Анализ уязвимостей информационной системы.
Уязвимость информационной системы – недостаток или слабое место в системном или прикладном программном (программно-аппаратном) обеспечении автоматизированной информационной системы, которые могут быть использованы для реализации угрозы безопасности информации.
Основной уязвимостью является человеческий фактор. Так как сотрудники сами выбирают пароли для доступа к информационным ресурсам, одной из уязвимостей является то, что они для своего удобства выбирают легкие, либо связанные с их жизнью пароли, например, qwerty123 либо различные сочетания имени, фамилии и даты рождения, что может позволить злоумышленнику получить доступ к информации. Также многие сотрудники не осознают всей важности выполнения всех требований информационной безопасности, таких как выход из своего аккаунта при отлучении от своего рабочего места даже на небольшой промежуток времени, работа с конфиденциальной информацией только в предназначенных для этого местах и т.п.
Уязвимостью является открытый доступ в интернет с рабочих станций персонала. Не всегда своевременное обновления программного обеспечения также становится угрозой для информационной системы, в частности для АБС.
Анализ злоумышленников
По отношению к Банку нарушители могут быть разделены на внешних и внутренних нарушителей.
В качестве потенциальных внутренних нарушителей Банком рассматриваются:
• сотрудники Банка;
• персонал, обслуживающий технические средства корпоративной
информационной системы Банка;
• сотрудники самостоятельных структурных подразделений, обеспечивающие безопасность Банка;
• руководители различных уровней.
В качестве потенциальных внешних нарушителей Банком рассматриваются:
• бывшие сотрудники Банка;
• клиенты Банка;
• конкурирующие с Банком кредитные организации;
• лица, случайно или умышленно проникшие в корпоративную информационную систему Банка из внешних телекоммуникационных сетей (хакеры).
Рассмотрим нарушителей подробнее:
Хакер – имеет возможность получить доступ к информационной системе извне, с помощью сбоя в работе ПО либо через сотрудников, вероятность реализации средняя
Сотрудник, обслуживающий АБС – имеет непосредственный доступ к информационной системе предприятия, конфиденциальной информации, но так как присутствует система регистрации действий пользователей, вероятность реализации этой угрозы средняя.
Охранник – имеет доступ к системам защиты (видеокамеры, сигнализация) и может пропустить нарушителя во внутренние помещения, но не имеет доступа к конфиденциальной информации.
Руководитель отделения – имеет самый высокий уровень доступа, практически во все помещения, но редко преследует цель нарушить работу отделения, вероятность угрозы средняя.
Операционно-кассовый сотрудник – имеет доступ к кассе, может похитить денежные средства, но основная их масса находится во внутреннем хранилище куда доступа он не имеет. Вероятность высокая, но ущерб незначителен.
Бывшие сотрудники отделения – после увольнения могут иметь желание навредить либо получить личную выгоду, но ценность похищенной ими информации после их увольнения может упасть в связи с прошедшим временем. Вероятность низкая.
Клиенты – могут подделать денежные средства, платежные карты, документы с целью обогащения, но реализовать угрозу могут лишь при невнимательности сотрудников. Вероятность низкая.
| № | Нарушитель/ злоумышленник | угроза | Причина (цель) | ресурс | Вероятность угрозы | последствия |
| Хакер | Проникновений в информационную сеть банка(АБС) и хищение конфиденциальной информации, денежных средств, вывод из строя АБС | Материальное обогащение, самоутверждение, завладение информацией, желание нанести вред | Базы данных, денежные средства, документы | Средняя | Материальные потери, потеря репутации, нарушение нормального функционирования отделения. | |
| Сотрудник, обслуживающий АБС | Незаконное копирование конфиденциальной информации с целью продажи сторонним лицам (конкурентам) | Материальное обогащение | Базы данных, документы | Средняя | Материальные потери, потеря репутации, нарушение нормального функционирования отделения | |
| Охранник | Отключение камер видеонаблюдения, сигнализации, пропуск на территорию неавторизованного персонала | Материальное обогащение | Имущество банка, денежные средства | Средняя | Материальные потери, нарушение нормального функционирования отделения | |
| Руководитель отделения | Незаконное копирование конфиденциальной информации с целью продажи сторонним лицам (конкурентам), хищение денежных средств | Материальное обогащение | Базы данных, документы, имущество банка, денежные средства | Средняя | Материальные потери, потеря репутации, нарушение нормального функционирования отделения | |
| Операционно-кассовый сотрудник | Хищение денежных средств | Материальное обогащение | Денежные средства | Высокая | Материальные потери | |
| Бывшие сотрудники отделения | Незаконное копирование конфиденциальной информации с целью продажи сторонним лицам (конкурентам) после увольнения | Материальное обогащение, желание отомстить | Базы данных, документы | Низкая | Материальные потери, потеря репутации, нарушение нормального функционирования отделения | |
| Клиенты | Подделка носителей информации, денежных средства | Материальное обогащение | Платежные карты, денежные средства, документы | Низкая | Материальные потери |