Файловый архив студентов. Файловый архив студентов.
1302 вуза, 5091 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Костромской государственный университет
Предмет:
Моделирование бизнес-процессов
Файл:

Модель уязвимостей

.docx
Скачиваний:
1
Добавлен:
02.06.2025
Размер:
22.14 Кб
Скачать

МИНОБРНАУКИ РОССИИ

Федеральное государственное бюджетное образовательное учреждение

высшего образования

"Костромской государственный университет"

(КГУ)

Институт «Высшая ИТ-школа»

Кафедра защиты информации

Направление 10.03.01 - Информационная безопасность,

профиль Организация и технология защиты информации

Лабораторная работа

«Модель уязвимостей»

Выполнил______________ Владимиров Пётр,

Литковец Михаил.

гр. 22-ИБбо-6

Проверила_______________ Виноградова Галина Леонидовна

Кострома

2024

Объект защиты

Код угрозы

Угрозы

Код уязвимости

Уязвимости

Серверная, регистратура, кабинет врача

УБИ. 074

Угроза несанкционированного доступа к аутентификационной информации

Слабые пароли и отсутствие требований к их сложности.

Использование небезопасных методов хранения паролей (например, хранение в текстовом формате).

Регистратура, кабинет врача

УБИ. 067

Угроза неправомерного ознакомления с защищаемой информацией

Недостаточный контроль доступа к данным.

Уязвимость в политике разграничения прав доступа.

Картотека, кабинет врача, регистратура

УБИ. 088

Угроза несанкционированного копирования защищаемой информации

Недостаточный контроль на уровне копирования и перемещения данных.

Серверная

УБИ. 073

Угроза несанкционированного доступа к активному и (или) пассивному сетевому оборудованию

Доступ к оборудованию без физической защиты

Использование стандартных паролей.

Отсутствие обновлений программного обеспечения.

Кабинет врача, регистратура

УБИ. 031

Угроза использования механизмов авторизации для повышения привилегий

Уязвимости в настройках прав доступа.

Недостаточный контроль за сессиями пользователей.

Серверная

УБИ. 134

Угроза потери доверия к поставщику облачных услуг

Недостаточная прозрачность политики безопасности.

Серверная

УБИ. 135

Угроза потери и утечки данных, обрабатываемых в облаке

Отсутствие шифрования в облачной инфраструктуре.

Отсутствие мер по восстановлению данных при их утрате.

Регистратура

УБИ. 175

Угроза «фишинга»

Отсутствие фильтров для фишинговых e-mail сообщений.

Недостаточная подготовка пользователей.

Регистратура, серверная

УБИ. 178

Угроза несанкционированного использования системных и сетевых утилит

Отсутствие контроля за выполнением команд в ОС.

Уязвимости в доступе к системным утилитам.

Серверная, регистратура, кабинет врача

УБИ. 195

Угроза удаленного запуска вредоносного кода в обход механизмов защиты операционной системы

Отсутствие регулярного обновления систем безопасности.

Метод экспертных оценок

Наименование уязвимости

Вероятность использования уязвимости

Средняя вероятность

Эксперт 1

Эксперт 2

Эксперт 3

Слабые пароли и отсутствие требований к их сложности.

0,7

0,6

0,9

0,73

Использование небезопасных методов хранения паролей

0,7

0,6

0,8

0,7

Недостаточный контроль доступа к данным.

0,7

0,9

0,8

0,8

Уязвимость в политике разграничения прав доступа.

0,5

0,4

0,7

0,6

Недостаточный контроль на уровне копирования и перемещения данных.

0,4

0,5

0,6

0,5

Доступ к оборудованию без физической защиты

0,3

0,2

0,4

0,3

Использование стандартных паролей.

0,4

0,5

0,6

0,5

Отсутствие обновлений программного обеспечения.

0,6

0,8

0,7

0,7

Уязвимости в настройках прав доступа.

0,9

0,9

0,9

0,9

Недостаточный контроль за сессиями пользователей.

0,6

0,7

0,5

0,6

Недостаточная прозрачность политики безопасности.

0,2

0,2

0,5

0,3

Отсутствие шифрования в облачной инфраструктуре.

0,7

0,7

0,8

0,73

Отсутствие мер по восстановлению данных при их утрате.

0,8

0,8

0,4

0,66

Отсутствие фильтров для фишинговых e-mail сообщений.

0,8

0,4

0,5

0,56

Недостаточная подготовка пользователей.

0,6

0,7

0,8

0,7

Отсутствие контроля за выполнением команд в ОС.

0,3

0,5

0,1

0,3

Уязвимости в доступе к системным утилитам.

0,1

0,2

0,4

0,23

Отсутствие регулярного обновления систем безопасности.

0,6

0,7

0,7

0,66

Список уязвимостей по убыванию вероятностей реализации угроз:

  1. Уязвимости в настройках прав доступа.

  2. Недостаточный контроль доступа к данным.

  3. Слабые пароли и отсутствие требований к их сложности.

  4. Отсутствие шифрования в облачной инфраструктуре.

  5. Недостаточная подготовка пользователей.

  6. Отсутствие обновлений программного обеспечения.

  7. Использование небезопасных методов хранения паролей.

  8. Отсутствие регулярного обновления систем безопасности.

  9. Отсутствие мер по восстановлению данных при их утрате.

  10. Недостаточный контроль за сессиями пользователей.

  11. Уязвимость в политике разграничения прав доступа

  12. Отсутствие фильтров для фишинговых e-mail сообщений.

  13. Использование стандартных паролей.

  14. Недостаточный контроль на уровне копирования и перемещения данных.

  15. Доступ к оборудованию без физической защиты

  16. Отсутствие контроля за выполнением команд в ОС.

  17. Недостаточная прозрачность политики безопасности.

  18. Уязвимости в доступе к системным утилитам.

Соседние файлы в предмете Моделирование бизнес-процессов
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности