Перечень актуальных уязвимостей

Код	Уязвимости	(k1)f	(k2)f	(k3)f	(Kоп)f
[A.II.a.4]	аппаратные закладки, устанавливаемые в технических средствах	5	4	5	0,51
[A.II.b.1]	вредоносные программы	5	5	5	0,64
[A.IV.a.1]	отсутствие контролируемой зоны	4	5	4	0,50
[A.IV.a.2]	наличие прямой видимости объектов	4	4	4	0,40
[A.IV.b.2]	использование глобальных информационных сетей	5	5	5	0,78
[A.IV.b.3]	использование арендуемых каналов	3	5	4	0,37
[B.I.a.2]	ошибки при инсталляции и загрузке программного обеспечения	3	4	5	0,39
[B.I.a.3]	ошибки при эксплуатации программного обеспечения	4	5	5	0,66
[B.I.b.1]	ошибки при включении/выключении технических средств	3	5	5	0,50
[B.I.c.3]	ошибки при организации управления потоками обмена информации	3	4	3	0,23
[B.I.d.2]	повреждение (удаление) данных	5	5	5	0,83
[B.I.d.3]	повреждение (уничтожение) носителей информации	5	4	4	0,53
[B.II.a.2]	нарушения доступа к техническим средствам	5	4	5	0,62
[B.II.a.3]	нарушения соблюдения конфиденциальности	4	4	4	0,39
[C.I.c.1]	сбои операционных систем и СУБД	4	5	4	0,56
[C.I.c.4]	сбои антивирусных программ	4	4	4	0,45

Перечень актуальных угроз

Угрозы
Хищение информации и средств её обработки
Утрата информации, средств её обработки
Искажение информации
Отрицание подлинности информации
Навязывание ложной информации
Блокирование информации
Уничтожение информации и средств её обработки
	Перечень возможных атак Код атаки Код источника угрозы Код метода реализации Код уязвимости При реализации угрозы «Хищение» [I.A.1] [M2.A.04] [B.I.d.4] [I.A.2] [M1.B.03] [B.II.c.2] [I.A.3] [M3.A.09] [B.III.a.4] [I.B.1] [M2.B.01] [A.II.a.3] При реализации угрозы «Утрата» [I.B.1] [M3.A.04] [A.IV.b.2] [I.B.2] [M3.A.05] [B.I.b.1] [I.B.2] [M4.A.05] [B.III.a.4] При реализации угрозы «Блокирование» [I.A.1] [M3.A.07] [B.I.c.5] [I.A.2] [M3.A.01] [B.III.a.3] [I.A.4] [M3.A.08] [B.I.c.4] [I.B.2] [M3.A.10] [B.II.a.2] При реализации угрозы «Модификации» [I.A.1] [M3.A.07] [B.I.d.1] [I.A.2] [M3.A.11] [B.I.a.3] При реализации угрозы «Отрицание» [I.A.1] [M3.A.08] [B.I.c.5] [I.A.3] [M3.A.10] [B.III.a.4] При реализации угрозы «Навязывание» [I.A.1] [M3.A.05] [C.I.c.2] [I.A.2] [M3.A.10] [A.II.b.1] [I.A.4] [M3.A.01] [B.I.c.5] [I.B.2] [M3.A.10] [B.III.b.2]

Выводы

Несмотря на то, что методика Вихорева была разработана еще в начале 2000-х, она еще остается актуальным инструментом оценки, т.к. предприятие рассматривается достаточно подробно и всесторонне.

В результате выполнения работы был произведен анализ уязвимостей и анализ возможных вариантов атак. При анализе атак рассматриваются перечни вариантов возможных атак, приведенные в таблице “Ориентировочная оценка степени опасности уязвимостей”, при этом из данного перечня исключаются разделы атак, соответствующие реализации неактуальных угроз, полученных в результате выбора приоритетов целей ИБ и ранжирования угроз. При проведении анализа актуальных уязвимостей, учитывается, что некоторые уязвимости всегда присутствуют в силу объективных обстоятельств и не могут быть исключены из рассмотрения ни при каких обстоятельствах.