Анализ уязвимостей информационной системы

Уязвимость информационной системы – недостаток или слабое место в системном или прикладном программном (программно-аппаратном) обеспечении автоматизированной информационной системы, которые могут быть использованы для реализации угрозы безопасности информации.

Основной уязвимостью является человеческий фактор. Так как сотрудники сами выбирают пароли для доступа к информационным ресурсам, одной из уязвимостей является то, что они для своего удобства выбирают легкие, либо связанные с их жизнью пароли, например, qwerty123 либо различные сочетания имени, фамилии и даты рождения, что может позволить злоумышленнику получить доступ к информации. Также многие сотрудники не осознают всей важности выполнения всех требований информационной безопасности, таких как выход из своего аккаунта при отлучении от своего рабочего места даже на небольшой промежуток времени, работа с конфиденциальной информацией только в предназначенных для этого местах и т.п.

Уязвимостью является открытый доступ в интернет с рабочих станций персонала. Не всегда своевременное обновления программного обеспечения также становится угрозой для информационной системы, в частности для АБС.

Анализ злоумышленников

По отношению к Банку нарушители могут быть разделены на внешних и внутренних нарушителей.

В качестве потенциальных внутренних нарушителей Банком рассматриваются:

- сотрудники Банка;

- персонал, обслуживающий технические средства корпоративной

информационной системы Банка;

- сотрудники самостоятельных структурных подразделений, обеспечивающие безопасность Банка;

- руководители различных уровней.

В качестве потенциальных внешних нарушителей Банком рассматриваются:

- бывшие сотрудники Банка;

- клиенты Банка;

- конкурирующие с Банком кредитные организации;

- лица, случайно или умышленно проникшие в корпоративную информационную систему Банка из внешних телекоммуникационных сетей (хакеры).

Рассмотрим нарушителей подробнее:

Хакер – имеет возможность получить доступ к информационной системе извне, с помощью сбоя в работе ПО либо через сотрудников, вероятность реализации средняя

Сотрудник, обслуживающий АБС – имеет непосредственный доступ к информационной системе предприятия, конфиденциальной информации, но так как присутствует система регистрации действий пользователей, вероятность реализации этой угрозы средняя.

Охранник – имеет доступ к системам защиты (видеокамеры, сигнализация) и может пропустить нарушителя во внутренние помещения, но не имеет доступа к конфиденциальной информации.

Руководитель отделения – имеет самый высокий уровень доступа, практически во все помещения, но редко преследует цель нарушить работу отделения, вероятность угрозы средняя.

Операционно-кассовый сотрудник – имеет доступ к кассе, может похитить денежные средства, но основная их масса находится во внутреннем хранилище куда доступа он не имеет. Вероятность высокая, но ущерб незначителен.

Бывшие сотрудники отделения – после увольнения могут иметь желание навредить либо получить личную выгоду, но ценность похищенной ими информации после их увольнения может упасть в связи с прошедшим временем. Вероятность низкая.

Клиенты – могут подделать денежные средства, платежные карты, документы с целью обогащения, но реализовать угрозу могут лишь при невнимательности сотрудников. Вероятность низкая.

Нарушитель/ злоумышленник угроза Причина (цель) ресурс Вероятность угрозы последствия
Хакер Проникновений в информационную сеть банка(АБС) и хищение конфиденциальной информации, денежных средств, вывод из строя АБС Материальное обогащение, самоутверждение, завладение информацией, желание нанести вред Базы данных, денежные средства, документы Средняя Материальные потери, потеря репутации, нарушение нормального функционирования отделения.
Сотрудник, обслуживающий АБС Незаконное копирование конфиденциальной информации с целью продажи сторонним лицам (конкурентам) Материальное обогащение Базы данных, документы Средняя Материальные потери, потеря репутации, нарушение нормального функционирования отделения
Охранник Отключение камер видеонаблюдения, сигнализации, пропуск на территорию неавторизованного персонала Материальное обогащение Имущество банка, денежные средства Средняя Материальные потери, нарушение нормального функционирования отделения
Руководитель отделения Незаконное копирование конфиденциальной информации с целью продажи сторонним лицам (конкурентам), хищение денежных средств Материальное обогащение Базы данных, документы, имущество банка, денежные средства Средняя Материальные потери, потеря репутации, нарушение нормального функционирования отделения
Операционно-кассовый сотрудник Хищение денежных средств Материальное обогащение Денежные средства Высокая Материальные потери
Бывшие сотрудники отделения Незаконное копирование конфиденциальной информации с целью продажи сторонним лицам (конкурентам) после увольнения Материальное обогащение, желание отомстить Базы данных, документы Низкая Материальные потери, потеря репутации, нарушение нормального функционирования отделения
Клиенты Подделка носителей информации, денежных средства Материальное обогащение Платежные карты, денежные средства, документы Низкая Материальные потери