Общая характеристика уязвимостей информационной системы персональных данных
Уязвимость информационной системы персональных данных – недостаток или слабое место в системном или прикладном программном (программно-аппаратном) обеспечении автоматизированной информационной системы, которые могут быть использованы для реализации угрозы безопасности персональных данным.
Причинами возникновения уязвимостей являются:
ошибки при проектировании и разработке программного (программно-аппаратного) обеспечения;
преднамеренные действия по внесению уязвимостей в ходе проектирования и разработки программного (программно-аппаратного) обеспечения;
неправильные настройки программного обеспечения, неправомерное изменение режимов работы устройств и программ;
несанкционированное внедрение и использование неучтенных программ с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);
внедрение вредоносных программ, создающих уязвимости в программном и программно-аппаратном обеспечении;
несанкационированные неумышленные действия пользователей, приводящие к возникновению уязвимостей;
сбои в работе аппаратного и программного обеспечения (вызванные сбоями в электропитании, выходом из строя аппаратных элементов в результате старения и снижения надежности, внешними воздействиями электромагнитных полей технических устройств и др.).
Классификация основных уязвимостей ИСПДн приведена на рисунке 5.
Рисунок 5. Классификация уязвимостей программного обеспечения
Ниже представлена общая характеристика основных групп уязвимостей ИСПДн, включающих:
уязвимости системного программного обеспечения (в том числе протоколов сетевого взаимодействия);
уязвимости прикладного программного обеспечения (в том числе средств защиты информации).