Антиплагиат (1209233), страница 16
Текст из файла (страница 16)
Пункты данного отчета создаются на основе проектной документацииинформационной системы, в частности «Описание программного обеспечения»и «Комплекс технических средств».Ответственное лицо обязано проверить наличие каждого компонента изотчета в информационной системе путем его поиска в отчете средствинвентаризации. Также необходимо провести обратную проверку: проверитьналичие каждого компонента, описанного в отчете средства инвентаризации, впроектной документации.В случае обнаружения отсутствия компонента к пункту отчета добавляютсяследующие поля:отметка об устранении несоответствия;описание устранения несоответствия;лицо, устранившее несоответствие;дата устранения несоответствия.В случае обнаружения несанкционированного присутствия компонента, вотчет добавляется новый пункт в отдельный раздел, включая новые поля.Все несоответствия в отчете выносятся в план их устранения.
Каждый пунктплана представляет собой одно несоответствие со следующими полями:описание несоответствия;выбранное мероприятие по устранению несоответствия;112лицо, ответственное за устранение несоответствия;временные рамки устранения несоответствия.Выбор мероприятий по устранению несоответствий в составе техническихсредств, программного обеспечения и средств защиты информации 6 проектнойдокументации производится из следующих рекомендуемых:развертывание отсутствующего компонента информационной системы;удаление из информационной системы не санкционированноприсутствующего компонента информационной системы;разрешение несоответствия путем модификации эксплуатационнойдокументации.План приводится в исполнение с занесением соответствующей информациив отчет о контроле состава.
Полученный отчет подтверждает отсутствие неустраненных несоответствий состава технических средств, программногообеспечения и средств защиты в 1 информационной системе 5 проектнойдокументации.Из полученного отчета составляется перечень технических средств,программного обеспечения и средств защиты информации 2 информационнойсистемы. 16 Данный перечень вносится в эксплуатационную документациюинформационной системы.На основании составленного перечня средств защиты информациинеобходимо составить график проведения контроля сроков действиясертификатов 1 на сертифицированные средства защиты информации. 1 Графикпредставляет собой набор дат с указанием средств защиты, чьи сертификатыбудут проверяться по наступлении этих дат на этапе эксплуатацииинформационной системы. Данные даты выбираются как даты окончаниясроков действия сертификатов соответствующих средств защиты.
Данные датыдоступны в Государственном реестре сертифицированных средств защитыинформации ФСТЭК. Данный график также вносится в эксплуатационнуюдокументацию информационной системы.1134.7 Контроль исполнения правил генерации и изменения паролей, созданияи удаления учетных записей пользователей информационной системы,разграничения их доступа и полномочийНеобходимо составить перечень правил генерации и изменения паролей,создания и удаления учетных записей пользователей информационной системы,разграничения их доступа и полномочий.
Данный перечень составляется наоснове организационно-распорядительной документации, созданной приреализации соответствующих мер защиты информации. На основе данногоперечня составляется отчет о проведении контроля реализации правил. Каждыйпункт данного отчета представляет собой одно правило со следующими полями:описание правила;конфигурация средств защиты информации, реализующая данноеправило;настоящая конфигурация средств защиты информации;отметка о соответствии конфигурации;лицо, ответственное за контроль реализации правила;дата проведения контроля реализации.Конфигурация средств защиты информации, реализующая правило, описанав организационно-распорядительной документации, созданной при реализациисоответствующих мер защиты информации. Настоящая конфигурация средствзащиты информации описана в отчете о работе выбранных средствинвентаризации настроек средств защиты информации.Назначенное ответственным за контроль лицо обязано реализовать проверкусоответствия настоящей конфигурации установленной.
В случае обнаружениянесоответствия к пункту отчета добавляются следующие поля:отметка об устранении несоответствия;описание устранения несоответствия;114лицо, устранившее несоответствие;дата устранения несоответствия.Проводящее контроль соответствия лицо устраняет несоответствие, если этовозможно, и вносит соответствующие данные в отчет.В случае если обнаружены неустранимые несоответствия, они выносятся вотдельный отчет, который передается лицам, ответственным за принятиерешения о проведении мероприятий по устранению несоответствий. Данноелицо принимает решение о методе устранения несоответствия,соответствующего причине появления несоответствия. Решения по каждомунесоответствию заносятся в план мероприятий по устранению несоответствийпараметров настройки 16 программного обеспечения и средств защитыинформации с 16 указанием ответственных за выполнение лиц и временных рамокисполнения.
План приводится в исполнение с занесением соответствующейинформации в отчет о контроле соответствия.Полученный отчет подтверждает отсутствие несоответствий конфигурациисредств защиты в информационной системе и верность реализации правилгенерации и изменения паролей, создания и удаления учетных записейпользователей информационной системы, разграничения их доступа иполномочий.1155 Этап эксплуатации аттестованной системы защиты информацииНа этапе эксплуатации каждое мероприятие необходимо производить спериодичностью, не превышающей рекомендованную.5.1 Поиск уязвимостей 1 информационной системыПериодическое 56 проведение выявления 1 уязвимостей информационнойсистемы 1 на этапе эксплуатации аттестованной системы защиты информациивключает в себя все мероприятия, проведенные на этапе внедренияинформационной системы в эксплуатацию, с изменениями, предназначеннымидля обеспечения непрерывного функционирования информационной системы.Также необходимо проводить постоянное выявление уязвимостей нулевого дня.5.1.1 С использованием общедоступных баз данных уязвимостейНеобходимо проводить поиск уязвимостей информационной системы сиспользованием баз данных уязвимостей (см.
Порядок поиска уязвимостейинформационной системы с использованием баз данных уязвимостей на этапепроектирования информационной системы).Данное мероприятие необходимо проводить не реже, чем раз в квартал.5.1.2 С использованием сканеров безопасностиНеобходимо проводить поиск уязвимостей информационной системы сиспользованием сканеров безопасности (см. Порядок поиска уязвимостейинформационной системы с использованием сканеров безопасности на этапеввода информационной системы в эксплуатацию).116Данное мероприятие необходимо проводить не реже, чем раз в месяц.Рекомендуется исключать из сценариев проверки сканеров безопасности те,которые могут нанести недопустимый ущерб функционированиюинформационной системы.
Степень допустимого ущерба определяетсяоператором информационной системы. Возможно введение ограничения наобработку информации в информационной системе согласно организационнораспорядительным документам на время проведения поиска уязвимостейинформационной системы с использованием сканеров безопасности.5.1.3 Путем проведения тестирования информационной системы напроникновениеНеобходимо проводить поиск уязвимостей информационной системы путемтестирования на проникновение (см. Порядок поиска уязвимостейинформационной системы путем тестирования на проникновение на этапе вводаинформационной системы в эксплуатацию). Данное мероприятие необходимопроводить не реже, чем раз в полгода.Рекомендуется исключать из сценариев тестирования те, которые могутнанести недопустимый ущерб функционированию информационной системы.Степень допустимого ущерба определяется оператором информационнойсистемы.
Возможно введение ограничения на обработку информации винформационной системе согласно организационно-распорядительнымдокументам на время проведения поиска уязвимостей информационнойсистемы путем тестирования на проникновение.5.1.4 Путем поиска уязвимостей нулевого дняНеобходимо создать перечень источников информации об уязвимостяхнулевого дня. В качестве данных источников рекомендуется использоватьследующие новостные сайты, специализирующиеся на вопросах117информационной безопасности:Anti-Malware.ru;SecurityLab.ru;Cert.org;Secunia.Возможно использование дополнительных источников информации обуязвимостях нулевого дня, выбранных оператором как доверенных.Необходимо проводить ежедневный просмотр данных источников напредмет появления новых уязвимостей.
Каждая найденная таким образомуязвимость вносится в промежуточный список возможных уязвимостейсогласно ГОСТ Р 56545-2015. Далее необходимо провести поиск уязвимостей винформационной системе с использованием составленного списка в качествеобщедоступной базы данных уязвимостей (см. Порядок поиска уязвимостейинформационной системы с использованием баз данных уязвимостей на этапепроектирования информационной системы).5.2 Контроль 2 установки обновлений программного обеспечения и средствзащиты информации 1Необходимо проводить контроль 2 установки обновлений программногообеспечения и средств защиты информации ( 1 см. Порядок проведения контроля 6установки обновлений программного обеспечения и средств защитыинформации 1 на 1 этапе ввода информационной системы в 6 эксплуатацию).Данное мероприятие необходимо проводить не реже, чем раз в неделю.На этапе эксплуатации в качестве опорного документа используетсясоставленный на этапе введения в эксплуатацию перечень программногообеспечения и средств защиты информации.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
