Уязвимости
Уязвимости. Очевидно, что анализ угроз должен рассматриваться в тесной связи с уязвимостями исследуемой нами системы. Задачей данного этапа управления рисками является составление перечня возможных уязвимостей системы и категорирование этих уязвимостей с учетом их «силы».
Так, согласно общемировой практике, градацию уязвимостей можно разбить по уровням:
? критический;
? высокий;
? средний;
? низкий.
Источниками составления такого перечня/списка уязвимостей могут стать:
? общедоступные, регулярно публикуемые списки уязвимостей (к примеру, на www.securityLab.ru);
? список уязвимостей, публикуемых производителями ПО;
? результаты тестов на проникновение (проводится администратором безопасности внутри компании);
? анализ отчетов сканеров уязвимостей (проводится администратором безопасности внутри компании).
В общем случае уязвимости можно классифицировать следующим образом:
? уязвимости операционной системы и программного обеспечения (ошибки кода), обнаруженные производителем или независимыми экспертами;
? уязвимости системы, связанные с ошибками в администрировании (например, незакрытые межсетевым экраном порты с уязвимыми сервисами, общедоступные незаблокированные сетевые ресурсы C$, D$ и т. д.);
? уязвимости, источниками которых могут стать инциденты, непредусмотренные политикой безопасности, а также события стихийного характера.
В качестве яркого примера распространенной уязвимости операционных систем и программного обеспечения можно привести переполнение буфера (buffer overflow).
К слову будет сказано, абсолютное большинство из ныне существующих вредоносных программ реализуют класс уязвимостей на переполнение буфера.
Простейшая оценка информационных рисков заключается в расчете рисков, который выполняется с учетом сведений о критичности активов, а также вероятностей реализации уязвимостей.
Классическая формула оценки рисков:
R = D • P (V)
где R – информационный риск;
D – критичность актива (ущерб);
P (V) – вероятность реализации уязвимости.