Zranitelnosti jsou to slabá místa o kterých víte a které mohou být předmětem nějakého útoku nebo hrozby. Vztahují se k aktivům: každé aktivum má své zranitelnosti, tedy slabá místa jak může být napadeno nebo poškozeno.
Typy zranitelností
- Zranitelnosti dat
- Zranitelnosti software
- Zranitelnosti it vybavení
- Zranitelnosti sítí a komunikací
- Zranitelnosti fyzické infrastruktury
- Zranitelnosti procesní
- Zranitelnosti nakupovaných služeb
- Zranitelnosti lidských zdrojů
Základní principy při identifikaci zranitelností
- soustřeďte se na aktiva, každé aktivum má své zranitelnosti
- soustřeďte se na procesy přidělování, změny a odebírání práv zaměstnancům
- hodnocení zranitelností by měl provádět vlastník aktiva, ten nejlépe zná jeho zranitelnosti
- analyzujte incidenty a problému s aktivem v minulosti, jejich příčiny jsou způsobené často právě zranitelností
Základní postup při identifikaci zranitelností
- Vytvořte si úplný přehled vašich aktiv - primárních i podpůrných
- Určete zranitelnosti ke každému aktivu. Pečlivě analyzujte každé aktivum a identifikujte k němu zranitelnosti.
- Ty sepište a vytvořte si vazbu k příslušnému aktivu.
- Vše zaznamenejte pomocí katalogu zranitelností