ГОСТ Р ИСО/МЭК 13335-1 — 2006
нию, раскрытию, модификации, порче, недоступности или потере. Ущерб активам может быть нанесен
только при наличии у них уязвимости. Угрозы могут быть естественного происхождения или связаны с
человеческим фактором. В последнем случае угрозы могут быть случайными или целенаправленными.
Примеры угроз приведены втаблице 1. Угрозы, как случайные, так и преднамеренные, должны быть иден
тифицированы, а их уровень и вероятность возникновениядолжны быть оценены. По многим видам угроз
среды собраны статистические данные. Эти данные могут быть использованы организацией при оценке
угроз.
Т а б л и ц а 1— Примеры угроз
Угрозы, обусловленные чолоаеческим фактором
Угрозы среды
целенаправленные
случайные
Подслушивание/перехват.
Модификация информации.
Атака хакера на систему.
Злонамеренный код.
Хищение
Ошибкииупущения.
Удаление файла.
Ошибка маршрутизации.
Материальные несчастные
случаи
Землетрясение.
Молния.
Наводнение.
Пожар
Угрозы могут быть также направлены на отдельные специфические части организации, например, на
разрушение вычислительныхсредств. Некоторые угрозы могут быть общими для всей организации, напри
мер ущерб зданиям от урагана или молнии. Угроза может исходить как изнутри организации, например
забастовка сотрудников, так и снаружи, например атаки хакеров или промышленный шпионаж. Размер
ущерба от угрозы может варьироваться при каждом ее возникновении. Ущерб, наносимый нежелательным
инцидентом, может быть временным или постоянным, как в случае разрушения актива.
Угрозы обладают следующими характеристиками, устанавливающими их взаимосвязь с другими
компонентами безопасности:
- источник, внутренний или внешний;
- мотивация, например финансовая выгода, конкурентное преимущество:
- частота возникновения;
- правдоподобие;
- вредоносное воздействие.
Некоторые угрозы могут поражать не один вид актива. В этом случае угрозы могут наносить вред в
зависимости от того, какие именно активы повреждены. Например, программный вирус на автономной
персональной вычислительной машине может нанести ограниченный или локальный вред. Однако тот же
программный вирус может оказать на сетевой сервер обширное воздействие.
Окружающие условия и социальная среда, в которых функционирует организация, могут иметь боль
шое значение и существенно влиять наотношение кугрозам и активам. Некоторые угрозы в организациях
могут вообще не рассматриваться. Когда речь идет об угрозах, необходимо учитывать влияние внешней
среды.
При оценке уровень угрозы в зависимости от результата ее воздействия можетбыть определен как
высокий, средний или низкий.
3.4 Уязвимости
Слабость актива или нескольких видов активов, которые могут быть использованы одной или более
угрозами, трактуется как уязвимость. Связанные с активами уязвимости включают в себя слабости физи
ческого носителя, организации, процедур, персонала, управления, администрирования, апларатного/лро-
граммного обеспечения или информации. Угрозы могут использовать уязвимости для нанесения ущерба
ИТТ или целям бизнеса. Уязвимость можетсуществовать и в отсутствие угрозы. Уязвимость сама по себе не
причиняет ущерб, но это является только условием или набором условий, позволяющим угрозе воздей
ствовать на активы. Следует рассматривать уязвимости, возникающие из различных источников, напри
мер внутренних и внешних по отношению к конкретному активу. Уязвимость может сохраняться, пока сам
актив не изменится так, чтобы уязвимость уже не смогла проявиться. Уязвимость необходимо оценивать
индивидуально и в совокупности, чтобы рассмотреть сложившуюся ситуацию в целом.
Примером уязвимости является отсутствие контролядоступа, которое можетобусловить возникнове
ние угрозы несанкционированногодоступа и привести к утрате активов.
4