- •Лабораторная работа № 5. Технология оценки угроз и уязвимостей
- •Оценка факторов риска использования чужого идентификатора сотрудниками организации («маскарад»)
- •Оценка угрозы
- •Степень угрозы при количестве баллов
- •Оценка уязвимости
- •Степень уязвимости при количестве баллов
- •Возможности и ограничения данного подхода
Степень угрозы при количестве баллов
До 9 |
Очень низкая |
От 10 до 19 |
Низкая |
От 20 до 29 |
Средняя |
От 30 до 39 |
Высокая |
40 и более |
Очень высокая |
вариант |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
12 |
13 |
14 |
15 |
16 |
17 |
18 |
19 |
20 |
вопрос |
||||||||||||||||||||
1 |
a |
b |
c |
d |
e |
d |
a |
b |
c |
e |
a |
b |
c |
d |
e |
a |
b |
c |
d |
e |
2 |
a |
b |
c |
c |
b |
a |
a |
b |
c |
c |
b |
a |
a |
b |
c |
c |
a |
b |
c |
a |
3 |
a |
b |
b |
a |
a |
b |
b |
a |
a |
b |
b |
a |
a |
b |
b |
a |
b |
a |
b |
a |
4 |
b |
a |
a |
b |
b |
a |
a |
b |
b |
a |
a |
b |
b |
a |
a |
b |
a |
b |
a |
b |
5 |
a |
b |
c |
a |
a |
b |
c |
a |
a |
b |
c |
a |
a |
b |
b |
c |
b |
a |
b |
c |
6 |
a |
b |
b |
a |
a |
b |
b |
a |
a |
b |
b |
a |
a |
b |
b |
a |
b |
a |
b |
a |
7 |
b |
a |
a |
b |
b |
a |
a |
b |
b |
a |
a |
b |
b |
a |
a |
b |
a |
b |
a |
b |
8 |
a |
b |
b |
a |
a |
b |
b |
a |
a |
b |
b |
a |
a |
b |
b |
a |
b |
a |
b |
a |
9 |
a |
b |
b |
a |
a |
b |
b |
a |
a |
b |
b |
a |
a |
b |
b |
a |
a |
b |
b |
a |
10 |
a |
b |
c |
d |
e |
e |
d |
c |
b |
a |
a |
b |
c |
d |
e |
e |
d |
c |
b |
a |
Оценка уязвимости
Ответьте на вопросы.
1. Сколько людей имеют право пользоваться информационной системой?
Варианты ответов
а |
От 1 до 10 |
0 |
b |
От 11 до 50 |
4 |
с |
ОТ51 до 200 |
10 |
d |
От 200 до 1000 |
14 |
е |
Свыше 1000 |
20 |
2. Будет ли руководство осведомлено о том, что сотрудники, работающие под его началом, ведут себя необычным образом?
Варианты ответов
а |
Да |
0 |
b |
Нет |
10 |
3. Какие устройства и программы доступны пользователям?
Варианты ответов
а |
Только терминалы или сетевые контроллеры, ответственные за предоставление и маршрутизацию информации, но не за передачу данных |
-5 |
b |
Только стандартные офисные устройства и программы, а также управляемые с помощью меню подчиненные прикладные программы |
0 |
с |
Пользователи могут получить доступ к операционной системе, но не к компиляторам |
5 |
d |
Пользователи могут получить доступ к компиляторам |
10 |
4. Возможны ли ситуации, когда сотрудникам, предупрежденным о предстоящем сокращении или увольнении, разрешается логический доступ к информационной системе?
Варианты ответов
а |
Да |
10 |
b |
Нет |
0 |
5. Каковы в среднем размеры рабочих групп сотрудников пользовательских подразделений, имеющих доступ к информационной системе?
Варианты ответов
а |
Менее 10 человек |
0 |
b |
От 11 до 20 человек |
5 |
с |
Свыше 20 человек |
10 |
6. Станет ли факт изменения хранящихся в информационной системе данных очевидным сразу для нескольких человек (в результате чего его будет очень трудно скрыть)?
Варианты ответов
а |
Да |
0 |
b |
Нет |
10 |
7. Насколько велики официально предоставленные пользователям возможности по просмотру всех хранящихся в системе данных?
Варианты ответов
а |
Официальное право предоставлено всем пользователям |
-2 |
b |
Официальное право предоставлено только некоторым пользователям |
0 |
8. Насколько необходимо пользователям знать всю информацию, хранящуюся в системе?
Варианты ответов
а |
Всем пользователям необходимо знать всю информацию |
-4 |
b |
Отдельным пользователям необходимо знать лишь относящуюся к ним информацию |
0 |