При применении документа следует учитывать, что Постановлением Правительства РФ от 01.11.2012 N 1119 утверждены новые Требования к защите персональных данных при их обработке в информационных системах персональных данных.
"Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (Выписка) (утв. ФСТЭК РФ 15.02.2008)

5.2. Общая характеристика уязвимостей информационной системы персональных данных

5.2. Общая характеристика уязвимостей информационной

системы персональных данных

Уязвимость информационной системы персональных данных - недостаток или слабое место в системном или прикладном программном (программно-аппаратном) обеспечении автоматизированной информационной системы, которые могут быть использованы для реализации угрозы безопасности персональных данным.

Причинами возникновения уязвимостей являются:

ошибки при проектировании и разработке программного (программно-аппаратного) обеспечения;

преднамеренные действия по внесению уязвимостей в ходе проектирования и разработки программного (программно-аппаратного) обеспечения;

неправильные настройки программного обеспечения, неправомерное изменение режимов работы устройств и программ;

несанкционированное внедрение и использование неучтенных программ с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);

внедрение вредоносных программ, создающих уязвимости в программном и программно-аппаратном обеспечении;

несанкционированные неумышленные действия пользователей, приводящие к возникновению уязвимостей;

сбои в работе аппаратного и программного обеспечения (вызванные сбоями в электропитании, выходом из строя аппаратных элементов в результате старения и снижения надежности, внешними воздействиями электромагнитных полей технических устройств и др.).

Классификация основных уязвимостей ИСПДн приведена на рисунке 4.

┌─────────────────────────┐

│Классификация уязвимостей│

│программного обеспечения │

└────────────┬────────────┘

┌────────────────────┬──────────┴─────────┬─────────────────┐

│ │ │ │

┌────┴─────┐ ┌─────────┴─────────┐ ┌──────┴───────┐ ┌───────┴───────┐

│По типу ПО│ │По этапу жизненного│ │По причине │ │По характеру │

└┬─────────┘ │цикла программного │ │возникновения │ │последствий от │

│ ┌───────────┐│обеспечения, на │ │уязвимости │ │реализации атак│

├>│Системное ││котором возникает │ └┬─────────────┘ └┬──────────────┘

│ │ПО ││уязвимость │ │ ┌───────────┐ │ ┌─────────────┐

│ └───────────┘└┬──────────────────┘ ├>│Недостатки │ ├>│Уязвимости, │

│ ┌───────────┐ │ ┌────────────────┐ │ │механизмов │ │ │используемые │

└>│Прикладное │ ├>│Уязвимости, │ │ │аутентифи- │ │ │для │

│программное│ │ │возникающие на │ │ │кации │ │ │переполнения │

│обеспечение│ │ │этапе │ │ └───────────┘ │ │буфера │

└───────────┘ │ │проектирования │ │ ┌───────────┐ │ └─────────────┘

│ │программного │ ├>│Недостатки │ │ ┌─────────────┐

│ │обеспечения ├─┐ │ │защиты │ ├>│Уязвимости, │

│ └──┬─────────────┘ │ │ │учетных │ │ │используемые │

│ │реализации │ │ │записей │ │ │для подбора │

├───>│программного │ │ └───────────┘ │ │пароля или │

│ │обеспечения ├┐ │ ┌───────────┐ │ │идентификато-│

│ └┬──────────────┘│ ├>│Наличие │ │ │ра │

│ │инсталляции и │ │ │функций, │ │ └─────────────┘

└────>│настройки │ │ │позволяющих│ │ ┌─────────────┐

│программного │ │ │выполнять │ ├>│Уязвимости, │

│обеспечения │ │ │деструктив-│ │ │используемые │

└───────────────┘ │ │ные │ │ │для изменения│

│ │действия │ │ │прав доступа │

│ └───────────┘ │ └─────────────┘

│ ┌───────────┐ │ ┌─────────────┐

└>│Отсутствие │ └>│Уязвимости, │

│проверки │ │используемые │

│корректнос-│ │для реализа- │

│ти входных │ │ции атаки │

│данных │ │"Отказ в │

└───────────┘ │обслуживании"│

└─────────────┘

Рисунок 4. Классификация уязвимостей

программного обеспечения

Ниже представлена общая характеристика основных групп уязвимостей ИСПДн, включающих:

уязвимости системного программного обеспечения (в том числе протоколов сетевого взаимодействия);

уязвимости прикладного программного обеспечения (в том числе средств защиты информации).

5.1. Общая характеристика источников угроз несанкционированного доступа в информационной системе персональных данных 5.2.1. Общая характеристика уязвимостей системного программного обеспечения