирования присутствует в ИС, то этой уязвимости на ресурсе нет.

← Предыдущая страница | Следующая страница →