Антиплагиат (1209233), страница 14
Текст из файла (страница 14)
План устранения состоит из отдельных мероприятий,перенесенных из главы отчета по поиску уязвимостей «Рекомендации поустранению». Каждому мероприятию назначается ответственное за еговыполнение лицо и временные рамки исполнения. Форма плана устраненияуязвимостей указана в приложении В к методическим рекомендациям.Ответственные за выполнение мероприятий лица обеспечивают внесениеизменений в проектную документацию на информационную систему в теченииуказанного времени.984 На этапе внедрения информационной системы в эксплуатациюНа этапе внедрения информационной системы в эксплуатацию необходимопровести все меры анализа защищенности информации в информационнойсистеме, описанные в методическом документе ФСТЭК «Меры защитыинформации», за исключением следующих постоянно проводимыхмероприятий: поиск уязвимостей нулевого дня и контроль работоспособностипрограммного обеспечения и средств защиты информации.
Также необходимовынести решение по используемым средствам контроля защищенности.4.1 Определение используемых средств анализа защищенностиДля проведения работ по анализу защищенности требуется использоватьследующие средства контроля защищенности:сканеры безопасности – для автоматической проверки системы напредмет наличия уязвимостей;средства инвентаризации – для автоматизированного учета программногои технического обеспечения информационной системы.Разрешается использовать только средства контроля защищенности,имеющие действующие сертификаты соответствия ФСТЭК, соответствующиеуровню (классу) защищенности информационной системы.4.1.1 Сканеры безопасностиСписок рекомендуемых сканеров безопасности:Positive Technologies MaxPatrol;99Positive Technologies XSpider;Ревизор Сети 3.0 (более высокий уровень соответствия сертификата).Рекомендуется использование двух или более сканеров безопасностиразличных производителей.Определение критериев выбора сканеров безопасности для проведенияанализа защищенности информационной системы осуществляется операторомзащищаемой информационной системы.4.1.2 Средства инвентаризации ресурсов информационной системыК сертифицированным средствам инвентаризации ресурсовинформационной системы относятся:Агент инвентаризации (имеет сертификат на соответствие НДВ потретьему уровню);ИВК Инспектор (имеет сертификат на соответствие НДВ по четвертомууровню).При этом ИВК ИНСПЕКТОР обладает более широким спектромвыполняемых функций.
Рекомендуется использовать ИВК ИНСПЕКТОР, еслиустановленный класс (уровень) защищенности позволяет это делать. Иначеследует использовать Агент инвентаризации.4.2 Поиск уязвимостей информационной системыНа этапе введения информационной системы в эксплуатацию производитсявыявление существующих уязвимостей информационной системы.4.2.1 С использованием общедоступных баз данных уязвимостейПровести поиск уязвимостей информационной системы с использованием100баз данных уязвимостей (см. Порядок поиска уязвимостей информационнойсистемы с использованием баз данных уязвимостей на этапе проектированияинформационной системы).4.2.2 С использованием сканеров безопасностиНеобходимо назначить лицо, ответственное за проведениеинструментального поиска уязвимостей в информационной системе. Данноелицо должно ознакомиться с руководством по использованию каждоговыбранного сканера безопасности.
Далее необходимо провести установку инастройку выбранных сканеров безопасности на выделенном для этого сервересети информационной системы. Также, если возможно, необходимо произвестиустановку и настройку сканеров безопасности на все узлы информационнойсистемы для поиска уязвимостей на уровне узла.Ответственное лицо должнозапустить сканирование на уровне сети с использованием всехпредлагаемых сканером тестовых сценариев для всех узлов сетиинформационной системы. Возможно ограничение тестовых сценариевтолько актуальными для исследуемых узлов (например, ограничение понаименованию операционной системы узлов). Так как информационнаясистема не находится на этапе эксплуатации, обязательно выполнениетестовых сценариев, которые могут нанести ущерб функционированиюсистемы;вывести сервер, выделенный для работы сканера безопасности вовнешнюю сеть путем настройки сетевых устройств и запуститьсканирование со всеми тестовыми сценариями для узлов внешнегопериметра информационной системы;запустить сканирование на уровне узла для каждого узлаинформационной системы.
Это производится либо прямым запуском101сканера с соответствующей возможностью, либо создавая специальнуюучетную запись на каждом узле и указывая данную учетную запись принастройке политики сканирования при сканировании на уровне сети.Итогом выполнения всех сканирований будет набор отчетов, содержащихсписок найденных уязвимостей. Данные отчеты необходимо совместить в одинотчет об уязвимостях, найденных с использованием сканеров безопасности.Форма отчета представлена в приложении Б к методическим рекомендациям.Совмещение производится путем переноса информации об уязвимости изотчетов сканеров безопасности, не занося в отчет одну и ту же уязвимость болееодного раза.
Отдельной частью отчета определяется набор рекомендаций поустранению уязвимостей. Информация в данную часть также переносится изсоответствующих полей записей об уязвимостях в отчете, или из предлагаемыхисточников информации об уязвимостях.После проведения действия по выявлению уязвимостей составляется планустранения уязвимостей. План устранения состоит из отдельных мероприятий,перенесенных из части отчета по поиску уязвимостей «Рекомендации поустранению». Каждому мероприятию назначается ответственное за еговыполнение лицо и временные рамки исполнения.
Форма плана устраненияуязвимостей указана в приложении В к методическим рекомендациям.Ответственные за выполнение мероприятий лица обеспечивают внесениеизменений в состав и конфигурацию информационной системы или ее частей втечение указанного времени.Не устраненные (неустранимые на данный момент) уязвимости заносятся вдополнительный отчет, используя классификацию ГОСТ Р 56546-2015.4.2.3 Путем проведения тестирования информационной системы напроникновениеПроведение тестирования на проникновение не является лицензируемымвидом деятельности согласно Федеральному Закону «О лицензировании102отдельных видов деятельности» No99 от 04.05.2011.Поэтому существуют два варианта проведения тестирования напроникновение:с привлечением сторонней организации, предоставляющей услуги попроведению тестирования на проникновение;силами собственной организации.В случае привлечения сторонней организации, следует определитьследующие положения в процессе разработки договора о предоставленииуслуги:модель потенциального нарушителя (внешний или внутренний);степень осведомленности нарушителя об информационной системе;ограничения на технологии и методы тестирования в зависимости отдопустимой степени риска нанесения ущерба информационной системе впроцессе тестирования;точки остановки процесса тестирования для минимизации ущербаинформационной системе в процессе тестирования;неразглашение информации, полученной в процессе тестирования,третьим лицам.Для проведения полного анализа уязвимостей необходимо рассматриватькак внутреннего, так и внешнего нарушителя.
В случае внешнего нарушителясчитается, что он не обладает никакой информацией об информационнойсистеме, за исключением набора внешних IP-адресов организации.В случае внутреннего нарушителя необходимо определить, какая должностьили должности могут быть скомпрометированы. Данная информация берется измодели потенциального нарушителя, составленной при проектированиисистемы защиты информации. Данные об информационной системе, доступныеданным должностям считаются доступными нарушителю при проведениитестирования на проникновение с позиции внутреннего нарушителя.Решение о допустимой степени ущерба информационной системе в ходе103теста на проникновение оставляется за руководящими лицами организации.Вынесенное решение налагает ограничения на технологии и методытестирования, а также определяет точки остановки.
Возможные вариантывключают в себя:никакого ущерба ни информационной системе, ни содержащимся в нейданным. Запрещено использование технологий и методов, нарушающихцелостность и доступность данных; изменяющих параметрыконфигурации узлов системы; ослабляющих состояние защищенностиинформационной системы;разрешено нарушение целостности информации, содержащейся винформационной системе, для демонстрации возможностейпотенциального нарушителя;разрешено нарушение целостности и доступности информации,содержащейся в информационной системе, для проверки и демонстрациивозможностей потенциального нарушителя;разрешено нарушение свойств защищенности данных информационнойсистемы.
Разрешено изменение параметров конфигурации узлов системыдля более подробного изучения возможностей потенциальногонарушителя;разрешены любые действия в информационной системе, включаяослабление состояния защищенности для полноты изучениявозможностей потенциального нарушителя. (Рекомендуется только приусловии ограниченного функционирования информационной системы вовремя проведения тестирования на проникновение).Так как информационная система не находится на этапе эксплуатации,обязательно выполнение тестовых сценариев, которые могут нанести ущербфункционированию системы.Договор о неразглашении информации об информационной системе,полученной в ходе проведения тестирования на проникновение, обязательно104подписывается подрядчиком, проводящим тестирование.При принятии решения о тестировании собственными силами организациирассматриваются те же самые вопросы, за исключением договора онеразглашении.
Назначаются ответственные лица из отдела, отвечающего забезопасность информационной системы. Распределяются роли ответственныхлиц – симуляция внутреннего и внешнего нарушителей.Ответственные лица должны ознакомиться с рекомендуемыми методикамипроведения тестирования на проникновение.
На данный момент (2017 год) это:OWASP Testing Guide (https://www.owasp.org/images/1/19/OTGv4.pdf);OSSTMM (http://www.isecom.org/mirror/OSSTMM.3.pdf).Тестирующие систему лица производят действия по следующему порядку:тестирующие систему лица производят поиск всех доступных имуязвимостей информационной системы. Поиск производится каквручную с использованием баз данных уязвимостей, так и с помощьюавтоматизированных средств (например, сканеров безопасности иразличных приложений и утилит, используемых настоящиминарушителями);производится проверка всех найденных уязвимостей путем попытки ихэксплуатации.
Не успешные попытки выявляют уже устраненные илизащищенные уязвимости. Данные уязвимости более не рассматриваютсяи в отчет не включаются. Успешные попытки идентифицируют реальносуществующие уязвимости. Данные уязвимости исследуются на предметповышения уровня доступа и привилегий тестирующего лица винформационной системе и заносятся в отчет. Также данные обуязвимости немедленно передаются в отдел информационнойбезопасности организации;повысив свой уровень доступа, тестирующее лицо производитразвертывание на скомпрометированных узлах системы необходимыхсредств тестирования;105процесс повторяется с первого пункта, принимая во внимание новыевозможности тестирующего лица.В процессе тестирования каждая найденная и подтвержденная уязвимостьзаносится в отчет о проведенном тестировании по форме, описанной в ГОСТ Р56545-2015, с указанием известных мер по устранению и величины возможногоущерба.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
