Антиплагиат (1209233), страница 17
Текст из файла (страница 17)
Данный документ теперь являетсячастью эксплуатационной документации и изменяется в соответствии спроводимыми мероприятиями по контролю установки обновлений для118отражения настоящих версий установленных в информационной системепрограммного обеспечения и средств защиты информации.5.3 Контроль работоспособности 5 программного обеспечения и средствзащиты информации 2Необходимо проводить постоянный контроль работоспособности(неотключения) программного обеспечения и средств защиты информации 1путем мониторинга журналов событий безопасности, созданных и ведущихсяпри реализации соответствующих мер защиты информации.Необходимо назначить лицо, ответственное за мониторинг журнала событийбезопасности. В случае если журнал фиксирует нарушение работоспособности,данное лицо обязано произвести проверку данного программного обеспеченияили средства защиты информации.
Если возможно устранитьнеработоспособность немедленно, ответственное лицо устраняет его. В иномслучае необходимо перевести соответствующую часть информационнойсистемы в режим ограниченной обработки информации согласноорганизационным документам на время устранения неработоспособности.В процессе проведения действий по восстановлению работоспособностипрограммного обеспечения или средства защиты информации необходимосоставить отчет, состоящий из следующих полей:неработоспособный компонент информационной системы;причина неработоспособности;лицо, обнаружившее факт неработоспособности;время обнаружения неработоспособности;лицо, устранившее неработоспособность компонента;действия, восстановившие работоспособность;время восстановления работоспособности.1195.4 Контроль соответствия параметров конфигурации программногообеспечения и средств защиты информации эксплуатационной документацииинформационной системыНеобходимо проводить контроль соответствия параметров конфигурациипрограммного обеспечения и средств защиты информации (см.
Порядокпроведения контроля соответствия параметров конфигурации программногообеспечения и средств защиты информации проектной документации на этапеввода информационной системы в эксплуатацию).Данное мероприятие необходимо проводить не реже, чем раз в месяц.На этапе эксплуатации в качестве опорного документа используетсясоставленный на этапе введения в эксплуатацию перечень настроекпрограммного обеспечения и средств защиты информации. Данный документтеперь является частью эксплуатационной документации и изменяется всоответствии с проводимыми мероприятиями по изменению параметровконфигурации для отражения настоящей конфигурации установленных винформационной системе программного обеспечения и средств защитыинформации.5.5 Контроль 1 правильности функционирования программного обеспечения исредств защиты информации 2Необходимо проводить контроль правильности функционированияпрограммного обеспечения и средств защиты информации ( 6 см.
Порядокпроведения контроля правильности функционирования программногообеспечения и средств защиты информации 2 на 1 этапе ввода информационнойсистемы в 6 эксплуатацию).Данное мероприятие необходимо проводить не реже, чем раз в месяц.На этапе эксплуатации в качестве опорных документов используетсяэксплуатационная документация, в частности документ «Описание120программного обеспечения». Данный документ изменяется в соответствии спроводимыми мероприятиями по изменению состава компонентовинформационной системы и их функций для отражения настоящих правилфункционирования программного обеспечения и средств защиты информации.5.6 Контроль состава и 5 конфигурации технических средств, программногообеспечения и средств защиты информации 2Необходимо проводить контроль состава технических средств,программного обеспечения и средств защиты информации ( 2 см. Порядокпроведения контроля состава технических средств, программного обеспеченияи средств защиты информации 6 на 1 этапе ввода информационной системы в 6эксплуатацию).Данное мероприятие необходимо проводить не реже, чем раз в месяц.На этапе эксплуатации в качестве опорного документа используетсясоставленный на этапе введения в эксплуатацию перечень технических средств,программного обеспечения и средств защиты информации.
6 Данный документстановится частью эксплуатационной документации и изменяется всоответствии с проводимыми мероприятиями по изменению составакомпонентов информационной системы.Также необходимо проводить контроль сроков действия сертификатов 1 насертифицированные средства 1 защиты информации в информационной системе 1согласно составленному на этапе введения в эксплуатацию графику проведения.За три месяца до даты окончания срока действия сертификата соответствиясредства защиты информации необходимо отправить производителю средствазащиты запрос информации о продлении срока действия сертификатасоответствия. Положительный ответ производителя средства защитыинформации 1 необходимо приложить к эксплуатационной документации на 1средство защиты информации.
Этот ответ будет считаться разрешением надальнейшее использование средства защиты информации, даже если срок121действия его сертификата соответствия истечет.В случае получения отрицательного ответа, администратору системызащиты необходимо принять решение о дальнейшем применении средствазащиты информации. Возможны два варианта:необходимо продолжить применение средства защиты информации; 17возможно заменить средство защиты информации 17 на другоесертифицированное средство с необходимым функционалом.В случае вынесения решения о продолжении использования средствазащиты информации необходимо направить запрос в орган по сертификациисредств защиты информации о продлении срока действия сертификатасоответствия для всех экземпляров средства защиты, используемых винформационной системе согласно процедуре, описанной в положении осертификации средств защиты информации Государственной техническойкомиссии от 25.10.1995.
В график выполнения работ по контролю сроковдействия сертификатов необходимо добавить новую запись с указаниемсредства защиты информации и новой датой окончания срока действиясертификата, а также с пометкой о необходимости самостоятельного продлениясрока действия сертификата.В случае вынесения решения о замене средства защиты информации надругое сертифицированное средство с необходимым функционалом необходимодобавить данное мероприятие в проектную документацию по изменениюсистемы защиты в ходе эксплуатации системы защиты информации.5.7 Контроль реализации правил генерации и изменения паролей, создания иудаления учетных записей пользователей информационной системы,разграничения их доступа и полномочийНеобходимо проводить контроль реализации правил генерации и измененияпаролей, создания и удаления учетных записей пользователей информационнойсистемы, разграничения их доступа и полномочий (см. Порядок проведения122контроля реализации правил генерации и изменения паролей, создания иудаления учетных записей пользователей информационной системы,разграничения их доступа и полномочий на этапе ввода информационнойсистемы в эксплуатацию).Данное мероприятие необходимо проводить не реже, чем раз в квартал.На этапе эксплуатации в качестве опорных документов такжеорганизационно-эксплуатационная документация информационной системы.
Вслучае обнаружения несоответствия проверяющему лицу следует проверитьорганизационно-эксплуатационную документацию на наличие документа,разрешающего данное несоответствие в особом порядке.123Приложение БФорма отчета о результатах выполнения работ по выявлению уязвимостей1 Выявленные в ходе проведения поиска уязвимости информационнойсистемы.Список найденных уязвимостей представлен в таблице Б.1.Таблица Б.1 – Список найденных уязвимостейОписание уязвимости No страницыотчетаВозможность применения XSS-атаки на роутер ASUS RT-G32из-за скрипта start-apply.htm1Возможность получения данных пользователя MicrosoftWindows, путем перенаправления HTTP-запроса на SMB серверзлоумышленника.4... ...Описание одной уязвимости представлено в таблице Б.2.Таблица Б.2 – Описание одной уязвимостиНаименование уязвимости Возможность применения XSS-атаки на роутерASUS RT-G32 из-за скрипта start-apply.htmИдентификатор уязвимости X-Force-2017-0001Идентификаторы другихсистем описанияCVE-2017-5891Краткое описаниеуязвимостиASUS RT-AC и RT-N уязвимы к межсайтовымзапосам, из-за недостаточной проверкискриптом login.cgi вводимых пользователемданных.
Заставив аутентифицированногопользователя посетить зараженный сайт,удаленный злоумышленник может послатьспециальный HTTP-запрос на выполнениенеавторизованных действий. Злоумышленникможет эксплуатировать эту уязвимость длявыполнения атак вида межсайтовогоскриптинга, внедрения данных в веб-кэш и124других.Окончание таблицы Б.2Наименование уязвимости Возможность применения XSS-атаки на роутерASUS RT-G32 из-за скрипта start-apply.htmКласс уязвимости Уязвимость кодаНаименование продукта иего версияAsus RT-N16 прошивка версии ниже, чем3.0.0.4.380.7378Служба (порт) TCP:80 (TCP:8080)Тип недостатка Межсайтовый скриптингИдентификатор типанедостаткаCWE-352Место возникновенияуязвимостиСетевое оборудованиеДата выявленияуязвимости12/04/2017Способ (правило)обнаружения уязвимостиРоутер Asus RT прошивка версии ниже, чем3.0.0.4.380.7378Критерии опасностиуязвимостиБазовая оценка CVSS 3.0 8.8Вектор атаки NetworkСложность атаки LowТребуемые права доступа NoneВзаимодействие с пользователем RequiredОбласть UnchangedВлияние на конфиденциальность HighВлияние на целостность HighВлияние на доступность HighСтепень опасностиуязвимости 34ВысокийВозможные меры поустранению 34Обновление прошивки до версии3.0.0.4.380.7378 или выше.1252 Рекомендации по устранению уязвимостейПеречень мероприятий по устранению уязвимостей представлен в таблицеБ.3.Таблица Б.3 – Перечень мероприятий по устранению уязвимостейОписание мероприятияОбновление прошивки роутера Asus RT-N16 до версии 3.0.0.4.380.7378 иливыше....Отчет составил (дата, подпись) Ф.И.О.126Приложение ВФорма плана выполнения работ по устранению выявленных уязвимостейПлан выполнения работ по устранению уязвимостей представлен в таблицеВ.1.Таблица В.1 – План выполнения работ по устранению уязвимостейОписание мероприятия ОтветственноелицоДатавыполненияОбновление прошивки роутера Asus RT-N16до версии 3.0.0.4.380.7378 или выше.Иванов И.И.
20.05.2017... ... ...План составил (дата, подпись) Ф.И.127.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
