Антиплагиат (1209233), страница 3

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 3)

N199);ГОСТ Р 56545-2015;ГОСТ Р 56546-2015;ГОСТ Р ИСО/МЭК 27002-2012.Приказы ФСТЭК No17 и No21 определяют этапы жизни информационнойсистемы, на которых требуется выполнения анализа защищенности, какполностью, так и в сокращенном виде. Приказ ФСТЭК No17 утверждаетследующее:требуется проведение действий по выявлению и устранению возможныхуязвимостей на этапе проектирования информационной системы (п.15.1);требуется проведение действий по выявлению и устранению уязвимостейна этапе внедрения в эксплуатацию системы защиты информации (п. 16); 16требуется разработать организационно-распорядительные документы позащите информации, в том числе 16 для контроля уровня защищенностиинформации, содержащейся в информационной системы (п.

16.2); 16требуется проверка правильности установки и настройки средств защитыинформации, технических средств и программного обеспечения, а также 2корректности работы средств защиты информации (п. 16.6); 2требуется выполнение контроля защищенности информации,содержащейся в информационной системе на этапе эксплуатации10информационной системы (п. 18.4).Приказы ФСТЭК No17 и 21 также вводят анализ защищенности в состав мерпо обеспечению безопасности информации и определяют его как действия,обеспечивающие контроль уровня защищенности информации путемпроведения соответствующих мероприятий и тестирования системы защитыинформации.Методический документ ФСТЭК «Меры защиты информации» определяетсодержание анализа защищенности в виде пяти мер защиты 4 информации АНЗ:АНЗ.1 Выявление, анализ и устранение уязвимостей информационнойсистемы; 1АНЗ.2 Контроль установки обновлений программного обеспечения,включая 1 программное обеспечение средств защиты информации;АНЗ.3 Контроль работоспособности, параметров настройки иправильности функционирования программного обеспечения и средствзащиты информации;АНЗ.4 Контроль состава технических средств, программногообеспечения и средств защиты информации;АНЗ.5 Контроль правил генерации и смены паролей пользователей,заведения и удаления учетных записей пользователей, реализации правилразграничения доступом, полномочий пользователей в информационнойсистеме.

6Требуется 6 обязательное выполнение данных мер для всех классов (уровней)защищенности, кроме четвертого.« Перечень контрольно-измерительного и испытательного оборудования,средств контроля защищенности, необходимых для выполнения работ потехнической защите конфиденциальной информации» 57 ФСТЭК определяетфункциональные характеристики средств анализа защищенностиинформационных систем. Данный текст приводится в таблице 1.1.11Таблица 1.1 – Выписка из перечня контрольно-измерительного ииспытательного оборудования, средств контроля защищенности, необходимыхдля выполнения работ по технической защите конфиденциальной информацииНаименованиеоборудованияФункциональные характеристикиСредства (системы)контроля (анализа)защищенностиинформационных системАвтоматизированная инвентаризация ресурсовинформационных систем (сбор информации обузлах информационных систем и используемом вних программном обеспечении), выявлениеуязвимостей в них.Должны иметь сертификаты соответствия ФСТЭКВажно, что данный документ устанавливает два функционала средстванализа защищенности:автоматизированная инвентаризация ресурсов информационных систем;выявление уязвимостей в ресурсах информационных систем.Данные функции могут быть реализованы как в одном средстве, так и вотдельных.

Также важно, что требуется при выполнении анализа защищенностииспользовать только сертифицированные средства анализа защищенности.«Положение о сертификации средств защиты информации» Государственнойтехнической комиссии от 25.10.1995 определяет процедуру сертификациисредств защиты информации, как для производства, так и единичных партий.Вторая ситуация возникает в том случае, когда производитель не желаетпродлевать срок действия сертификата, но использование средства защитыпризнается необходимым оператором защищаемой информационной системы.Также положение определяет срок подачи заявления на продление сертификата(за 3 месяца до окончания срока действия сертификата), что также позволяетопределить срок, в который производитель должен принять решение опродлении. Именно в такой срок оператор защищаемой информационнойсистемы должен запросить информацию у производителя средства защиты опродлении сертификата.ГОСТ Р 56545-2015 и ГОСТ Р 56546-2015 определяют классификацию иправила описания уязвимостей соответственно.

Использование стандартнойформы описания и классификации уязвимостей позволяет облегчить работы по12анализу и устранению уязвимостей.ГОСТ Р ИСО/МЭК 27002-2012 рекомендует вести постоянно обновляемуюи полную опись активов (компонентов информационной системы) дляреализации эффективного контроля уязвимостей информационной системы. Вопись должна входить следующая информация:поставщик программного обеспечения;номер версий;текущее состояние развертывания ( какое программное обеспечениеустановлено на каких системах); 59специалисты, отвечающие в организации за программное обеспечение.В качестве действий по нейтрализации уязвимостей данный стандартрекомендует следующий список:установка обновлений из доверенных источников;отключение сервисов, связанных с уязвимостью;адаптацию или добавление средств управления доступом (напримермежсетевых экранов на сетевых границах); 59установка усиленного мониторинга для обнаружения илипредотвращения реальных атак;повышение осведомленности 59 персонала оператора об уязвимостях.132 Исследование существующих методик проведения анализа защищенностиНа данный момент существует множество сторонних методик проведенияанализа защищенности информации в информационной системе.

Все они могутбыть сгруппированы по следующим параметрам:основанные на вычислениях показателей защищенности;сконцентрированные на выявлении и устранении уязвимостей.Примером первой методики может служить статья Александра Астахова насетевом ресурсе «Iso27000.ru». Данная методика предполагает, что на практикевсегда существует большое количество не поддающихся точной оценкевозможных путей осуществления угроз безопасности в отношении ресурсов АС. 7Каждый путь осуществления угрозы должен быть перекрыт соответствующиммеханизмом защиты. Данное условие является первым фактором,определяющим защищенность АС. Вторым фактором является прочностьсуществующих механизмов защиты, характеризующаяся степеньюсопротивляемости этих механизмов попыткам их обхода, либо преодоления.Третьим фактором является величина ущерба, наносимого владельцу АС вслучае успешного осуществления угроз безопасности.На практике получение точных значений приведенных характеристик 7методика считает затрудненным, т.

к. понятия угрозы, ущерба исопротивляемости механизма защиты 12 являются трудно формализуемыми.Например, оценку ущерба в результате НСД к информации политического ивоенного характера точно определить вообще невозможно, а определениевероятности осуществления угрозы не может базироваться на статистическоманализе. Оценка степени сопротивляемости механизмов защиты 12 считаетсявсегда субъективной.14Методика предлагает определить показатель защищенностиинформационной системы путем построения и исследования формальноймодели системы защиты АС.Основой формального описания 7 системы защиты 9 считается модель системыс 9 полным перекрытием, в которой рассматривается взаимодействие "областиугроз", "защищаемой области" (ресурсов АС) и "системы защиты" (механизмовбезопасности АС).Таким образом, имеем три множества:T = {ti} – множество угроз безопасности;O = {oj} – множество объектов (ресурсов) защищенной системы;M = {mk} – множество механизмов безопасности.Элементы этих множеств находятся между собой в определенныхотношениях, собственно и описывающих систему защиты.Для описания системы защиты обычно используется графовая модель,представленная на 7 Рисунке 2.1.

10 Множество отношений угроза-объект образуетдвухдольный граф {<T, O>}. Цель защиты состоит в том, чтобы перекрыть всевозможные ребра в графе. Это достигается введением третьего набора M. Врезультате получается трехдольный граф {<T, M, O>}.Рисунок 2.1 – 11 Графовая модель системы защиты 915 9Развитие этой модели предполагает введение еще двух элементов:V – набор уязвимых мест, 33 определяемый подмножеством декартовапроизведения T*O.

Таким образом, под уязвимостью системы защитыбудем понимать возможность осуществления угрозы t в отношенииобъекта o;B – набор барьеров, определяемый декартовым произведением V*M, 25представляющих собой пути осуществления угроз безопасности,перекрытые средствами защиты.В результате получаем систему, состоящую из пяти элементов: <T, O, M, V,B>, описывающую систему защиты с учетом наличия в ней уязвимостей,которая представлена на Рисунке 2.2.Рисунок 2.2 – 7 Графовая модель системы защиты с 9 учетом уязвимостейКаждый механизм защиты должен исключать соответствующий путьреализации угрозы <ti, oj>.

В действительности же механизмы защитыобеспечивают лишь некоторую степень сопротивляемости угрозамбезопасности. В связи с этим в качестве характеристик элемента наборабарьеров bl = <ti, oj, mk>, bl ϶ B может рассматриваться набор <Pl, Ll, Rl>, где 11Pk – вероятность появления угрозы 9Lk – величина ущерба при удачном осуществлении угрозы вотношении защищаемых объектов 9Rk – степень сопротивляемости механизма защиты 9 mk,16характеризующаяся вероятностью его преодоленияПрочность барьера bl = <ti, oj, mk> характеризуется величиной остаточногориска Riskl, связанного с возможностью осуществления угрозы безопасности tiв отношении объекта АС oj, при использовании механизма защиты 11 mk. Этавеличина определяется по формуле:Для определения величины защищенности S можно использоватьследующую формулу:где 9 Pk, Lk Є (0, 1);Rk Є [0,1).В этой формуле, знаменатель определяет 7 величину остаточных рисков,связанных с возможностью осуществления угроз безопасности T в отношенииобъектов АС O, при использовании механизмов защиты M.

Суммарная величинаостаточных рисков характеризует «общую уязвимость» системы защиты, азащищенность АС определяется как величина, обратная ее «уязвимости». Приотсутствии в системе барьеров 7 bk, перекрывающих определенные уязвимости,степень сопротивляемости механизма защиты Rk принимается равной нулю. 9Видно, что данная методика слабо связана с действующими на данныймомент нормативными документами в области защиты информации. Такжеданная методика не предлагает конкретных мероприятий по анализузащищенности.

Характеристики

Список файлов ВКР