3. Шпионаж.

1. Разглашение конфиденциальной информации сотрудниками компании.

• Отсутствие штатного психолога в компании.

• Неблагоприятный психологический климат в компании, несоблюдение норм социальной и деловой этики.

• Распределения атрибутов безопасности (ключи доступа, шифрование) между несколькими доверенными сотрудниками.

• Разделения административных обязанностей по управлению и поддержке различных сервисов.

• Отсутствует адекватная оценка труда сотрудников.

• Отсутствие соглашений о конфиденциальности.

• Отсутствие нормативных документов, определяющих ответственность за разглашение конфиденциальной информации.

• Неформальные отношения с недоверенными сотрудниками.

2. Модификация (удаление) информации сотрудниками компании.

• Отсутствие штатного психолога в компании.

• Неблагоприятный психологический климат в компании, несоблюдение норм социальной и деловой этики.

• Распределения атрибутов безопасности (ключи доступа, шифрование) между несколькими доверенными сотрудниками.

• Разделения административных обязанностей по управлению и поддержке различных сервисов.

• Отсутствует адекватная оценка труда сотрудников.

• Отсутствие соглашений о конфиденциальности.

• Отсутствие нормативных документов, определяющих ответственность за разглашение конфиденциальной информации.

• Неформальные отношения с недоверенными сотрудниками.

3. Подлог недостоверной информации сотрудниками компании

• Отсутствие штатного психолога в компании.

• Неблагоприятный психологический климат в компании, несоблюдение норм социальной и деловой этики.

• Распределения атрибутов безопасности (ключи доступа, шифрование) между несколькими доверенными сотрудниками.

• Разделения административных обязанностей по управлению и поддержке различных сервисов.

• Отсутствует адекватная оценка труда сотрудников.

• Отсутствие соглашений о конфиденциальности.

• Отсутствие нормативных документов, определяющих ответственность за разглашение конфиденциальной информации.

• Неформальные отношения с недоверенными сотрудниками.

4. Неумышленные действия.

1. Нарушение конфиденциальности информации в результате неумышленных действий.

• Отсутствие в компании системы защищенного документооборота.

• Должностные инструкции не включают ответственность за неумышленные действия.

• Отсутствие обязательного информирования персонала о нормативных документах, определяющих действия с конфиденциальной информацией.

• Не выполняется регулярная проверка действующих прав пользователей на доступ к информационным ресурсам.

• Отсутствие обязательной авторизации для доступа к конфиденциальной информации.

• Отсутствие маркеров конфиденциальности (грифов) на документах, содержащих конфиденциальные сведения.

2. Неумышленное нарушение целостности (модификация) информации

• Отсутствие систем резервирования.

• Отсутствие систем контроля целостности.

• Отсутствие в компании системы защищенного документооборота.

• Должностные инструкции не включают ответственность за неумышленные действия.

• Отсутствие обязательного информирования персонала о нормативных документах, определяющих действия с конфиденциальной информацией.

• Не выполняется регулярная проверка действующих прав пользователей на доступ к информационным ресурсам.

• Отсутствие обязательной авторизации для модификации конфиденциальной информации.

Но т.к. система резервирования присутствует в ИС, то этой уязвимости на ресурсе нет.

3. Неумышленное удаление критически важной информации.

• Отсутствие систем резервирования.

• Отсутствие в компании системы защищенного документооборота.

• Должностные инструкции не включают ответственность за неумышленные действия.

• Отсутствие обязательного информирования персонала о нормативных документах, определяющих действия с конфиденциальной информацией.

• Не выполняется регулярная проверка действующих прав пользователей на доступ к информационным ресурсам.

• Отсутствие обязательной авторизации для удаления информации.

Но т.к. система резервирования присутствует в ИС, то этой уязвимости на ресурсе нет.