38
- Наличие в системе информации, представляющей
интерес для потенциальных
внутренних или внешних нарушителей.
- Моральные качества персонала.
- Возможность извлечь выгоду из изменения обрабатываемой в системе информации.
- Наличие альтернативных способов доступа к информации.
Для оценки уязвимостей выберем следующие косвенные факторы:
- Количество рабочих мест (пользователей) в системе.
- Размер рабочих групп.
- Осведомленность руководства о действиях сотрудников (разные аспекты).
- Характер используемого на рабочих местах оборудования и ПО.
- Полномочия пользователей.
Далее мы берем подготовленный список вопросов,
составленный при изучении
разделов стандарта ISO 17799, и делим его на две части, влияющих на уровень угроз и
влияющих на уровень уязвимости. Напротив фиксированных вариантов ответов
поставим определенное количество баллов, определяющих уровень критичности.
Для определения факторов
влияющих на уровень угроз, приведем следующий
вопрос с вариантами ответов:
Может ли сокрытие информации принести прямую финансовую или иную выгоду
сотрудникам?
Варианты ответов:
a) Да 15
б) Нет 0
Для определения факторов влияющих на уровень уязвимости,
приведем следующий
вопрос с вариантами ответов:
Есть ли у сотрудников возможность осуществить несанкционированный доступ к
информации (например, когда их непосредственно не контролируют, по вечерам и
т.п.)?
a) Да 20
б) Нет 0
39
Итоговая оценка угрозы и уязвимости данного
класса будет определяться
суммированием баллов. Программный код сам оценит степень угрозы и уязвимости по
количеству накопленных балов.
Таблица 4.Степень угрозы при количестве баллов.
До 60
Достарыңызбен бөлісу: