Пояснительная записка Самойлов Д.С. 24Б (1209227)
Текст из файла
Министерство транспорта Российской Федерации
Федеральное агентство железнодорожного транспорта
ФГБОУ ВО «ДАЛЬНЕВОСТОЧНЫЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ПУТЕЙ СООБЩЕНИЯ»
| Кафедра "Информационные технологии и системы" |
| К ЗАЩИТЕ ДОПУСТИТЬ |
| Заведующий кафедрой |
| М.А. Попов |
| " " июня 2017 г. |
РАЗРАБОТКА МЕТОДИЧЕСКИХ РЕКОМЕНДАЦИЙ ПРОВЕДЕНИЯ АНАЛИЗА ЗАЩИЩЕННОСТИ ИНФОРМАЦИИ АТТЕСТОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ
Выпускная квалификационная работа
ВКР 10.03.01.24Б ПЗ
Студент гр. 24Б Д.С. Самойлов
Руководитель В.Н. Никитин
доцент
Нормоконтроль В.И. Шестухина
доцент, к.п.н., доцент
Хабаровск - 2017
Оглавление
Введение 3
1 Аналитическое обоснование анализа защищенности 5
1.1 Защищенность ИС 5
1.2 Уязвимости в информационной системе 9
1.3 Взаимосвязь уязвимостей и угроз 11
1.4 Методы поиска уязвимостей в ПО 16
1.5 Методы тестирования систем защиты 21
1.6 Анализ защищенности внешнего периметра ИС 24
1.7 Анализ защищенности внутреннего периметра ИС 26
1.8 Инструментальные средства анализа защищенности 28
2 Методика анализа защищенности информации 33
2.1 Предлагаемый вариант методики проведения анализа защищенности информации в ИС 34
3 Методические рекомендации проведения анализа защищенности информации 37
3.1 Методические рекомендации проведения анализа защищенности информации в ИС 37
Заключение 59
Список использованных источников 60
Терминологический словарь 61
Список сокращений 64
Введение
Любая современная организация, независимо от того, какого вида информацию она обрабатывает, нуждается в обеспечении безопасности информации. После того, как были сформированы требования к защите информации, содержащиеся в ИС, разработана и внедрена система защиты информации ИС, а также произведена аттестация ИС по требованиям защиты информации и она введена в действие, то далее необходимо выполнять обеспечение защиты информации в ходе ее эксплуатации. Неотъемлемой частью защищенности ИС является регулярное проведение анализа защищенности информации в ИС, что представляет собой актуальную тему.
Анализ защищенности информации в ИС включает в себя применение различных методов поиска уязвимостей и дает возможность определить, существуют ли уязвимости, приводящие к нарушению правильной работы ИС.
На сегодняшний день не установлена ФСТЭК России конкретная методика по проведению анализа защищенности информации ИС и многие администраторы безопасности информации теряются от незнания, какие действия необходимо предпринять. Таким образом, основной целью работы является разработка методических рекомендаций проведения анализа защищенности информации аттестованной ИС.
Исходя из цели работы необходимо выполнение задач:
– проанализировать существующие методы поиска уязвимостей, а также используемых инструментальных средств анализа защищенности информации;
– разработать методику проведения анализа защищенности информации в ИС;
– разработать методические рекомендации проведения анализа защищенности информации аттестованной ИС.
Выпускная квалификационная работа состоит из введения, трех глав, заключения, списка используемых источников, терминологического словаря, списка сокращений.
В первой главе речь идет о необходимости защищенности ИС, о содержащихся уязвимостях ИС и взаимосвязи их с угрозами. Также описаны основные методы поиска уязвимостей в ПО и инструментальных средств анализа защищенности.
Во второй главе предложен вариант методики проведения анализа защищенности информации в ИС.
В третьей главе разработаны методические рекомендации проведения анализа защищенности информации в ИС. Расписывается подробно каждое действие методики с приведением примера.
В списке использованных источников приводятся используемые документы, литература и другие источники информации, используемой в данной ВКР.
1 Аналитическое обоснование анализа защищенности
-
Защищенность ИС
Надежность, производительность, отказоустойчивость являются важнейшими показателями эффективности функционала информационной системы. Но наряду с ними находится также защищенность информационной системы, под которой можно понять актуальность механизмов защиты информации, которые в ней реализованы, а также существующих рисках в этой среде функционирования, связанные с приведением в исполнение угроз безопасности. Данные риски производят нарушения главных свойств безопасности – конфиденциальности, целостности, доступности.
Основными руководящими документами, которые определяют необходимые уровни защищенности информации в ИС, являются указы Президента, федеральные законы, постановления Правительства РФ и руководящие документы ФСТЭК России, ФСБ России:
– Указ Президента Российской Федерации от 5 декабря 2016 г. № 646 “Об утверждении Доктрины информационной безопасности Российской Федерации”;
– Указ Президента Российской Федерации от 17 марта 2008 г. № 351”О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена”;
– Федеральный закон от 27 июля 2006 г. № 149-ФЗ “Об информации, информационных технологиях и о защите информации”;
– Федеральный закон от 27 июля 2006 г. N 152-ФЗ “О персональных данных”;
– Закон Российской Федерации от 21 июля 1993 г. № 5485-1 “О государственной тайне”;
– Постановление Правительства РФ № 608 «Положение о сертификации средств защиты информации по требованиям безопасности информации»,(с изм. и доп., вступ. в силу 21.04.2010 г.);
– ГОСТ Р 51583-2014 “Защита информации. Порядок создания автоматизированных систем в защищенном исполнении”;
– Руководящий документ “Положение по аттестации объектов информатизации по требованиям безопасности информации” (Утверждено Председателем Гостехкомиссии России 25.11.1994 г.);
– Руководящий документ “Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация АС и требования к защите информации” (Гостехкомиссия России, 1992 г.);
– Руководящий документ «Средства вычисли тельной техники. Защита от НСД к информации. Показатели защищенности от НСД к ин формации» (Гостехкомиссия России, 1992 г.);
– Руководящий документ «Концепция защиты средств вычислительной техники от НСД к ин формации» (Гостехкомиссия России, 1992 г.);
– Руководящий документ «Защита от НСД к информации. Термины и определения» (Гостехкомиссия России, 1992 г.);
– Руководящий документ «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в АС и СВТ» (Гостехкомиссия России, 1992 г.);
– Руководящий документ «Средства вычисли тельной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» (Гостехкомиссия России, 1997 г.);
– Руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999 г.);
– Руководящий документ «Специальные требования и рекомендации по технической защите конфиденциальной информации» (Гостехкомиссия России, 2001г.);
– Приказ ФСТЭК России от 15 февраля 2017 г. № 27 “О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17”;
– Приказ ФСТЭК России от 18 февраля 2013 г. N 21 “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных”;
– Приказ ФСТЭК России от 11 февраля 2013 г. № 17 “Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах”;
– Методический документ. Утвержден ФСТЭК России 11 февраля 2014 г. “Меры защиты информации в государственных информационных системах”;
– Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 год;
– “Инструкция об организации и обеспечении безопасности хранения обработки и передачи по каналам связи с использованием СКЗИ информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну” (Приложение к Приказу Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 13 июня 2001 г. № 152);
– Постановление Правительства РФ от 01.11.2012 №1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”.
Основу нормативной базы составляют в нашей стране руководящие документы и приказы ФСТЭК России в области защиты от НСД к информации.
Например, в приказе ФСТЭК России № 17, указывается то, что объектами защиты в ИС является информация, технические средства, а также СЗИ. Все организационные и технические меры ЗИ, которые реализуются в рамках СЗИ ИС, должны быть на обеспечение конфиденциальности, целостности и доступности информации. И для обеспечения защиты этой информации, проводятся мероприятия:
– формирование требований к ЗИ ИС;
– разработка СЗИ ИС;
– внедрение СЗИ ИС;
– аттестация ИС по требованиям и ввод ее в действие;
– обеспечение ЗИ в ходе эксплуатации аттестованной ИС;
– обеспечение ЗИ при выводе из эксплуатации аттестованной ИС или после принятия решения об окончании обработки информации.
Таким образом, исходя из данного приказа, можно сказать, что защищенность ИС является важным этапом всего цикла жизни ИС, которая должна обеспечиваться на каждом мероприятий начиная от формирования требований к ЗИ ИС и до самого вывода из эксплуатации ИС.
Согласно постановлению Правительства РФ №1119, безопасность или защищенность информации достигается при помощи системы защиты информации ИС, нейтрализующей актуальные угрозы. Сама система защиты информации объединяет в себе технические и организационные меры, которые определены по актуальным угрозам безопасности информации в ИС. Защищенность ИС обеспечивает оператор ИС, для которого определен контроль по выполнению требований по защите информации (определение типа ИС, актуальных угроз, уровня защищенности ИС).
После выполнения всех этих требований идет проверка правильной работы механизмов защиты информации по существующим уязвимостям, угрозам и рискам – анализ защищенности ИС. Проведение анализа защищенности ИС позволит узнать актуальную информацию по используемым техническим мерам и средствам защиты информации, а также по итогам выяснить недостатки и повысить уровень безопасности ИС. Но для того, чтобы это сделать, необходимо начать с анализа ИС на уязвимости, которые могут привести к различным угрозам.
-
Уязвимости в информационной системе
В настоящее время происходит бурное развитие всех процессов автоматизации и информатизации. Соответственно вместе с этим появляются и входят в состав уязвимости информационных систем и программного обеспечения, используемого в них.
По данным исследования компании Positive Technologies, занимающая на протяжении 10 лет лидирующие места в мире в области защиты крупных ИС от кибер-угроз, даже неопытный хакер может нарушить работоспособность ИС восьми из 10 крупных компаний. Таким образом, любая ИС предприятия ежедневно подвергается опасности, которые могут повлечь за собой опасные последствия.
Классификация уязвимостей довольно обширна (рисунок 1.1). Более подробно и точно они указаны в ГОСТ Р 56546-2015 “Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем”, но так как развитие ИС происходит с каждым днем, то соответственно список уязвимостей нужно дополнять постоянно.
В Доктрине ИБ упоминается о том, что немаловажной проблемой ИС организаций в нашей стране является зависимость отечественной промышленности от использования иностранного ПО. Таким образом, для устранения этой проблемы были приняты:
– статья 12.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (в редакции Федерального закона от 29 июня 2015 г. № 188-ФЗ);
– постановление Правительства Российской Федерации от 16 ноября 2015 г. №1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд».
Рисунок 1.1 – Классификация уязвимостей в ИС
Однако выполнение всех требований не уменьшает количество уязвимостей, из-за которых возникают проблемы с безопасностью информации и остаются такие, как:
а) Наличие НДВ:
1) неспособность полной проверки и государственной сертификации решения на отсутствие НДВ и защиты от НСД к информации.
б) Зависимость организаций от иностранного поставщика ПО:
1) возможность ограничения поставки из-за санкций;
2) дополнительные затраты на обновление и сервис;
Характеристики
Тип файла документ
Документы такого типа открываются такими программами, как Microsoft Office Word на компьютерах Windows, Apple Pages на компьютерах Mac, Open Office - бесплатная альтернатива на различных платформах, в том числе Linux. Наиболее простым и современным решением будут Google документы, так как открываются онлайн без скачивания прямо в браузере на любой платформе. Существуют российские качественные аналоги, например от Яндекса.
Будьте внимательны на мобильных устройствах, так как там используются упрощённый функционал даже в официальном приложении от Microsoft, поэтому для просмотра скачивайте PDF-версию. А если нужно редактировать файл, то используйте оригинальный файл.
Файлы такого типа обычно разбиты на страницы, а текст может быть форматированным (жирный, курсив, выбор шрифта, таблицы и т.п.), а также в него можно добавлять изображения. Формат идеально подходит для рефератов, докладов и РПЗ курсовых проектов, которые необходимо распечатать. Кстати перед печатью также сохраняйте файл в PDF, так как принтер может начудить со шрифтами.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
