Уязвимость - параметр (свойство) системы, благодаря которому системе может быть нанесен вред. В информационной безопасности этот термин чаще всего используется в отношении компьютерных приложений, но им можно охарактеризовать недостатки любой системы.
Например, рассмотрим гипотетический защищаемый объект, который обладает большими габаритами. "Крупногабаритность" может являться уязвимостью, если объект необходимо транспортировать. С другой стороны, большие размеры защищаемого объекта не позволят злоумышленнику легко скрыться с ним (если он задумает его позаимствовать). В последнем случае малый размер объекта можно было бы назвать уязвимостью...
Служба защиты информации должна такие уязвимости закрывать. Для этого не обязательно (в нашем случае) искусственно увеличивать размер объекта (избежание рисков) - можно использовать различные средства защиты (досмотр на выходе из помещения с объектом, сигнализации, встроенная в объект система слежения, разрешение присутствовать в помещении с объектом только в количестве лиц более, например, трех и т.п.)
Утечка - незапланированный выход некоторых элементов системы за ее пределы. Канал утечки информации - цепочка носителей, посредством которого она становится (или может стать) известной злоумышленнику.
Тогда наличие канала утечки можно рассматривать как параметр, существование которого может привести вред системе (пусть и не напрямую, а опосредованно, за счет использования злоумышленником полученной информации). Таким образом наличие канала утечки информации является уязвимостью системы, благодаря чему их можно учитывать при проведении аудиторских мероприятий (например, анализа рисков ИБ), и естественно каналы утечки, как и прочие уязвимости необходимо закрывать. Собственно, основной целью поста является пояснить, почему в дальнейшем статьи, посвященные каналам утечки информации окажутся в разделе "Уязвимости".
Комментариев нет:
Отправить комментарий