· Отсутствие физической защиты здания, дверей и окон (может быть использовано, например, угрозой хищения).
· Неадекватное или небрежное использование физического управления доступом к зданиям и помещениям (может быть использовано, например, угрозой намеренного повреждения).
· Нестабильная электрическая сеть (может быть использована, например, угрозой колебаний напряжения).
· Размещение в местности, предрасположенной к наводнениям (может быть использовано, например, угрозой затопления).
Аппаратные средства
· Отсутствие программ периодической замены (может быть использовано, например, угрозой ухудшения состояния носителей данных).
· Чувствительность к колебаниям напряжения (может быть использована, например, угрозой колебаний напряжения).
· Чувствительность к колебаниям температуры (может быть использована, например, угрозой экстремальных показателей температуры).
· Чувствительность к влажности, пыли, загрязнению (может быть использована, например, угрозой пылеобразования).
· Чувствительность к электромагнитному излучению (может быть использована, например, угрозой электромагнитного излучения).
· Недостаточное техническое обслуживание/неправильная установка носителей данных (может быть использовано, например, угрозой ошибки технического обслуживания).
· Отсутствие эффективного контроля изменений конфигурации (может быть использовано, например, угрозой ошибок операционного персонала).
Программные средства
· Нечеткие или неполные спецификации для разработчиков (могут быть использованы, например, угрозой сбоя программы).
· Отсутствующее или недостаточное тестирование программных средств (может быть использовано, например, угрозой использования программных средств неуполномоченными пользователями).
· Сложный пользовательский интерфейс (может быть использован, например, угрозой ошибок операционного персонала).
· Отсутствие механизмов идентификации и аутентификации, таких как аутентификация пользователей (может быть использовано, например, угрозой имитации личности пользователя).
· Отсутствие контрольного журнала (может быть использовано, например, угрозой использования программных средств несанкционированным образом).
· Широко известные дефекты программных средств (могут быть использованы, например, угрозой использования программных средств неуполномоченными пользователями).
· Незащищенные таблицы паролей (могут быть использованы, например, угрозой имитации личности пользователя).
· Плохой менеджмент паролей (легко отгадываемые пароли, хранение паролей в незашифрованном виде, недостаточная частота смены паролей) (может быть использован, например, угрозой имитации личности пользователя).
· Неверное распределение прав доступа (может быть использовано, например, угрозой использования программных средств несанкционированным образом).
· Неконтролируемая загрузка и использование программных средств (может быть использована, например, угрозой вредоносного программного обеспечения).
· Отсутствие «конца сеанса», покидая рабочую станцию (может быть использовано, например, угрозой использования программных средств неуполномоченными пользователями).
· Отсутствие эффективного контроля изменений (может быть использовано, например, угрозой сбоя программы).
· Отсутствие документации (может быть использовано, например, угрозой ошибок операционного персонала).
· Отсутствие резервных копий (может быть использовано, например, угрозой вредоносного программного обеспечения или угрозой пожара).
· Списание или повторное использование носителей данных без надлежащего стирания (может быть использовано, например, угрозой использования программных средств неуполномоченными пользователями).
· Активированные ненужные службы (могут быть использованы, например, угрозой использования несанкционированного программного обеспечения).
· Недоработанное или новое программное обеспечение (может быть использовано, например, угрозой некомпетентного или неадекватного тестирования).
· Широко распределенное программное обеспечение (может быть использовано, например, угрозой потери целостности в процессе распределения).
Система связи
· Незащищенные линии связи (могут быть использованы, например, угрозой подслушивания).
· Плохая разводка кабелей (может быть использована, например, угрозой проникновения в систему связи).
· Отсутствие идентификации и аутентификации отправителя и получателя (может быть использовано, например, угрозой имитации личности пользователя).
· Коммутируемые линии (могут быть использованы, например, угрозой получения сетевого доступа неуполномоченными пользователями).
· Незащищенный значимый трафик (может быть использован, например, угрозой подслушивания).
· Неадекватный сетевой менеджмент (устойчивость маршрутизации) (может быть использован, например, угрозой перегрузки трафика).
· Незащищенные соединения сети общего пользования (могут быть использованы, например, угрозой использования программных средств неуполномоченными пользователями)
· Ненадежная сетевая архитектура (может быть использована, например, угрозой вторжения).
Документы
· Незащищенное хранение (может быть использовано, например, угрозой хищения). Беззаботность при устранении (может быть использована, например, угрозой хищения).
· Неконтролируемое копирование (может быть использовано, например, угрозой хищения).
Персонал
· Отсутствие персонала (может быть использовано, например, угрозой нехватки персонала).
· Безнадзорная работа внешнего персонала или персонала, занимающегося уборкой (может быть использована, например, угрозой хищения).
· Недостаточное обучение по безопасности (может быть использовано, например, угрозой ошибок операционного персонала).
· Отсутствие осознания безопасности (может быть использовано, например, угрозой ошибок пользователей).
· Ненадлежащее использование программных и аппаратных средств (может быть использовано, например, угрозой ошибок операционного персонала).
· Отсутствие механизмов мониторинга (может быть использовано, например, угрозой использования программных средств несанкционированным образом).
· Отсутствие политик по правильному использованию телекоммуникационной среды и обмена сообщениями (может быть использовано, например, угрозой использования сетевых средств несанкционированным образом).
· Неадекватные процедуры набора персонала (могут быть использованы, например, угрозой намеренного повреждения).
Процедурные
· Отсутствие санкционирования средств обработки информации (может быть использовано, например, угрозой намеренного повреждения).
· Отсутствие формального процесса санкционирования общедоступной информации (может быть использовано, например, угрозой ввода искаженных данных).
· Отсутствие формального процесса проверки прав доступа (надзора) (может быть использовано, например, угрозой несанкционированного доступа).
· Отсутствие формальной политики по использованию портативных компьютеров (может быть использовано, например, угрозой хищения).
· Отсутствие формальной процедуры контроля документации системы менеджмента информационной безопасности (может быть использовано, например, угрозой ввода искаженных данных).
· Отсутствие формальной процедуры надзора за записями системы менеджмента информационной безопасности (может быть использовано, например, угрозой ввода искаженных данных).
· Отсутствие формальной процедуры регистрации и отмены регистрации пользователей (может быть использовано, например, угрозой несанкционированного доступа).
· Отсутствие контроля за резервными активами (может быть использовано, например, угрозой хищения).
· Отсутствующее или неудовлетворительное соглашение об уровне сервиса (может быть использовано, например, угрозой ошибок технического обслуживания).
· Отсутствующая или недостаточная политика «чистого стола и пустого экрана» (может быть использована, например, угрозой хищения информации).
· Отсутствующие или недостаточные положения (касающиеся безопасности) в договорах с клиентами и/или третьими сторонами (могут быть использованы, например, угрозой несанкционированного доступа).
· Отсутствующие или недостаточные положения (касающиеся безопасности) в договорах со служащими (могут быть использованы, например, угрозой мошенничества и хищения).
· Отсутствие планов обеспечения деловой непрерывности (может быть использовано, например, угрозой технической неисправности).
· Отсутствие надлежащего распределения обязанностей по обеспечению информационной безопасности (может быть использовано, например, угрозой отрицания).
· Отсутствие политики по использованию электронной почты (может быть использовано, например, угрозой неправильной маршрутизации сообщений).
· Отсутствие процедур идентификации и оценки риска (может быть использовано, например, угрозой несанкционированного доступа к системе).
· Отсутствие процедур обращения с секретной информацией (может быть использовано, например, угрозой ошибок пользователей).
· Отсутствие процедур обеспечения соблюдения прав на
· интеллектуальную собственность (может быть использовано, например, угрозой хищения информации).
· Отсутствие процедур сообщения о слабых местах безопасности (может быть использовано, например, угрозой использования сетевых средств несанкционированным образом).
· Отсутствие процедур введения программного обеспечения в действующие системы (может быть использовано, например, угрозой ошибок операционного персонала).
· Отсутствие процедуры контроля изменений (может быть использовано, например, угрозой ошибки технического обслуживания).
· Отсутствие процедуры мониторинга средств обработки информации (может быть использовано, например, угрозой несанкционированного доступа).
· Отсутствие регулярных аудитов (надзора) (может быть использовано, например, угрозой несанкционированного доступа).
· Отсутствие регулярных проверок, проводимых руководством (может быть использовано, например, угрозой злоупотребления ресурсами).
· Отсутствие установленных механизмов мониторинга нарушений безопасности (может быть использовано, например, угрозой умышленного повреждения).
· Отсутствие обязанностей по обеспечению информационной безопасности в перечнях служебных обязанностей (может быть использовано, например, угрозой ошибок пользователей).
· Отсутствие зафиксированных в журнале регистрации администратора и оператора сообщений об ошибках (может быть использовано, например, угрозой использования программных средств несанкционированным образом).
· Отсутствие записей в журнале регистрации администратора и оператора (может быть использовано, например, угрозой ошибок операционного персонала).
· Отсутствие оговоренного дисциплинарного процесса в случае инцидента безопасности (может быть использовано, например, угрозой хищения информации).
