Антиплагиат Самойлов Д.С. 24Б (1209226), страница 7
Текст из файла (страница 7)
А для специалистов недостаточной квалификации, неимеющих специального высшего образования, разработаны и предложеныметодические рекомендации в помощь проведения анализа защищенностиинформации в ИС по данной методике.373 Методические рекомендации проведения анализа защищенностиинформацииПосле того, как во второй главе была предложена методика попроведению анализа защищенности информации в ИС, в третьей главепредставляются методические рекомендации. Они будут выглядеть, какособым образом структурированная информация, которая определяетпорядок, логику и основные моменты, на которые стоит обратить вниманиепри проведении анализа защищенности информации в ИС.
Основной ихзадачей является рекомендация наиболее качественных и подходящихвариантов с использованием примеров в выполнении действий.3.1 Методические рекомендации проведения анализа защищенностиинформации в ИСМетодика проведения анализа защищенности информации в ИСвключает:– сбор и анализ исходных данных ИС;– поиск уязвимостей ПО в ИС;– анализ защищенности внутреннего и внешнего периметра сети ИС;– анализ работоспособности, проверка на уязвимости и их устранение вИС при помощи инструментальных средств анализа защищенности;– подведение итогов и составление отчетности по проведению анализазащищенности ИС.Сбор и анализ исходных данных ИССбор и анализ данных ИС проводится в соответствии с требованиями38ФСТЭК России при проведении контроля анализа защищенности.1 Определение выполняемых функций ИСВыполняемые функции ИС бывают:– Справочные – дают возможность пользователям узнавать необходимыеклассы объектов (литература, номера телефонов, адреса и т.д.);– Информационно-поисковые – предоставляют пользователямиспользовать поиск в целях получения сведений по различным поисковымобразам на каком-либо информационном ресурсе;– Расчетные – выполняют обработку информации по установленнымрасчетным алгоритмам;– Технологические – позволяют автоматизировать все функциитехнологического цикла или отдельных частей организационной илипроизводственной структуры;– Иные функции – не входящие в вышеперечисленные.2 Определение структурно-функциональных характеристик ИСК структурно-функциональным характеристикам ИС относятся структураи состав ИС, физические, логические, функциональные и технологическиевзаимосвязи между сегментами ИС, взаимосвязи с иными ИС иинформационно-телекоммуникационными сетями, режимы обработкиинформации в 20 ИС и в ее отдельных сегментах, а также иные характеристики 20ИС, применяемые информационные технологии и особенности еефункционирования ( 20 таблица 3.1).Таблица 3.1– Перечень структурно-функциональных характеристик ИСПо структуре ИС– автономное автоматизированное рабочееместо;– локальная ИС;– распределенная ИС.39Продолжение таблицы 3.1По используемым ИТ– системы на основе виртуализации;– системы, реализующие «облачныевычисления»;– системы с мобильными устройствами;– системы с технологиями беспроводного 22до-ступа;– грид – системы;– суперкомпьютерные системы.По архитектуреинформационной системы– системы на основе «тонкого клиента»;– системы на основе одноранговой сети;– файл-серверные системы;– центры обработки данных;– системы с удаленным доступомпользователей;– использование разных типовоперационных– систем (гетерогенность среды);– использование прикладных программ,независимых от операционных систем;– использование выделенных каналовсвязи.По наличию (отсутствию)взаимосвязей с инымиинформационнымисистемами– взаимодействующая с системами;– невзаимодействующая с системами.По наличию (отсутствию)взаимосвязей(подключений)– 22 подключенная к сетям связи общегопользования;– 22 подключенная через выделеннуюинфраструктуру;– неподключенная;По размещениютехнических средств:– расположенные в пределах однойконтролируемой зоны;– расположенные в пределах несколькихконтролируемых зон;– расположенные вне контролируемойзоны.По режимам обработкиинформации в 22 ИС– многопользовательский;– однопользовательский.По режимам разграниченияправ доступа– без разграничения;– с разграничением.
2240 22Окончание таблицы 3.1По режимам разделенияфункций по управлениюинформационной системой– без разделения;– выделение рабочих мест дляадминистрирования в отдельный домен;– использование различных сетевыхадресов;– использование выделенных каналов дляадминистрирования.По подходам ксегментированию ИС– без сегментирования;– с сегментированием.3 22 Определение степени конфиденциальности обрабатываемойинформации в ИСВ соответствии с законодательством РФ, в зависимости от содержания илиобладателя, информация бывает в составе категорий:– государственная тайна – защищаемые государством сведения в областиего военной, внешнеполитической, экономической, разведывательной,контрразведывательной и оперативно-розыскной деятельности,распространение которых может нанести ущерб безопасности РФ ( 42 Закон РФот 21.07.1993 No 5485-1 (ред.
от 08.03.2015) «О государственной тайне»).Существуют грифы секретности: особой важности, совершенно секретные,секретные;– коммерческая тайна – позволяет ее обладателю при особых случаяхувеличить доходы, избежать неоправданных расходов, сохранить положениена рынке товаров, работ, услуг или получить иную коммерческую выгоду.Информация, составляющая коммерческую тайну, - научно-техническая,технологическая, производственная, финансово-экономическая или инаяинформация (в том числе составляющая секреты производства (ноу-хау)),которая имеет действительную или потенциальную коммерческую ценность всилу неизвестности ее третьим лицам, к которой нет свободного доступа назаконном основании и в отношении которой обладателем такой информациивведен режим коммерческой тайны (ст.
3, 28 Закон РФ «О коммерческой тайне»41от 29.07.2004 N 98-ФЗ);– служебная информация ограниченного распространения (служебнаятайна) – это охраняемая законом конфиденциальная информация одеятельности государственных органов, доступ к которой ограничен в 29 силуслужебной необходимости, а также ставшая известной в государственныхорганах и органах местного самоуправления только на 29 законном основании( 37 Указ Президента РФ от 6 марта 1997 г. 37 No 188 «Об утверждении сведенийконфиденциального характера»);– 32 персональные данные - любая информация, относящаяся копределенному или определяемому на основании такой информациифизическому лицу (субъекту персональных данных), в том числе егофамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное,социальное, имущественное положение, образование, профессия, доходы,другая информация.
( 46 Федеральный закон РФ от 27 июля 2006 года 42 No 152- ФЗ«О персональных данных»).4 46 Схема размещения компонентов ИС (ОТСС и ВТСС), на которыхобрабатывается защищаемая информацияДанная схема создается с общим планом всех помещений и каждого поотдельности (рисунок 3.1), в которой расположена ИС:– при общем плане помещений необходимо указать название отделов,отвечающих за выполнение определенных функций;– при указании на схеме элементов необходимо задать их наименованиеили же вынести это наименование в легенду, расположенной под схемой.Пример42Рисунок 3.1 – Схема размещения компонентов ИС в инженерном отделе5 Перечень прикладного ПО, которое используется в аттестованной ИС ипредназначено для обработки защищаемой информацииПри определении состава необходимо учитывать все отделы организациии каждое автоматизированное рабочее место (АРМ) по отдельности.Итоговые данные представляются в виде таблицы (таблица 3.2).ПримерТаблица 3.2 – Перечень прикладного ПО, используемого в ИСНазвание отдела Название АРМ Состав прикладного ПОИнженерный отдел АРМNo1MS Word, MS Excel, AdobeReader, MS SQL Server...
... ...БухгалтерияАРМ начальникаотделаMS Word, MS Excel, AdobeReader, 1С:Бухгалтерия... ... ...6 Наличие и характер взаимодействия с другими ИС43Ввиду того, что характер взаимодействия может быть не у всей ИС, атолько у определенной части (отдела), тогда необходимо к описаниюпредставить схему сети этого взаимодействия (рисунок 3.2).ПримерВ компании Х у двух отделов ИС существует взаимодействие с компаниейУ через сеть Интернет посредством защищенного соединения VPN.Рисунок 3.2 – Схема взаимодействия информационных систем7 Состав системы защиты информации, которая используется ваттестованной ИС, а также перечень технических и программных средствзащиты информации44При определении состава системы защиты информации необходимоучитывать все отделы организации и каждое автоматизированное рабочееместо (АРМ) по отдельности.
Итоговые данные представляются в видетаблицы (таблица 3.3).После того как будет сформирована таблица с данными технических ипрограммных средств защиты информации, необходимо после нее указатьномера сертификатов соответствия и срок их действия.ПримерТаблица 3.3 – Состава средств защиты информации в ИСНазвание отдела Название АРМСредства защитыинформацииИнженерный отдел АРМNo1“Соната-ВК3” по линиямкомпьютерных сетей;система защитыинформации “Dallas Lock7.7”...
... ...БухгалтерияАРМ начальникаотдела“Соната-ВК3” по линиямкомпьютерных сетей;система защитыинформации “Dallas Lock7.7”... ... ...Сертификаты соответствия используемых средств защиты:– “Соната-ВК3” по линиям компьютерных сетей - сертификат ФСТЭКРоссии No2533/1 до 09.11.2018 г.;45– Система защиты информации “Dallas Lock” - сертификат ФСТЭКРоссии No 2209 до 19.11.2019 г.Анализ событий безопасности в ИСЭкспертной группой проводится сканирование системных журналовбезопасности за весь период с момента проведения предыдущего анализазащищенности информации в ИС, согласно алгоритму представленному нарисунке 3.3.Рисунок 3.3 – Алгоритм анализа событий безопасностиПримечания к рисунку 3.3:– обнаружение – просмотр уведомления об инциденте;– оценка – выполнение первоначальной оценки, для получениядополнительных сведений об инциденте;– диагностика – выполнение технического анализа и определениестратегии сдерживания проблемы;– стабилизация – выполнение стратегии по устранению проблемы;– закрытие – контрольная проверка на попытку проявления инцидента.Найденные инциденты (уязвимости) сводятся в таблицу, в которойуказывается название отдела, наименование АРМ, название инцидента, датасобытия (таблица 3.4).46ПримерТаблица 3.4 – Перечень инцидентов журнала событий безопасностиНазвание отделаНаименованиеАРМНазвание инцидента Дата событияИнженерный отдел АРМNo1Попытка доступа кзакрытому каталогу1.05.2017 г....
... ... ...БухгалтерияАРМ начальникаотделаПопытка доступа кнезащищенному ресурсу2.02.2017 г.6.08.2017 г.... ... ... ...Поиск уязвимостей ПО в ИСВыполнение данного этапа необходимо для определения особыхуязвимых мест в коде ПО, используемого в ИС. После выполнениятщательного сканирования администратором безопасности, есть вероятностьобнаружения множества угроз безопасности информации.При выполнении поиска уязвимостей в ИС необходимо использоватьметоды поиска: ручной поиск, метод черного ящика, метод белого ящика.Основное внимание уделяется основному функционалу ПО, производимымресурсам ПО, обрабатываемым ресурсам ПО.а) ручной поискМетод основан на поиске уязвимых мест кода, приводящих кнеправильной работе или ошибкам работы программы.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
