Уязвимости
Уязвимость – это любой недостаток в информационном активе, который может привести к реализации угроз безопасности.
В области информационной безопасности под уязвимостями принято подразумевать прежде всего технические уязвимости в программном обеспечении, зафиксированные в базах уязвимостей, таких как CVE – Common Vulnerabilities and Exposures от компании MITRE или БДУ – База уязвимостей программного обеспечения ФСТЭК России.
В Сервисе уязвимости это более широкое понятие. Уязвимостью может быть любое свойство актива, в том числе сам факт его существования.
У уязвимостей в сервисе нет дополнительных полей и классификаций, как у угроз, за исключением связей с каталогами угроз и значения базовой вероятности реализации.
Вероятность реализации уязвимости оценивается качественно: отсутствует, низкая, средняя, высокая, критическая.
Стоит отметить, что в процессе тестирования сервиса качественная оценка на уровне конкретных уязвимостей показала свою недостаточную объективность. В большинстве случаев следует переопределять вероятность реализации на уровне конкретных рисков, связанных с уязвимостью т.к. для точной оценки необходим контекст в виде типа актива, в котором содержится уязвимость и угрозы, к реализации которой уязвимость приводит.
Стоит отметить, что в процессе тестирования сервиса качественная оценка на уровне конкретных уязвимостей показала свою недостаточную объективность. В большинстве случаев следует переопределять вероятность реализации на уровне конкретных рисков, связанных с уязвимостью т.к. для точной оценки необходим контекст в виде типа актива, в котором содержится уязвимость и угрозы, к реализации которой уязвимость приводит.
Определения уязвимости
Существуют различные определения уязвимости:
уязвимость (vulnerability): Слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами.
уязвимость (информационной системы); брешь: Свойство информационной системы, предоставляющее возможность реализации угроз безопасности обрабатываемой в ней информации.
уязвимость (информационной системы); брешь: Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.
Уязвимость: недостаток (слабость) программного (программно-технического) средства или системы и сети в целом, который(ая) может быть использован(а) для реализации угроз безопасности информации.
Куда я попал?
| Название | Дата | Связи | Риск ? | ||
|---|---|---|---|---|---|
| Возможность поставки вредоносного ПО через мессенджеры 20.07.2023 | 20.07.2023 | 1 | |||
| Отсутствие навыков реагирования на инциденты безопасности 01.03.2023 | 01.03.2023 | 3 | |||
| Отсутствие требуемых законодательством форм и документов 04.12.2022 | 04.12.2022 | 3 | |||
| Приостановка услуг облачных провайдеров 10.10.2022 | 10.10.2022 | 2 | |||
| Отсутствие установленного средства антивирусной защиты 12.09.2022 | 12.09.2022 | 1 | |||
| Непонимание контекста, целей и задач компании 03.08.2022 | 03.08.2022 | 1 | |||
| Возможность физической поломки 20.06.2022 | 20.06.2022 | 2 | |||
| Непроставление грифа конфиденциальности на документах 24.05.2022 | 24.05.2022 | 2 | |||
| Блокировка сайтов регуляторами 22.03.2022 | 22.03.2022 | 1 | |||
| Возможность отзыва TLS-сертификата 21.03.2022 | 21.03.2022 | 1 |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.