Уязвимости информационных систем и безопасность “облаков”

30.07.2014

gost.vvv

Любая угроза безопасности личным данным может реализовываться только при наличии возможностей ее реализации. Это и есть уязвимости информационных систем.

Так, например, слабым звеном компании вполне могут оказаться облачные хранилища. Многие доверяют им даже ценную корпоративную информацию.

Что весьма опрометчиво, поскольку никто не несет персональную ответственность за сохранность ваших данных и защиту их от утечки.

Каким образом могут использовать злоумышленники похищенные данные?

Если речь идет о коммерческой тайне, практически ценной бизнес-информации, то такие сведения могут быть использованы с выгодой. Их просто-напросто продадут вашим конкурентам или недоброжелателям.

То же самое относится к конфиденциальной информации, которая вас может каким-то образом скомпрометировать в глазах общественности. Тогда злоумышленники могут начать шантажировать вас, угрожая обнародовать эти сведения или передать их в правоохранительные структуры.

Также подвержено риску использование для хранения важных сведений компьютерного оборудования, не снабженного актуальным противовирусным ПО.

Для того чтобы выявить уязвимости информационной системы, необходимо определить ключевые области защиты. То есть те сведения, которые надлежит охранять лучше всего.

В качестве объектов защиты выступать могут серверы, носители информации, каналы связи, базы данных, помещения, персональные компьютеры и даже люди.

После определения области и объектов защиты нужно применить к ним дифференцированные угрозы системе информационной безопасности с вероятностями их появления. Далее, по каждой угрозе следует выявить уязвимости информационной системы безопасности, существующие в ваших объектах защиты.

Так, реализация угрозы в виде нарушения доступа к серверам БД возникшего из-за вирусного заражения. Это возможно через уязвимость: наличие выхода в Интернет-сеть с данного сервера либо через уязвимость: отсутствие последних антивирусных обновлений на этом сервере.

Реализация угрозы: уничтожение важных документов из-за пожара возможна через уязвимость: отсутствие несгораемого шкафа, пожарной сигнализации в помещениях.

Реализация угрозы в виде нарушения конфиденциальности финансовой документации фирмы из-за копирования документов посторонним лицом через уязвимость: отсутствие систематизированного контроля доступа в помещения.

Иными словами, определив возможные уязвимости информацинных систем в вашей защите следует определить их критичность, зависимо от важности сведений, обрабатываемых в данной области защиты.

Критичность выражать лучше всего по какой-то шкале. К примеру, трех-пяти-бальной систем.

3 будет здесь критичная уязвимость, 2 — средняя уязвимость, а 1 — уязвимость низкая. Каждой сопоставленной угрозе уязвимости присваивается один из уровней критичности.

Правильно выбрать уровни критичности можно посредством опроса специалистов. Например, уязвимость: отсутствие антивирусного ПО на серверах с установленной ОС Linux либо на контроллере домена может расцениваться низкой, потому что это никак не скажется на критически важных сведениях.

А отсутствие дифференциации доступа к информационным системам в маркетинговых отделах может считаться высокой степенью уязвимости, потому как это может привести к утечке сведений с данной системы. В итоге у нас должно получиться подобие матрицы с защищаемыми объектами, угрозами существующей информационной безопасности, их вероятностными нарушениями, уязвимостями и их категориями критичности.