Анализ и модернизация системы информационной безопасности в тран. Выпускная квалификационная работа на тему Анализ

Название	Выпускная квалификационная работа на тему Анализ
Дата	31.05.2022
Размер	0.6 Mb.
Формат файла
Имя файла	Анализ и модернизация системы информационной безопасности в тран.docx
Тип	Анализ #559162
страница	5 из 16

1 2 3 4 5 6 7 8 9 ... 16

Оценка уязвимостей активов.

Под уязвимостью информационного актива понимается недостаток либо слабость в организации инфраструктуры, которая может быть эксплуатируема для реализации угроз информационной безопасности [9].

Оценка уязвимостей проводится экспертным методом с привлечением специалистов по информационной безопасности. Исходными данными для проведения оценки уязвимостей обычно является результаты обследования информационной инфраструктуры. Оценку проводит штатный специалист по
информационной безопасности Отдела ИТ, либо лицензиат ФСТЭК на проведение специальных видов работ по защите информации. Результаты оценки, представляются в виде таблицы, сопоставления: уязвимостей, перечня информационных активов, а также оценки степени вероятности возможной реализации [10].

В качестве источника исходный данных для уязвимостей рассматривается стандарт ГОСТ Р ИСО/МЭК ТО 13335-3-2007 [9].

В таблице 5 представлена таблица уязвимостей информационных активов ТК

«Шерл».

Таблица 5 Уязвимости информационных активов ТК «Шерл»

№	Группа уязвимостей Содержание уязвимости	Информационная система	Рабочие места и сервера	Документы
1	1. Среда и инфраструктура
1.1	Отсутствие средств физической защиты	низкая	высокая	Высокая
1.2	Неправильное использование физических средств	средняя	средняя	Средняя
1.3	Некорректная работа электросети	средняя	средняя	Низкая
1.4	Пожар	низкая	низкая	Низкая
1.5	Потоп	низкая	низкая	Низкая
1.6	Иные стихийные бедствия	низкая	низкая	Низкая
2	2. Аппаратное обеспечение
2.1	Отсутствие в схемах периодических замен	средняя	средняя	низкая
2.2	Зависимость от колебаний напряжения	средняя	средняя	низкая
2.3	Зависимость от температурных колебаний	средняя	средняя	низкая
2.4	Подверженность к воздействию пыли, влаги, загрязнения	средняя	средняя	низкая
2.5	Чувствительность от воздействия	средняя	средняя	низкая

№	Группа уязвимостей Содержание уязвимости	Информационная система	Рабочие места и сервера	Документы
	электромагнитных излучений
2.6	Недостаточность обслуживание/неправильная инсталляция программных сред	средняя	средняя	низкая
2.7	Отсутствие мер контроля за состоянием изменением конфигурации	средняя	средняя	низкая
3	3. Программное обеспечение
3.1	Сложный пользовательский интерфейс	высокая	высокая	низкая
3.2	Отсутствие механизмов безопасности	высокая	высокая	низкая
3.3	Отсутствие периодического аудита	высокая	высокая	низкая
3.4	Уязвимости программного обеспечения	высокая	высокая	низкая
3.5	Неправильное присвоение прав доступа	высокая	высокая	низкая
3.6	Неконтролируемая загрузка и использование программного обеспечения	высокая	высокая	низкая
3.7	Отсутствие регистрации действий пользователей	высокая	высокая	низкая
3.8	Отсутствие по контролю внесения изменений	высокая	высокая	низкая
3.9	Отсутствие документирования	высокая	высокая	низкая
3.10	Отсутствие резервных копий	высокая	высокая	низкая
4	4. Коммуникации
4.1	Незащищенные линии связи	высокая	средняя	низкая
4.2	Неудовлетворительная стыковка кабелей	средняя	средняя	низкая
4.3	Отсутствие идентификации и аутентификации отправителя и получателя	средняя	средняя	низкая

№	Группа уязвимостей Содержание уязвимости	Информационная система	Рабочие места и сервера	Документы
4.4	Пересылка паролей открытым текстом	высокая	средняя	низкая
4.5	Отсутствие подтверждений в получениях сообщений	высокая	средняя	низкая
4.6	Коммутируемые линии	средняя	средняя	низкая
4.7	Открытые потоки конфиденциальной информации	высокая	средняя	низкая
4.8	Некорректное управление сетью	средняя	средняя	низкая
4.9	Незащищенное подключение к сетям общего доступа	высокая	высокая	низкая
5	5. Документы (документооборот)
5.1	Хранение в открытых местах	низкая	низкая	высокая
5.2	Недостаточный уровень внимательности при уничтожении	низкая	низкая	высокая
5.3	Неконтрольное копирование	низкая	низкая	высокая
6	6.Персонал
6.1	Отсутствие сотрудников	средняя	средняя	средняя
6.2	Отсутствие по надзору за работой сторонних лиц	средняя	средняя	средняя
6.3	Недостаточная подготовленность персонала по аспектам безопасности	средняя	средняя	средняя
6.4	Отсутствие необходимых знаний по вопросам безопасности	средняя	средняя	средняя
6.5	Неправильное использование программно- аппаратного обеспечения	средняя	средняя	средняя
6.6	Отсутствие механизмов отслеживания	средняя	средняя	средняя
6.7	Отсутствие политики правильного пользования телекоммуникационными системами	средняя	средняя	средняя

№	Группа уязвимостей Содержание уязвимости	Информационная система	Рабочие места и сервера	Документы
6.8	Несоответствующие процедуры набора кадров	средняя	средняя	средняя
7	7. Общие уязвимые места
7.1	Отказ систем в следствии отказа одного из ее элементов	средняя	средняя	низкая
7.2	Некорректные результаты проведения технического осмотра	средняя	средняя	средняя

1 2 3 4 5 6 7 8 9 ... 16