Katalog över sårbarheter
- Arkitekturgemenskapen
Tabellen nedan är exempel på sårbarheter och är inspirerad från standarden SS-ISO/IEC 27005:2022 (Annex A)
Förteckningen kan vara ett underlag vid verifiering/hantering av en organisations säkerhetsarbete.
Kategori | Exempel på sårbarheter |
|---|---|
Hårdvara | Brister i underhåll/felaktigheter i installation |
Brister i periodiserade utbyten av hårdvara | |
Brister i konfigurations- och ändringshantering | |
Känslighet mot temperaturförändringar, damm, fuktighet etc | |
Oskyddad lagringsplats | |
Brister vid förstörelse/avyttring | |
Okontrollerad kopiering | |
Programvara | Ingen eller otillräcklig testning av programvara |
Kända brister i mjukvara | |
Avsaknad av utloggningsfunktion när arbetsstationen lämnas | |
Återanvändning av lagringsyta utan tillräcklig radering | |
Otillräcklig loggningsfunktion för tillförlitlig spårbarhet | |
Brister i behörighetstilldelning | |
Brister i distribution av mjukvara | |
Komplicerat användargränssnitt | |
Brister eller avsaknad av systemdokumentation och/eller användarstöd | |
Felaktiga datum | |
Brister i identifikation- och autentiserings mekanismer | |
Brister i lösenordshantering | |
Ny, oprövad, otestad programvara | |
Oklarheter i specifikation avseende utveckling | |
Brister i ändringshantering | |
Okontrollerad nedladdning och användning av programvara | |
Avsaknad av/brister i hantering av säkerhetskopiering | |
Nätverk | Oskyddade kommunikationsnät |
Känslig trafik skyddas inte tillräckligt | |
Brister i gemensam kabelnätverk | |
Felkritisk del av nätverk, svag länk | |
Osäker nätverksarkitektur | |
Överföring av lösenord i klartext | |
Otillräcklig nätverkshantering | |
Användning av oskyddade publika nätverk | |
Personal | Personalfrånvaro |
Brister i anställningsprocess | |
Brister i säkerhetsutbildning | |
Felaktig användning av hårdvara och programvara | |
Dålig säkerhetsmedvetenhet | |
Brister i uppföljning/övervakning | |
Oövervakat arbete som utförs av extern personal eller städ | |
Brister i styrdokument och användarmanualer | |
Läge, plats | Brister i fysisk tillgång till byggnader/lokaler |
Placering i ett område med hög sannolikhet för översvämning | |
Instabil/osäker elförsörjning | |
Brister i fysiskt skydd | |
Organisation | Brister i rutiner för tilldelning och borttagning av användarrättigheter |
Brister i rutiner för granskning av användarrättigheter | |
Brister i bestämmelser i avtal gentemot tredje part | |
Revisioner genomförs inte enligt plan | |
Brister i riskhantering och riskvärdering | |
Brister i serviceunderhåll | |
Brister i Service Level Agreement (SLA) | |
Brister i ändringshanteringsprocessen | |
Brister informationsägarskap | |
Brister i kontinuitetshantering | |
Brister eller avsaknad av styrdokument för e-posthantering | |
Brister i eller avsaknad av process för utveckling av IS/IT saknas | |
Brister i processen för informationsklassning | |
Brister i medarbetarens ansvar gällande informationssäkerhet | |
Brister i disciplinär process | |
Brister i styrdokument för mobila enheter | |
Brister i rutiner för distansarbete | |
Brister i rutin för tomt skrivbord… | |
Brister i övervakningsfunktioner av överträdelser | |
Brister i processen för incidentrapportering- och hantering |