Пояснительная записка Самойлов Д.С. 24Б (1209227), страница 4
Текст из файла (страница 4)
Для анализа защищенности ОС можно использовать программу System Security Scanner (S3). Данная программа предназначается для проведения проверки состояния безопасности на отдельных UNIX-компьютерах и поиска уязвимости ОС как снаружи (по сети с использованием Internet Scanner), так и изнутри (из самой ОС компьютера). Помимо этого, в возможности входит проверка прав доступа и прав собственности файлов, установки ресурсов пользователей, настройки сетевых сервисов, программ аутентификации.
Для анализа защищенности сетевых сервисов используется пакет программ Internet Scanner SAFEsuite, предназначенный для проведения комплексной оценки эффективности политики безопасности на уровне сетевых сервисов. Этот пакет программ дает возможности для идентификации и коррекции более 140 известных слабых мест и постоянного наблюдения за состоянием безопасности для широкого диапазона сетевых устройств - от web-узлов и МЭ и до серверов и рабочих станций и всех других устройств работающих со стеком протоколов TCP/IP.
Также в этой области можно выделить отечественный сетевой сканер "Ревизор сети" версии 3.0. Этот продукт предназначен для поиска и обнаружения уязвимостей установленного аппаратного и программного обеспечения, которые используют протоколы стека TCP/IP, проведения тестирования сетевых узлов и ОС, которые используют технологии Ethernet и Fast Ethernet. Программа используется в основном службами ИБ вычислительных сетей и администраторами, а также органами по аттестации объектов информатизации. Помимо основных функций программа "Ревизор сети" версии 3.0 дает возможность добавлять в перечень своих результатов работы итоги, которые были получены при использовании свободно распространяемого сканера Nmap. У "Ревизор сети" версии 3.0 есть сертификат ФСТЭК № 3413 до 02 июня 2018 г., что позволяет производить поиск уязвимостей ОС Windows, а также приложений функционирующих в них и средств защиты информации. Сетевой сканер "Ревизор сети" версии 3.0 проводит поиск уязвимостей, которые содержатся в банке данных угроз ФСТЭК России, а также зарубежных источниках таких, как microsoft.com, cve.mitre.org, ovaldb.altx-soft.ru.
Также в данном случае можно использовать ряд программ:
– сетевые сканеры безопасности: ProxyStrike , MBSA , Nessus, OpenVAS, Retina Network Security Scanner, XSpider, Lumension Security Vulnerability Scanner, nexpose, backtrack, Kali-Linux, Burp Suite, OWASP dirbuster, metasploit;
– хостовые средства анализа параметров защиты: Windows Security Templates, Security Analysis Tool, Security Benchmarks, CIS Scoring Tools, CIS Router Audit Toolkit;
– сетевые взломщики паролей: Hydra, Brutus, LC5.
-
Средства обнаружения опасных информационных воздействий (атак) в сетях
Средства анализа защищенности сетевых сервисов применимы для определения оценки защищенности компьютерных сетей по отношению к внешним и внутренним атакам. Лучший показатель защиты информации достигается при комплексном использовании средств анализа защищенности и средств обнаружения опасных информационных воздействий в сетях.
Предназначением средств обнаружения воздействий в сетях является контроль всего сетевого трафика, проходящий через защищаемый сегмент сети, а также быстрое реагирование в случаях нападения на узлы информационной системы. Большинство средств данной группы при обнаружении воздействий в сети имеют функции оповещения администратора системы, регистрации факта нападения в журнале системы и завершении соединения с воздействующим узлом.
Для реализации обнаружения атак в сетях используют:
– стандартные сетевые утилиты: ping, traceroute , host, showmount, rusers, finger;
– средства инвентаризации и сканеры ресурсов сети: LanScope, nmap;
– сетевые снифферы и анализаторы протоколов: tcpdump, wireshark.
Главным достоинством инструментального анализа является то, что не требуется значительных временных и человеческих затрат. Но также присутствует недостаток, который выражается в том, что у инструментальных средств поиска уязвимостей нет возможности обнаружить ряд специфических уязвимостей (например, логические ошибки). В связи с этим, необходимо дополнять его иными методами и видами проведения анализа ИБ (например, тестом на проникновение).
Так как, для проведения инструментального анализа защищённости может быть использовано различное ПО, тогда и этапы проведения анализа также различаются при использовании различных программ.
При этом можно выделить конкретные этапы, которые могут дополняться, разделятся на более мелкие в зависимости от задач поставленных перед группой тестирования, но все они будут, так или иначе, входить в состав этапов:
– определение предмета исследования (запись функций организации, состав исследуемого ресурса, базовые требования к системе безопасности);
– ввод данных, описывающих основные параметры системы и классы инцидентов (задаются частота возникновения угроз, степень уязвимости веб-ресурса и ценность расположенной на нём информации);
– расчёт профиля рисков, где фактический риск оценивается при помощи математического ожидания потерь за год;
– генерация отчётов.
2 Методика анализа защищенности информации
После того, как в первой главе было рассмотрены и проанализированы понятия защищенности информации в ИС, уязвимости и угроз в ИС, а также методы по их поиску, можно сказать, что защищенность информации в ИС является особым состоянием сохранения всех ее элементов, а своевременное проведение анализа защищенности информации в ИС неотъемлемой частью ее функционирования. Так как, на данный момент времени не существует методических документов ФСТЭКа и ФСБ по порядку проведения анализа защищенности информации в ИС, то основываясь на анализе материалов первой главы, предлагаются свои идеи по созданию методики проведения анализа защищенности информации в ИС.
На первом этапе были изучены основные положения нормативных документов по анализу защищенности информации в ИС. Один из них – методический документ “Меры защиты информации в государственных информационных системах”, который был утвержден ФСТЭК России 11 февраля 2014 г. Требования, указанные в этом документе указывают на необходимость проведения регистрации событий безопасности и общего контроля защищенности информации.
При регистрации событий безопасности рекомендовано производить своевременный мониторинг ИС для всех событий, которые определены в регистрации. А оператору, ответственному производить эти действия, необходимо обращаться к организационно-распорядительной документации, дополняя её обновленными правилами и процедурами, для будущего мониторинга регистрации событий безопасности.
При контроле защищенности информации предлагается выполнить требования:
– выявление, анализ и устранение уязвимостей ИС;
– контролирование установки обновлений ПО, включая ПО СЗИ;
– контролирование работоспособности, параметров настройки и правильности функционирования ПО и СЗИ;
– контролирование состава технических средств, ПО и СЗИ;
– контролирование правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в ИС.
В этих требованиях содержатся набор операций, которые должны быть регламентированы, и проводиться с периодичностью установленной оператором в организационно-распорядительных документах по защите информации.
Убедившись в том, что в нормативно-методических документах отсутствует конкретная методика по проведению анализа защищенности информации ИС, то многие администраторы безопасности информации организаций входят в замешательство от незнания, какие меры необходимо принимать, во время проведения этого мероприятия.
На втором этапе, в связи с этим, в работе предлагается методика проведения данного мероприятия. Эта методика заключает в себе последовательность определенных действий, которые содержат в себе методы, описанные в первой главе (например, методы тестирования систем защиты), а также используемые для этих действий инструментальные средства.
-
Предлагаемый вариант методики проведения анализа защищенности информации в ИС
Для проведения анализа защищенности информации необходимо выполнить действия:
-
Сбор и анализ исходных данных ИС:
– определение выполняемых функций ИС;
– определение структурно-функциональных характеристик ИС;
– определение степени конфиденциальности обрабатываемой информации в ИС;
– схема размещения компонентов сети ИС (ОТСС и ВТСС), на которых обрабатывается защищаемая информация;
– перечень прикладного ПО, которое используется в аттестованной ИС и предназначено для обработки защищаемой информации;
– наличие и характер взаимодействия с другими ИС;
– состав системы защиты информации, которая используется в аттестованной ИС, а также перечень технических и программных средств защиты информации.
-
Анализ событий безопасности в ИС:
– проводится анализ системных журналов событий безопасности на наличие инцидентов (уязвимостей).
-
Поиск уязвимостей ПО в ИС:
– поиск уязвимостей будет считаться завершенным, в том случае, когда будет проверено ПО на уязвимые участки в коде и (не)выявлены сами уязвимости, а также незадекларированные возможности этого ПО.
-
Анализ защищенности внутреннего и внешнего периметра сети ИС:
– произвести перепроверку и правильную настройку сетевого оборудования ИС, в соответствии с топологией сети организации.
-
Анализ работоспособности, проверка на уязвимости и их устранение в ИС при помощи инструментальных средств контроля защищенности информации от НСД к информации:
– используя сетевые сканеры безопасности, хостовые средства анализа параметров защиты, средства обнаружения опасных информационных воздействий (атак) в сетях произвести окончательный анализ работоспособности и проверить на уязвимости ИС.
-
Соответствие требованиям ФСТЭК:
– используя нормативные документы ФСТЭК России провести контроль использованных мер.
-
Подведение итогов и составление отчетности по проведению анализа защищенности ИС.
Предлагаемая методика дает возможность специалисту высокого уровня подготовки реализовать меры и требования по анализу защищенности информации в ИС. А для специалистов недостаточной квалификации, не имеющих специального высшего образования, разработаны и предложены методические рекомендации в помощь проведения анализа защищенности информации в ИС по данной методике.
3 Методические рекомендации проведения анализа защищенности информации
После того, как во второй главе была предложена методика по проведению анализа защищенности информации в ИС, в третьей главе представляются методические рекомендации. Они будут выглядеть, как особым образом структурированная информация, которая определяет порядок, логику и основные моменты, на которые стоит обратить внимание при проведении анализа защищенности информации в ИС. Основной их задачей является рекомендация наиболее качественных и подходящих вариантов с использованием примеров в выполнении действий.
-
Методические рекомендации проведения анализа защищенности информации в ИС
Методика проведения анализа защищенности информации в ИС включает:
– сбор и анализ исходных данных ИС;
– поиск уязвимостей ПО в ИС;
– анализ защищенности внутреннего и внешнего периметра сети ИС;
– анализ работоспособности, проверка на уязвимости и их устранение в ИС при помощи инструментальных средств анализа защищенности;
– подведение итогов и составление отчетности по проведению анализа защищенности ИС.
Сбор и анализ исходных данных ИС
Сбор и анализ данных ИС проводится в соответствии с требованиями ФСТЭК России при проведении контроля анализа защищенности.
-
Определение выполняемых функций ИС
Выполняемые функции ИС бывают:
– Справочные – дают возможность пользователям узнавать необходимые классы объектов (литература, номера телефонов, адреса и т.д.);
– Информационно-поисковые – предоставляют пользователям использовать поиск в целях получения сведений по различным поисковым образам на каком-либо информационном ресурсе;
– Расчетные – выполняют обработку информации по установленным расчетным алгоритмам;
– Технологические – позволяют автоматизировать все функции технологического цикла или отдельных частей организационной или производственной структуры;
– Иные функции – не входящие в вышеперечисленные.
-
Определение структурно-функциональных характеристик ИС
К структурно-функциональным характеристикам ИС относятся структура и состав ИС, физические, логические, функциональные и технологические взаимосвязи между сегментами ИС, взаимосвязи с иными ИС и информационно-телекоммуникационными сетями, режимы обработки информации в ИС и в ее отдельных сегментах, а также иные характеристики ИС, применяемые информационные технологии и особенности ее функционирования (таблица 3.1).
Таблица 3.1– Перечень структурно-функциональных характеристик ИС
| По структуре ИС | – автономное автоматизированное рабочее место; – локальная ИС; – распределенная ИС. |
| Продолжение таблицы 3.1 | |
| По используемым ИТ | – системы на основе виртуализации; – системы, реализующие «облачные вычисления»; – системы с мобильными устройствами; – системы с технологиями беспроводного до-ступа; – грид – системы; – суперкомпьютерные системы. |
| По архитектуре информационной системы | – системы на основе «тонкого клиента»; – системы на основе одноранговой сети; – файл-серверные системы; – центры обработки данных; – системы с удаленным доступом пользователей; – использование разных типов операционных – систем (гетерогенность среды); – использование прикладных программ, независимых от операционных систем; – использование выделенных каналов связи. |
| По наличию (отсутствию) взаимосвязей с иными информационными системами | – взаимодействующая с системами; – невзаимодействующая с системами. |
| По наличию (отсутствию) взаимосвязей (подключений) | – подключенная к сетям связи общего пользования; – подключенная через выделенную инфраструктуру; – неподключенная; |
| По размещению технических средств: | – расположенные в пределах одной контролируемой зоны; – расположенные в пределах нескольких контролируемых зон; – расположенные вне контролируемой зоны. |
| По режимам обработки информации в ИС | – многопользовательский; – однопользовательский. |
| По режимам разграничения прав доступа | – без разграничения; – с разграничением. |
| Окончание таблицы 3.1 | |
| По режимам разделения функций по управлению информационной системой | – без разделения; – выделение рабочих мест для администрирования в отдельный домен; – использование различных сетевых адресов; – использование выделенных каналов для администрирования. |
| По подходам к сегментированию ИС | – без сегментирования; – с сегментированием. |
-
Определение степени конфиденциальности обрабатываемой информации в ИС
В соответствии с законодательством РФ, в зависимости от содержания или обладателя, информация бывает в составе категорий:
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
