Vytisknout jednu kapitoluVytisknout jednu kapitolu

Řízení rizik

2. Zranitelnosti

Zranitelnost je slabé místo (nedostatek) aktiva, které může využít jedna či více hrozeb. V rámci ISMS je zranitelnost často vnímána jako vlastnost aktiva.

Příklady zranitelností

  • zastaralost informačního a komunikačního systému
  • nedostatečná údržba informačního a komunikačního systému
  • nedostatečná ochrana vnějšího perimetru
  • nedostatečné postupy při identifikování a odhalení negativních bezpečnostních jevů, kybernetických
  • bezpečnostních událostí a kybernetických bezpečnostních incidentů
  • nedostatečné bezpečnostní povědomí uživatelů a administrátorů
  • nevhodné nastavení přístupových oprávnění
  • nedostatečné monitorování činnosti uživatelů a administrátorů a neschopnost odhalit jejich nevhodné nebo závadné způsoby chování
  • nedostatečné stanovení bezpečnostních pravidel, nepřesné nebo nejednoznačné vymezení práv a povinností uživatelů, administrátorů a bezpečnostních rolí
  • nedostatečná ochrana aktiv
  • nevhodná bezpečnostní architektura
  • nedostatečná míra nezávislé kontroly
  • neschopnost včasného odhalení pochybení ze strany zaměstnanců
  • další zranitelnosti relevantní pro daná aktiva a kontext organizace