Антиплагиат (1209233), страница 2
Текст из файла (страница 2)
Попов« » июня 2017 г.РАЗРАБОТКА МЕТОДИЧЕСКИХ РЕКОМЕНДАЦИЙ ПРОВЕДЕНИЯАНАЛИЗА ЗАЩИЩЕННОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙСИСТЕМЕПояснительная записка к дипломному проектуД 10.05.03 25К ПЗСтудент гр.(25К) В.Е. НикитенкоКонсультант по экономике(старший преподаватель) С.Н. КурякинаКонсультант по БЖД(доцент, к.т.н., доцент) А.А. БалюкРуководитель(директор ДВУНЦ, доцент) В.Н. НикитинНормоконтроль(доцент, к.п.н., доцент) В.И. ШестухинаХабаровск – 20172ОглавлениеВведение..............................................................................................................31 Общие сведения об анализе защищенности...................................................32 Исследование существующих методик проведения анализа защищенности................................................................................................................................... 33 Составление методических рекомендаций по анализу защищенности........
33.1 Этапы проведения анализа защищенности.............................................. 33.2 Мероприятия анализа защищенности.......................................................33.2.1 Выявление, анализ и устранение уязвимостей информационнойсистемы ( 1 АНЗ 1)................................................................................................. 33.2.2 Контроль установки обновлений программного обеспечения ( 2 АНЗ2).......................................................................................................................... 3http://e.lanbook.com3.2.3 Контроль работоспособности, 2 правильности функционирования и 1верности конфигурации ( АНЗ 3)........................................................................33.2.4 Контроль состава технических средств, программного обеспеченияи средств защиты информации ( 2 АНЗ 4)............................................................ 33.2.5 Контроль правил генерации и смены паролей пользователей,заведения и удаления учетных записей пользователей, реализации правилразграничения доступом, полномочий пользователей в информационнойсистеме ( 1 АНЗ 5)..................................................................................................
33.3 Определение мероприятий, проводимых на этапах жизниинформационной системы.................................................................................... 33.3.1 Этап проектирования........................................................................... 33.3.2 Этап введения в эксплуатацию............................................................33.3.3 Этап эксплуатации............................................................................... 333.4 Средства анализа защищенности..............................................................33.4.1 Сканеры безопасности.........................................................................33.4.2 Средства инвентаризации ресурсов информационной системы....... 3Заключение..........................................................................................................3Приложение А.....................................................................................................34ВведениеОбеспечение информационной безопасности в информационных системахосновано на следовании требованиям нормативных документов РФ в областизащиты информации.
В настоящее время таких документов действует большоемножество, что приводит специалиста информационной безопасности кнеобходимости собирать данные о требованиях и способах их выполнения изразличных источников. Это, в свою очередь, затрудняет понимание информациии выполнение необходимых мероприятий.Одной из требуемых мер обеспечения безопасности информационныхсистем 5 является 16 проведение анализа защищенности информации.
16 Такоетребование предъявляется к государственным информационным системам вприказе ФСТЭК No17 в разделе 18.Обеспечение защиты информации в ходе эксплуатации аттестованнойинформационной системы осуществляется оператором в соответствии сэксплуатационной документацией на систему защиты информации иорганизационно-распорядительными документами по защите информации и втом числе включает:управление (администрирование) системой защиты информацииинформационной системы;выявление инцидентов и реагирование на них;управление конфигурацией аттестованной информационной системы и еесистемы защиты информации;контроль (мониторинг) за обеспечением уровня защищенностиинформации, содержащейся в информационной системе.
2Также это требование предъявляется и информационным системам5персональных данных в приказе ФСТЭК No21в разделе 8.В состав мер по обеспечению безопасности персональных данных,реализуемых в рамках системы защиты персональных данных с учетомактуальных угроз безопасности персональных данных и применяемыхинформационных технологий, входят:идентификация и аутентификация субъектов доступа и объектов доступа;управление доступом субъектов доступа к объектам доступа;ограничение программной среды;защита машинных носителей информации, на которых хранятся и (или)обрабатываются персональные данные (далее - машинные носителиперсональных данных);регистрация событий безопасности; антивирусная защита;обнаружение (предотвращение) вторжений;контроль (анализ) защищенности персональных данных;обеспечение целостности информационной системы и персональныхданных;обеспечение доступности персональных данных; защита средывиртуализации; защита технических средств;защита информационной системы, ее средств, систем связи и передачиданных;выявление инцидентов (одного события или группы событий), которыемогут привести к сбоям или нарушению функционированияинформационной системы и (или) к возникновению угроз безопасностиперсональных данных (далее - инциденты), и реагирование на них;управление конфигурацией информационной системы и системы защитыперсональных данных.
28Выполнение данного требования возлагается на оператора информационнойсистемы при выполнении работ по организации системы защиты информации.Однако в методическом документе ФСТЭК «Меры защиты информации»6представлены только требования и общий порядок их исполнения. Другиенормативные документы также не содержат рекомендаций по проведениюконтроля защищенности информации в информационных системах. Этоприводит к выводу о необходимости использования сторонних методикобеспечения анализа защищенности, популярных на данный момент. Такжеактуальной становится задача создания методических рекомендаций проведенияанализа защищенности информации в информационной системе, подробнораскрывающих процесс проведения всех мероприятий.
Результатом выполнениятаких методических рекомендаций должно стать полное выполнениетребований нормативных документов в области обеспечения информационнойбезопасности.71 Общие сведения об анализе защищенностиАнализ защищенности – это комплекс действий по выявлению уязвимостейинформационной системы и контролю выполнения и эффективностииспользуемых мер защиты. Выполнение этих действий позволяет проверитьадекватность реализованных механизмов организации безопасностиинформации существующим угрозам и рискам.Анализ защищенности является основным элементом таких 7 видов работ какаттестация, аудит и обследование безопасности АС. 9Проведение анализа защищенности позволяет ответить на следующиевопросы:насколько адекватны реализуемые в информационной системе механизмыбезопасности существующим рискам;можно ли доверять 9 данной информационной системе обработкуконфиденциальной информации; 9содержит ли установленное в 9 информационной системе программноеобеспечение уязвимости, которые могут быть использованы для взломазащиты; 9имеются ли в текущей конфигурации 7 информационной системы ошибки,позволяющие потенциальным злоумышленникам обойти механизмыконтроля доступа; 7какие контрмеры позволят 9 повысить уровень защищенности 9информационной системы.На практике всегда существует большое количество неподдающихся точнойоценке возможных путей осуществления угроз безопасности в отношенииресурсов 12 информационной системы.
В 10 идеале каждый путь осуществления 78угрозы должен быть перекрыт соответствующим механизмом защиты. Данноеусловие является первым фактором, определяющим защищенность 7информационной системы. Вторым фактором является прочностьсуществующих механизмов защиты, характеризующаяся степеньюсопротивляемости этих механизмов попыткам их обхода либо преодоления.Третьим фактором является величина ущерба, наносимого владельцу 10информационной системы в случае успешного осуществления угрозбезопасности. На практике получение точных значений приведенныххарактеристик затруднено, т. к.
понятия угрозы, ущерба и сопротивляемостимеханизма защиты трудно формализуемы. Например, оценку ущерба врезультате 12 несанкционированного доступа к 10 информации политического ивоенного характера точно определить вообще невозможно, а определениевероятности осуществления угрозы не может базироваться на статистическоманализе. Оценка степени сопротивляемости механизмов защиты всегда являетсясубъективной. 7Анализ защищенности преследует следующие цели:получение актуальных данных о состоянии информационнойбезопасности системы организации;подготовка рекомендаций, способных повысить уровень безопасностиинформационной системы организации;реализация подготовленных рекомендаций по повышению уровнябезопасности информационной системы организации.Регулярное выполнение анализа защищенности обеспечивает постояннуюподдержку состояния безопасности информационной системы путемвыполнения указанных мероприятий.С анализом защищенности связаны следующие нормативные документы:приказ ФСТЭК No17 от 11.02.2013;приказ ФСТЭК No21 от 18.02.2013;методический документ ФСТЭК «Меры защиты информации» от911.02.2014;« Перечень контрольно-измерительного и испытательного оборудования,средств контроля защищенности, необходимых для выполнения работ потехнической защите конфиденциальной информации» 57 ФСТЭК от19.04.2017;«Положение о сертификации средств защиты информации»Государственной технической комиссии от 25.10.1995(УтвержденоПриказом Государственной технической комиссии от 27 октября 1995 г.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
