Связано это скорее с тем, что в системе управления ИБ плохо разработаны, а порой и вообще отсутствуют процессы, охватывающие фундаментальные уровни уязвимостей. Под этими уровнями я подразумеваю, категории процессов или фундамент, на котором держится и функционирует система ИБ. Как только на каком либо из уровней возникает брешь, тут же появляется лазейка для злоумышленника.
Уровни уязвимостей
- Физический
- Технологический
- Логический
- Человеческий
- Законодательный
- Организационный
Физический – отвечает за физическую безопасность и доступ. Это двери, замки, окна, методы доступа к источникам информации, сотрудники охраны.
Технологический – отвечает за технические средства защиты. Это сигнализация, видеокамеры, системы обнаружения вторжения, брандмауэры, средства обнаружения закладок, генераторы помех и т.д.
Логический – отвечает за логику или всё ли функционирует логично?
Правильно ли созданы листы доступа на брандмауэре, правильно ли расставлены посты охраны на объекте, правильно ли расставлены датчики и камеры. Здесь очень часто встречаются спорные вопросы, и порой те или иные правила зависят от объекта и окружающей среды.
Человеческий – отвечает за человеческий фактор. Это уровень бдительности и осведомлённости персонала. Это то насколько дисциплинирована охрана. Человеческий фактор является одним из самых уязвимых уровней, ведь именно через человека очень часто утекало и утекает хорошо защищаемая информация зарубежным спецслужбам и именно этому фактору, во многих компаниях уделяется очень мало внимания.
Законодательный – этот уровень отвечает за законодательную базу. Это то, насколько всё законно устроено и функционирует в рамках закона. Соответствует ли хранение информации, к примеру, которая составляет гос. тайну, закону и стандартам установленными государством.
Организационный – отвечает за организацию всех процессов и функций. Это регламенты, политики, инструкции, положения, планы реагирований на инциденты, протоколы и т.д. Этот уровень по своей сущности близок к законодательному.
Эти пять уровней взаимосвязаны друг с другом, они дополняют друг друга и должны быть под контролем, в противном случае, инфраструктура будет плохо защищена от современных угроз.
Почему?
Всё дело в том, что в реальной ситуации нацеленный злоумышленник обычно атакуя и проникая в инфраструктуру компании, действует по принципу от самого лёгкого к самому сложному. Если ему не удастся пробить периметр сети, он попробует выманить пароли у сотрудников, сыграв на человеческом факторе, если и это не удастся, он попробует получить физический доступ к источникам информации и так далее. В данном случае злоумышленник действует по принципу гибкости и рано или поздно находит лазейку.
Лично, по моему мнению, у большинства плохо защищённых компаний присутствует первых три уровня, из них:
Первый – физический, который на деле, оказывается, уязвим за счёт отсутствия остальных.
Второй – технический, который несовершенен и требует доработок, в связи с отсутствием остальных.
Третий – логический, который несовершенен.
Похожие записи
Нет комментариев