Пути внесения уязвимостей

Эксплуатационные и технологические уязвимости ГСПД могут присутствовать как в системе управления ГСПД, так и в самой сети передачи данных. Если уязвимость была внесена в ГСПД, то в этом случае она может присутствовать на первых трех уровнях модели ВОС - физическом, канальном и сетевом. Если же уязвимость была внесена в систему управления ГСПД, то тогда она дополнительно может относиться к транспортному, сеансовому, представительскому или прикладному уровню модели ВОС.

Уязвимости ГСПД могут быть внесены на двух этапах жизненного цикла ГСПД - на технологическом и на эксплуатационном.

Технологические и эксплуатационные уязвимости

Внесение технологической уязвимости предполагает внесение в информационную сферу ГСПД на этапе ее проектирования и реализации различного рода ошибок программно-аппаратного обеспечения ГСПД, «закладок», «вирусов» и др., способствующих нарушителю осуществить впоследствии несанкционированные информационные действия. Технологические уязвимости могут быть внесены разработчиком программно-аппаратного обеспечения ГСПД на этапе его проектирования и реализации или же поставщиком программно-аппаратного обеспеченияГСПД на этапе его установки и первоначальной настройки.

Внесение эксплуатационных уязвимостей может иметь место при неправильной настройке и использовании программно-аппаратного обеспечения ГСПД. Эксплуатационные уязвимости могут быть внесены пользователем ГСПД, оператором ГСПД или администратором безопасности ГСПД.

Нарушитель способен внести следующие типы технологических и эксплуатационных уязвимостей: программные уязвимости, аппаратные уязвимости, программно-аппаратные уязвимости, а также организационно-правовые уязвимости.

Программные уязвимости присутствуют в программном обеспечении ГСПД и могут быть внесены, например, в операционную систему узла ГСПД или ЦУС. Внесение аппаратных уязвимостей характерно лишь для аппаратного обеспечения ГСПД, например сетевых адаптеров или носителей информации узлов ГСПД и ЦУС. Программно-аппаратные уязвимости ГСПД сочетают в себе программные и аппаратные типы уязвимостей, рассмотренные выше.

Внесение административных уязвимостей предполагает некорректную разработку и реализацию политики безопасностиГСПД, которая представляет собой совокупность требований и правил по обеспечению ИБ ГСПД.

Внесение организационно-правовых уязвимостей может иметь место при зачислении недостаточно проверенных людей в штат сотрудников, занимающихся обслуживанием ГСПД, при слабой организации защиты периметра безопасности ГСПД и др.