МИНОБРНАУКИ РОССИИ
Санкт-Петербургский государственный
электротехнический университет
«ЛЭТИ» им. В.И. Ульянова (Ленина)
Кафедра информационной безопасности
ОТЧЕТ
по практической работе №5 по дисциплине «Основы информационной безопасности»
Тема: Изучение создания Модели угроз информационной безопасности
оцениваемой системы с помощью ПО РискМенеджер - Анализ v3.5.
Студент гр. |
|
Преподаватель |
|
Санкт-Петербург
2023
Модель угроз информационной безопасности оцениваемой системы |
||
Название модели: ПАО "НОВАТЭК" |
||
Регион: Москва |
||
ЛС: Производственная зона |
||
ПС: Лаборатория |
||
Объект: OC Windows |
||
|
Угрозы: |
|
|
|
Использование хакерами уязвимости SSL MS04-011 |
Объект: персональные компьютеры |
||
|
Угрозы: |
|
|
|
Пользователь осуществляет действия не предусмотренные инструкциями и тем самым наносит ущерб функционированию системы |
|
|
Ошибки в инструкциях и документации |
|
NST_AE.1 |
Неправ.вв.дан.пользов.вызывает непр.функц.системы |
|
NST_AMR |
Администратор ошибочно делает важные ресурсы недоступными легальным пользователям |
|
NST_AP.1 |
Администратор устанавливает параметры таким образом, что в ИС может возникнуть перегрузка |
|
ИСА_ПП.1 |
Обслуживающий персонал не обучен быстрому скоординированному решению возникшей проблемы |
|
ИСА_ПАР.1 |
Слабые пароли |
|
ИСА_ПРС.2 |
Персонал записывает и хранит пароли на бумаге и т.п., что делает возм. хищ. этих записей и последующее НСД нарушителей |
|
ИСА_ПРС.3 |
Персонал забывает пароли |
ПС: Производственный цех |
||
Объект: система управления станками |
||
|
Угрозы: |
|
|
ГТК_1.1.1 |
Несанкционированный вход в систему с осуществлением НСД к устройствам системы, программам и ИР на МН |
|
ГТК_2.1.1 |
Анонимный вход/выход из системы или анонимный запуск и прекращение ее работы. |
|
ГТК_2.2 |
Хищение носителей информации |
|
ГТК_4.1 |
Встраивание в ПО средств позволяющих обойти или модифицировать систему защиты информации |
|
ГТК_4.2 |
НСД к ОО посторонних лиц |
|
ГТК_4.4. |
Неявная модификация СЗИ НСД, таким образом, что СЗИ НСД перестают выполнять свои функции в полном объеме. |
|
ГТК_4.5 |
Выход из строя ПО СЗИ НСД |
|
ИСА_МЭ |
Недостаточная эффективность средств межсетевой защиты |
Объект: Водяные АУПТ |
||
|
Угрозы: |
|
|
|
Угроза невозможности со стороны руководства обеспечить ИБ АИС |
|
|
Отсутствие системы ответственности за безопасность информационных ресурсов |
|
|
Неготовность организации к работе во внештатных ситуациях |
|
|
Игнорирование требований политики безопасности сотрудниками организации |
|
|
Нарушение безопасного функционирования АИС при проведении аудита |
ПС: Энергетическая система |
||
Объект: система отопления |
||
|
Угрозы: |
|
|
|
Отсутствие политики безопасности или недостаточно продуманная политика безопасности (Т 2.1) |
|
|
Недостоточное усвоение персоналом политики безопасности (Т 2.2.) |
|
|
Недостаток ресурсов, или его неадекватность стоящим задачам (Т 2.3) |
|
|
Отсутствие мониторинга степени защищенности АИС (T 2.4) |
Объект: генераторы |
||
|
Угрозы: |
|
|
|
Угроза соединения компьютерных сетей двух разных фирм без решения вопросов безопасности. |
|
|
Отсутствие политики безопасности или недостаточно продуманная политика безопасности (Т 2.1) |
|
|
Недостоточное усвоение персоналом политики безопасности (Т 2.2.) |
|
|
Недостаток ресурсов, или его неадекватность стоящим задачам (Т 2.3) |
|
|
Отсутствие мониторинга степени защищенности АИС (T 2.4) |
Объект: электрическая вентиляция |
||
|
Угрозы: |
|
|
|
Отсутствие политики безопасности или недостаточно продуманная политика безопасности (Т 2.1) |
|
|
Недостоточное усвоение персоналом политики безопасности (Т 2.2.) |
|
|
Недостаток ресурсов, или его неадекватность стоящим задачам (Т 2.3) |
|
|
Отсутствие мониторинга степени защищенности АИС (T 2.4) |
Объект: система кондиционирование воздуха |
||
|
Угрозы: |
|
|
|
Отсутствие политики безопасности или недостаточно продуманная политика безопасности (Т 2.1) |
|
|
Недостоточное усвоение персоналом политики безопасности (Т 2.2.) |
|
|
Недостаток ресурсов, или его неадекватность стоящим задачам (Т 2.3) |
|
|
Отсутствие мониторинга степени защищенности АИС (T 2.4) |
ПС: Складское хозяйство |
||
Объект: склад готовой продукции |
||
|
Угрозы: |
|
|
|
Отсутствие политики безопасности или недостаточно продуманная политика безопасности (Т 2.1) |
|
|
Недостоточное усвоение персоналом политики безопасности (Т 2.2.) |
|
|
Недостаток ресурсов, или его неадекватность стоящим задачам (Т 2.3) |
|
|
Отсутствие мониторинга степени защищенности АИС (T 2.4) |
Объект: склад сырья и компонентов |
||
|
Угрозы: |
|
|
|
Отсутствие политики безопасности или недостаточно продуманная политика безопасности (Т 2.1) |
|
|
Недостоточное усвоение персоналом политики безопасности (Т 2.2.) |
|
|
Недостаток ресурсов, или его неадекватность стоящим задачам (Т 2.3) |
|
|
Отсутствие мониторинга степени защищенности АИС (T 2.4) |
ПС: Охранно-пожарная система |
||
Объект: система пожарной сигнализации |
||
|
Угрозы: |
|
|
|
Угроза невозможности со стороны руководства обеспечить ИБ АИС |
|
|
Отсутствие системы ответственности за безопасность информационных ресурсов |
|
|
Неготовность организации к работе во внештатных ситуациях |
|
|
Игнорирование требований политики безопасности сотрудниками организации |
|
|
Нарушение безопасного функционирования АИС при проведении аудита |
Объект: контроль доступа к помещениям компании |
||
|
Угрозы: |
|
|
|
Угроза невозможности со стороны руководства обеспечить ИБ АИС |
|
|
Отсутствие системы ответственности за безопасность информационных ресурсов |
|
|
Неготовность организации к работе во внештатных ситуациях |
|
|
Игнорирование требований политики безопасности сотрудниками организации |
|
|
Нарушение безопасного функционирования АИС при проведении аудита |
Объект: камеры видеонаблюдения |
||
|
Угрозы: |
|
|
|
Угроза невозможности со стороны руководства обеспечить ИБ АИС |
|
|
Отсутствие системы ответственности за безопасность информационных ресурсов |
|
|
Неготовность организации к работе во внештатных ситуациях |
|
|
Использование нелицензионного ПО |
|
|
Игнорирование требований политики безопасности сотрудниками организации |
|
|
Нарушение безопасного функционирования АИС при проведении аудита |
Объект: Водяные АУПТ |
||
|
Угрозы: |
|
|
|
Угроза невозможности со стороны руководства обеспечить ИБ АИС |
|
|
Отсутствие системы ответственности за безопасность информационных ресурсов |
|
|
Неготовность организации к работе во внештатных ситуациях |
|
|
Игнорирование требований политики безопасности сотрудниками организации |
ПС: Бухгалтерия |
||
Объект: Финансовые данные |
||
|
Угрозы: |
|
|
ГТК_1.1.1 |
Несанкционированный вход в систему с осуществлением НСД к устройствам системы, программам и ИР на МН |
|
ГТК_2.1.1 |
Анонимный вход/выход из системы или анонимный запуск и прекращение ее работы. |
|
ГТК_2.2 |
Хищение носителей информации |
|
ГТК_4.1 |
Встраивание в ПО средств позволяющих обойти или модифицировать систему защиты информации |
|
ГТК_4.2 |
НСД к ОО посторонних лиц |
|
ГТК_4.4. |
Неявная модификация СЗИ НСД, таким образом, что СЗИ НСД перестают выполнять свои функции в полном объеме. |
|
ГТК_4.5 |
Выход из строя ПО СЗИ НСД |
|
ИСА_МЭ |
Недостаточная эффективность средств межсетевой защиты |
ЛС: центральный офис |
||
ПС: Процесс обработки |
||
Объект: Ввод информации |
||
|
Угрозы: |
|
|
|
Пользователь осуществляет действия не предусмотренные инструкциями и тем самым наносит ущерб функционированию системы |
|
|
Ошибки в инструкциях и документации |
|
NST_AE.1 |
Неправ.вв.дан.пользов.вызывает непр.функц.системы |
|
NST_AMR |
Администратор ошибочно делает важные ресурсы недоступными легальным пользователям |
|
NST_AP.1 |
Администратор устанавливает параметры таким образом, что в ИС может возникнуть перегрузка |
|
ИСА_ПП.1 |
Обслуживающий персонал не обучен быстрому скоординированному решению возникшей проблемы |
ПС: информационная защита |
||
Объект: Вэб-сайт |
||
|
Угрозы: |
|
|
|
Нарушение ИБ Web-сервера CGI-программой |
|
WWW_SRV.1 |
Взлом веб-сервера |
|
WWW_SRV.2 |
Анализ хакерами полей "Server" заголовков ответа Web-сервера и выявление версий ПО серверов, с целью послед. атаки |
|
ИСА_ЗАП |
Запаздывание в установке заплат "patch" и "hotfix" в операционные системы и обновление версий ОС |
|
ИСА_ОВО.1 |
Восприимчивость к атакам потоков требований вызывающих отказ в обслуживании легальных пользователей |
|
ИСА_ОНС.2 |
Небезопасная настройка web-серверов |
|
ИСА_ПП.1 |
Обслуживающий персонал не обучен быстрому скоординированному решению возникшей проблемы |
|
|
Диапазонная проверка по ping |
|
|
Угроза атаки провоцирования отказа в обслуживании (DoS - атаки) |
|
|
Сбор сведений о системе, на которую говится атака с помощью запросов ICMP |
|
|
Сканирование портов для сетевых подключений |
|
|
Угроза идентификации используемой операционной системы со стороны злоумышленника |
|
|
Применение атакующим автоматизированных средств исследования |
|
ИСА_DNS.1 |
Угроза атак посредством создания ложного DNS-сервера в сети. |
|
ИСА_ICM.1 |
Угроза межсегментных атак посредством использования изменений маршрута передачи пакетов, базирующихся на протоколе ICMP |
|
ИСА_ICM.2 |
Угроза внутрисегмент. атак посредством использования изменений маршрута передачи пакетов, базирующихся на протоколе ICMP |
|
ИСА_TCP.1 |
Нарушение роботоспособности атакуемого хоста посредством наводнения TCP-запросами (TCP SYN flooding) |
|
ИСА_TCP.2 |
Ошибки в использовании сетевых служб (r-login, rsh) |
|
ИСА_АСТ.1 |
Угроза атаки посредством анализа сетевого трафика (Network traffic sniffing) |
|
ИСА_ЛАС.1 |
Угроза атаки посредством создания в локальной сети сети ложного ARP-сервера |
|
|
Заражение вирусами SirCam и Code Red |
|
|
НСД к ресурсам Web-сервера |
|
|
Заражение вредоносным ПО WWW |
|
|
Отказ в обслуживании в WWW |
|
|
Раскр. конф инф. клиента в WWW |
|
|
Атаки на сеть организации из Интернет и на внешние сети, злоумышленником находящимся внутри организации |
|
|
Злоупотребление сотрудников доступом к Интренету |
Объект: Система криптографической аутентификации пользователей |
||
|
Угрозы: |
|
|
|
Пользователь случайно по ошибке удаляет важные данные |
|
|
Изготовленного количества криптографических ключей не хватает |
|
|
Несоблюдение правил по своевременному выведениию из использования скомпрометированных ключей |
|
|
Недостаточная стойкость СКЗИ |
|
ИСА_СКЗ.1 |
Перегрузка программно-аппаратного комплекса подсистемы СКЗИ |
|
ГТК_3.3 |
Недостаточная надежность СКЗИ |
|
|
Пользователь осуществляет действия не предусмотренные инструкциями и тем самым наносит ущерб функционированию системы |
|
|
Ошибки в инструкциях и документации |
|
NST_AE.1 |
Неправ.вв.дан.пользов.вызывает непр.функц.системы |
|
NST_AMR |
Администратор ошибочно делает важные ресурсы недоступными легальным пользователям |
|
NST_AP.1 |
Администратор устанавливает параметры таким образом, что в ИС может возникнуть перегрузка |
|
ИСА_ПП.1 |
Обслуживающий персонал не обучен быстрому скоординированному решению возникшей проблемы |
Объект: Идентификация и аутентификация |
||
|
Угрозы: |
|
|
|
Обход злоумышленником защитных средств |
|
|
Осуществление злоумышленником физического доступа к вычислительной установке, на которой функционирует сервис безопаснос |
|
|
Ошибки администрирования, в частности, неправильная установка, ошибки при конфигурировании и т.п. |
|
|
Переход сервиса в небезопасное состояние в результате сбоя или отказа, при начальной загрузке, в процессе или после пере |
|
|
Маскарад пользователя (попытка злоумышленника выдать себя за уполномоченного пользователя, в частности, за администратор |
|
|
Маскарад сервера (попытка злоумышленника выдать свою систему за легальный сервер) |
|
|
Использование злоумышленником чужого сетевого соединения или интерактивного сеанса (например, путем доступа к оставленно |
|
|
Несанкционированное изменение злоумышленником конфигурации сервиса и/или конфигурационных данных. |
|
|
Нарушение целостности программной конфигурации сервиса, в частности, внедрение троянских компонентов или получение контр |
|
|
Несанкционированный доступ к конфиденциальной (например, регистрационной) информации, в том числе несанкционированное ра |
|
|
Несанкционированное изменение данных (например, регистрационной информации), в том числе таких, целостность которых защи |
|
|
Несанкционированный доступ к данным (на чтение и/или изменение) в процессе их передачи по сети. |
|
|
Анализ потоков данных с целью получения конфиденциальной информации |
|
|
Перенаправление потоков данных (в частности, на системы, контролируемые злоумышленником). |
|
|
Блокирование потоков данных. |
|
|
Повреждение или утрата регистрационной, конфигурационной или иной информации, влияющей на безопасность функционирования |
|
|
Агрессивное потребление злоумышленником ресурсов, в частности, ресурсов протоколирования и аудита, а также полосы пропус |
|
|
Сохранение остаточной информации в многократно используемых объектах. |
Объект: Сервер HPE DL360 GEN10 4LFF |
||
|
Угрозы: |
|
|
|
Недостаточная надежность системы резервного электроснабжения оборудования АИС |
|
|
Отсутствие системы мониторинга и управления ИБП |
|
|
Отсутствие системы защиты серверов от скачков напряжения |
|
|
Скачки напряжения в электросети |
|
ГТК_1.1.1 |
Несанкционированный вход в систему с осуществлением НСД к устройствам системы, программам и ИР на МН |
|
ГТК_2.1.1 |
Анонимный вход/выход из системы или анонимный запуск и прекращение ее работы. |
|
ГТК_2.2 |
Хищение носителей информации |
|
ГТК_4.1 |
Встраивание в ПО средств позволяющих обойти или модифицировать систему защиты информации |
|
ГТК_4.2 |
НСД к ОО посторонних лиц |
|
ГТК_4.4. |
Неявная модификация СЗИ НСД, таким образом, что СЗИ НСД перестают выполнять свои функции в полном объеме. |
|
ГТК_4.5 |
Выход из строя ПО СЗИ НСД |
Объект: маршрутизатор Cisco |
||
|
Угрозы: |
|
|
|
Несанкционированный доступ через сервер HTTP |
ПС: Персонал |
||
Объект: антивирус Symantec |
||
|
Угрозы: |
|
|
|
Угроза ЭМ |
Объект: персональный компьютер |
||
|
Угрозы: |
|
|
|
Пользователь осуществляет действия не предусмотренные инструкциями и тем самым наносит ущерб функционированию системы |
|
|
Ошибки в инструкциях и документации |
|
NST_AE.1 |
Неправ.вв.дан.пользов.вызывает непр.функц.системы |
|
NST_AMR |
Администратор ошибочно делает важные ресурсы недоступными легальным пользователям |
|
NST_AP.1 |
Администратор устанавливает параметры таким образом, что в ИС может возникнуть перегрузка |
|
ИСА_ПП.1 |
Обслуживающий персонал не обучен быстрому скоординированному решению возникшей проблемы |
|
ИСА_ПАР.1 |
Слабые пароли |
|
ИСА_ПРС.2 |
Персонал записывает и хранит пароли на бумаге и т.п., что делает возм. хищ. этих записей и последующее НСД нарушителей |
|
ИСА_ПРС.3 |
Персонал забывает пароли |
Объект: ОС Windows |
||
|
Угрозы: |
|
|
|
Использование хакерами уязвимости SSL MS04-011 |
Объект: GPU-сервер |
||
|
Угрозы: |
|
|
|
Недостаточная надежность системы резервного электроснабжения оборудования АИС |
|
|
Отсутствие системы мониторинга и управления ИБП |
|
|
Отсутствие системы защиты серверов от скачков напряжения |
|
|
Скачки напряжения в электросети |
|
ГТК_1.1.1 |
Несанкционированный вход в систему с осуществлением НСД к устройствам системы, программам и ИР на МН |
|
ГТК_2.1.1 |
Анонимный вход/выход из системы или анонимный запуск и прекращение ее работы. |
|
ГТК_2.2 |
Хищение носителей информации |
|
ГТК_4.1 |
Встраивание в ПО средств позволяющих обойти или модифицировать систему защиты информации |
|
ГТК_4.2 |
НСД к ОО посторонних лиц |
|
ГТК_4.4. |
Неявная модификация СЗИ НСД, таким образом, что СЗИ НСД перестают выполнять свои функции в полном объеме. |
|
ГТК_4.5 |
Выход из строя ПО СЗИ НСД |
ПС: Система электроннной торговли |
||
Объект: Вэб-сервер |
||
|
Угрозы: |
|
|
|
Нарушение ИБ Web-сервера CGI-программой |
|
WWW_SRV.1 |
Взлом веб-сервера |
|
WWW_SRV.2 |
Анализ хакерами полей "Server" заголовков ответа Web-сервера и выявление версий ПО серверов, с целью послед. атаки |
|
ИСА_ЗАП |
Запаздывание в установке заплат "patch" и "hotfix" в операционные системы и обновление версий ОС |
|
ИСА_ОВО.1 |
Восприимчивость к атакам потоков требований вызывающих отказ в обслуживании легальных пользователей |
|
ИСА_ОНС.2 |
Небезопасная настройка web-серверов |
|
ИСА_ПП.1 |
Обслуживающий персонал не обучен быстрому скоординированному решению возникшей проблемы |
|
|
Диапазонная проверка по ping |
|
|
Угроза атаки провоцирования отказа в обслуживании (DoS - атаки) |
|
|
Сбор сведений о системе, на которую говится атака с помощью запросов ICMP |
|
|
Сканирование портов для сетевых подключений |
|
|
Угроза идентификации используемой операционной системы со стороны злоумышленника |
|
|
Применение атакующим автоматизированных средств исследования |
|
ИСА_DNS.1 |
Угроза атак посредством создания ложного DNS-сервера в сети. |
|
ИСА_ICM.1 |
Угроза межсегментных атак посредством использования изменений маршрута передачи пакетов, базирующихся на протоколе ICMP |
|
ИСА_ICM.2 |
Угроза внутрисегмент. атак посредством использования изменений маршрута передачи пакетов, базирующихся на протоколе ICMP |
|
ИСА_TCP.1 |
Нарушение роботоспособности атакуемого хоста посредством наводнения TCP-запросами (TCP SYN flooding) |
|
ИСА_TCP.2 |
Ошибки в использовании сетевых служб (r-login, rsh) |
|
ИСА_АСТ.1 |
Угроза атаки посредством анализа сетевого трафика (Network traffic sniffing) |
|
ИСА_ЛАС.1 |
Угроза атаки посредством создания в локальной сети сети ложного ARP-сервера |
|
|
Заражение вирусами SirCam и Code Red |
|
|
НСД к ресурсам Web-сервера |
|
|
Заражение вредоносным ПО WWW |
|
|
Отказ в обслуживании в WWW |
|
|
Раскр. конф инф. клиента в WWW |
|
|
Атаки на сеть организации из Интернет и на внешние сети, злоумышленником находящимся внутри организации |
|
|
Злоупотребление сотрудников доступом к Интренету |
Объект: ОС Windows |
||
|
Угрозы: |
|
|
|
Атаки на ОС Windows 98 |
Объект: Сервер HP DL580 GEN9 |
||
|
Угрозы: |
|
|
|
Недостаточная надежность системы резервного электроснабжения оборудования АИС |
|
|
Отсутствие системы мониторинга и управления ИБП |
|
|
Отсутствие системы защиты серверов от скачков напряжения |
|
|
Скачки напряжения в электросети |
|
ГТК_1.1.1 |
Несанкционированный вход в систему с осуществлением НСД к устройствам системы, программам и ИР на МН |
|
ГТК_2.1.1 |
Анонимный вход/выход из системы или анонимный запуск и прекращение ее работы. |
|
ГТК_2.2 |
Хищение носителей информации |
|
ГТК_4.1 |
Встраивание в ПО средств позволяющих обойти или модифицировать систему защиты информации |
|
ГТК_4.2 |
НСД к ОО посторонних лиц |
|
ГТК_4.4. |
Неявная модификация СЗИ НСД, таким образом, что СЗИ НСД перестают выполнять свои функции в полном объеме. |
|
ГТК_4.5 |
Выход из строя ПО СЗИ НСД |
ЛС: серверная часть |
||
ПС: сервера |
||
Объект: Сервер Dell EMC PowerEdge R740 (2U) |
||
|
Угрозы: |
|
|
ИСА_НПС |
Сбои в функционировании из-за недостаточной производительности серверов |
|
ГТК_1.1.1 |
Несанкционированный вход в систему с осуществлением НСД к устройствам системы, программам и ИР на МН |
|
ГТК_2.1.1 |
Анонимный вход/выход из системы или анонимный запуск и прекращение ее работы. |
|
ГТК_2.2 |
Хищение носителей информации |
|
ГТК_4.1 |
Встраивание в ПО средств позволяющих обойти или модифицировать систему защиты информации |
|
ГТК_4.2 |
НСД к ОО посторонних лиц |
|
ГТК_4.4. |
Неявная модификация СЗИ НСД, таким образом, что СЗИ НСД перестают выполнять свои функции в полном объеме. |
|
ГТК_4.5 |
Выход из строя ПО СЗИ НСД |
Регион: Новомосковск Тульская область |
||
ЛС: НАК "Азот" |
||
ПС: лаборатория |
||
Объект: производство Азотных удобрений |
||
|
Угрозы: |
|
|
|
Отсутствие политики безопасности или недостаточно продуманная политика безопасности (Т 2.1) |
|
|
Недостоточное усвоение персоналом политики безопасности (Т 2.2.) |
|
|
Недостаток ресурсов, или его неадекватность стоящим задачам (Т 2.3) |
|
|
Отсутствие мониторинга степени защищенности АИС (T 2.4) |
Регион: Северо-запад России |
||
ЛС: Северо-запад России |
||
ПС: Добыча и обработка |
||
Объект: Фосфорит |
||
|
Угрозы: |
|
|
|
Отсутствие политики безопасности или недостаточно продуманная политика безопасности (Т 2.1) |
|
|
Недостоточное усвоение персоналом политики безопасности (Т 2.2.) |
|
|
Недостаток ресурсов, или его неадекватность стоящим задачам (Т 2.3) |
|
|
Отсутствие мониторинга степени защищенности АИС (T 2.4) |
Регион: Юг России |
||
ЛС: Евро-Хим-БМУ |
||
ПС: производство |
||
Объект: фосфорное удобрение |
||
|
Угрозы: |
|
|
|
Отсутствие политики безопасности или недостаточно продуманная политика безопасности (Т 2.1) |
|
|
Недостоточное усвоение персоналом политики безопасности (Т 2.2.) |
|
|
Недостаток ресурсов, или его неадекватность стоящим задачам (Т 2.3) |
|
|
Отсутствие мониторинга степени защищенности АИС (T 2.4) |
Объект: комплексное удобрение |
||
|
Угрозы: |
|
|
|
Отсутствие политики безопасности или недостаточно продуманная политика безопасности (Т 2.1) |
|
|
Недостоточное усвоение персоналом политики безопасности (Т 2.2.) |
|
|
Недостаток ресурсов, или его неадекватность стоящим задачам (Т 2.3) |
|
|
Отсутствие мониторинга степени защищенности АИС (T 2.4) |