Уязвимости: рекомендации по выработке и проведению мер по исправлению ситуации

При проведении анализа состояния информационной безопасности ИТ-инфраструктуры очень часто обнаруживаются множественные уязвимости, устранение которых не оказывает существенного влияния на общий уровень защищенности информации. Необходимо скорректировать имеющиеся процессы обеспечения информационной безопасности и внедрить эффективные механизмы контроля. Классификация уязвимостей При анализе уязвимостей в ИТ-инфраструктуре компании обычно рассматривают следующие их виды: технологические или архитектурные – отсутствие определенных механизмов, технологий обеспечения информационной безопасности; организационные – отсутствие документированных требований, процессов обеспечения информационной безопасности; эксплуатационные – уязвимости, связанные с недостатками в существующих компонентах ИТ-инфраструктуры. Любой выбранный подход к классификации обнаруженных уязвимостей должен быть формализован во внутренних документах компании. Например, можно взять за основу подходы, описанные в российском стандарте ГОСТ P 56546-2015 «Защита информации. Уязвимости информационных систем». Можно также использовать следующие параметры для классификации уязвимостей в целях приоритезации задач по их устранению: критичность компонента ИТ-инфраструктуры, где присутствует данная уязвимость; критичность уязвимости; потенциальные последствия; наличие технологий, позволяющих эксплуатировать выявленную уязвимость. Типовые уязвимости 2014–2015 В рамках работ по анализу ИТ-инфраструктуры, проведению тестирований на проникновение и аудитов информационной безопасности можно выделить следующие наиболее часто встречающиеся уязвимости. Эксплуатационные уязвимости: неподдерживаемые версии операционных систем и системного программного обеспечения (MS Windows XP, MS Windows Server 2003, PHP). Уязвимости указанного типа могут привести к отказу в обслуживании, выполнению произвольного кода и/или раскрытию защищаемой информации; […]


Полная версия доступна только зарегистрированным пользователям !








 

ИД «Connect» © 2015-2017

Использование и копирование информации сайта www.connect-wit.ru возможно только с письменного разрешения редакции.

Техподдержка и обслуживание Роман Заргаров


Яндекс.Метрика
Яндекс.Метрика