Антиплагиат Самойлов Д.С. 24Б (Разработка методических рекомендаций проведения анализа защищенности информации аттестованной информационной системы), страница 6

79 Этот пакет программ дает возможности дляидентификации и коррекции более 140 известных слабых мест и постоянногонаблюдения за состоянием безопасности для широкого диапазона сетевыхустройств - от web-узлов и 79 МЭ и до серверов и рабочих станций и 79 всехдругих устройств работающих со стеком протоколов TCP/IP.Также в этой области можно выделить отечественный сетевой сканер"Ревизор сети" версии 3.0.

Этот продукт предназначен для поиска иобнаружения уязвимостей установленного аппаратного и программногообеспечения, которые используют протоколы стека TCP/IP, проведениятестирования сетевых узлов и ОС, которые используют технологии Ethernet иFast Ethernet. Программа используется в основном службами ИБ30вычислительных сетей и администраторами, а также органами по аттестацииобъектов информатизации.

Помимо основных функций программа "Ревизорсети" версии 3.0 дает возможность добавлять в перечень своих результатовработы итоги, которые были получены при использовании свободнораспространяемого сканера Nmap. У "Ревизор сети" версии 3.0 естьсертификат ФСТЭК No 3413 до 02 июня 2018 г., что позволяет производитьпоиск уязвимостей ОС Windows, а также приложений функционирующих вних и средств защиты информации. Сетевой сканер "Ревизор сети" версии 3.0проводит поиск уязвимостей, которые содержатся в банке данных угрозФСТЭК России, а также зарубежных источниках таких, как microsoft.com,cve.mitre.org, ovaldb.altx-soft.ru.Также в данном случае можно использовать ряд программ:– сетевые сканеры безопасности: ProxyStrike, MBSA, Nessus, OpenVAS,Retina Network Security Scanner, XSpider, Lumension Security VulnerabilityScanner, nexpose, backtrack, Kali-Linux, Burp Suite, OWASP dirbuster,metasploit;– хостовые средства анализа параметров защиты: Windows SecurityTemplates, Security Analysis Tool, Security Benchmarks, CIS Scoring Tools, CISRouter Audit Toolkit;– сетевые взломщики паролей: Hydra, Brutus, LC5.1.8.2 Средства обнаружения опасных информационных воздействий (атак)в сетяхСредства анализа защищенности 83 сетевых сервисов применимы дляопределения оценки защищенности компьютерных сетей по отношению квнешним и внутренним атакам.

Лучший показатель защиты информациидостигается при комплексном использовании средств анализа защищенностии средств обнаружения опасных информационных воздействий в сетях. 82Предназначением средств обнаружения воздействий в сетях 82 является31контроль всего сетевого трафика, 83 проходящий через защищаемый сегментсети, а 83 также быстрое реагирование в случаях нападения на узлы 83информационной системы.

Большинство средств данной группы приобнаружении воздействий в сети 82 имеют функции оповещенияадминистратора системы, регистрации факта нападения в журнале системы изавершении соединения с воздействующим узлом.Для реализации обнаружения атак в сетях используют:– стандартные сетевые утилиты: ping, traceroute, host, showmount, rusers,finger;– средства инвентаризации и сканеры ресурсов сети: LanScope, nmap;– сетевые снифферы и анализаторы протоколов: tcpdump, wireshark.Главным достоинством инструментального анализа является то, что нетребуется значительных временных и человеческих затрат. Но такжеприсутствует недостаток, который выражается в том, что у инструментальныхсредств поиска уязвимостей нет возможности обнаружить ряд специфическихуязвимостей (например, логические ошибки). В связи с этим, необходимодополнять его иными методами и видами проведения анализа ИБ (например,тестом на проникновение).Так как, для проведения инструментального анализа защищённостиможет быть использовано различное ПО, тогда и этапы проведения анализатакже различаются при использовании различных программ.При этом можно выделить конкретные этапы, которые могут дополняться,разделятся на более мелкие в зависимости от задач поставленных передгруппой тестирования, но все они будут, так или иначе, входить в составэтапов:– определение предмета исследования (запись функций организации,состав исследуемого ресурса, базовые требования к системе безопасности);– ввод данных, описывающих основные параметры системы и классыинцидентов (задаются частота возникновения угроз, степень уязвимости вебресурса и ценность расположенной на нём информации);32– расчёт профиля рисков, где фактический риск оценивается при помощиматематического ожидания потерь за год;– генерация отчётов.332 Методика анализа защищенности информацииПосле того, как в первой главе было рассмотрены и проанализированыпонятия защищенности информации в ИС, уязвимости и угроз в ИС, а такжеметоды по их поиску, можно сказать, что защищенность информации в ИСявляется особым состоянием сохранения всех ее элементов, а своевременноепроведение анализа защищенности информации в ИС неотъемлемой частьюее функционирования.

Так как, на данный момент времени не существуетметодических документов ФСТЭКа и ФСБ по порядку проведения анализазащищенности информации в ИС, то основываясь на анализе материаловпервой главы, предлагаются свои идеи по созданию методики проведенияанализа защищенности информации в ИС.На первом этапе были изучены основные положения нормативныхдокументов по анализу защищенности информации в ИС. Один из них –методический документ “Меры защиты информации в государственныхинформационных системах”, 77 который 18 был утвержден ФСТЭК России 11февраля 2014 г. 56 Требования, указанные в этом документе указывают нанеобходимость проведения регистрации событий безопасности и общегоконтроля защищенности информации.При регистрации событий безопасности рекомендовано производитьсвоевременный мониторинг ИС для всех событий, которые определены врегистрации.

А оператору, ответственному производить эти действия,необходимо обращаться к организационно-распорядительной документации,дополняя её обновленными правилами и процедурами, для будущегомониторинга регистрации событий безопасности.При контроле защищенности информации предлагается выполнитьтребования:– выявление, анализ и устранение уязвимостей ИС;34– контролирование установки обновлений ПО, включая ПО СЗИ;– контролирование работоспособности, параметров настройки иправильности функционирования ПО и СЗИ;– контролирование состава технических средств, ПО и СЗИ;– контролирование правил генерации и смены паролей пользователей,заведения и удаления учетных записей пользователей, реализации правилразграничения доступом, полномочий пользователей в 77 ИС.В 27 этих требованиях содержатся набор операций, которые должны бытьрегламентированы, и проводиться с периодичностью установленнойоператором в организационно-распорядительных документах по защитеинформации.Убедившись в том, что в нормативно-методических документахотсутствует конкретная методика по проведению анализа защищенностиинформации ИС, то многие администраторы безопасности информацииорганизаций входят в замешательство от незнания, какие меры необходимопринимать, во время проведения этого мероприятия.На втором этапе, в связи с этим, в работе предлагается методикапроведения данного мероприятия.

Эта методика заключает в себепоследовательность определенных действий, которые содержат в себеметоды, описанные в первой главе (например, методы тестирования системзащиты), а также используемые для этих действий инструментальныесредства.2.1 Предлагаемый вариант методики проведения анализа защищенностиинформации в ИСДля проведения анализа защищенности информации необходимовыполнить действия:1 Сбор и анализ исходных данных ИС:– определение выполняемых функций ИС;35– определение структурно-функциональных характеристик ИС;– определение степени конфиденциальности обрабатываемой информациив ИС;– схема размещения компонентов сети ИС (ОТСС и ВТСС), на которыхобрабатывается защищаемая информация;– перечень прикладного ПО, которое используется в аттестованной ИС ипредназначено для обработки защищаемой информации;– наличие и характер взаимодействия с другими 61 ИС;– состав системы защиты информации, которая используется ваттестованной ИС, а также перечень технических и программных средствзащиты информации.2 Анализ событий безопасности в ИС:– проводится анализ системных журналов событий безопасности наналичие инцидентов (уязвимостей).3 Поиск уязвимостей ПО в ИС:– поиск уязвимостей будет считаться завершенным, в том случае, когдабудет проверено ПО на уязвимые участки в коде и (не)выявлены самиуязвимости, а также незадекларированные возможности этого ПО.4 Анализ защищенности внутреннего и внешнего периметра сети ИС:– произвести перепроверку и правильную настройку сетевогооборудования ИС, в соответствии с топологией сети организации.5 Анализ работоспособности, проверка на уязвимости и их устранение вИС при помощи инструментальных средств контроля защищенностиинформации от НСД к информации:– используя сетевые сканеры безопасности, хостовые средства анализапараметров защиты, средства обнаружения опасных информационныхвоздействий (атак) в сетях произвести окончательный анализработоспособности и проверить на уязвимости ИС.6 Соответствие требованиям ФСТЭК:– используя нормативные документы ФСТЭК России провести контроль36использованных мер.7 Подведение итогов и составление отчетности по проведению анализазащищенности ИС.Предлагаемая методика дает возможность специалисту высокого уровняподготовки реализовать меры и требования по анализу защищенностиинформации в ИС.