Антиплагиат (1209233), страница 4
Текст из файла (страница 4)
Предлагается лишь метод оценки защищенностиинформационной системы. Использование данного типа методик не даеттребуемых результатов.Примером методики второго типа может служить «Методика анализазащищенности информационных систем компании GlobalTrust». Типоваяметодика включает использование следующих методов:изучение исходных данных по ИС;оценка рисков, связанных с осуществлением угроз безопасности в 3517отношении ресурсов ИС; 35ручной анализ конфигурационных файлов маршрутизаторов, МЭ ипрокси-серверов, осуществляющих управление межсетевымивзаимодействиями, почтовых и DNS серверов, а также другихкритических элементов сетевой инфраструктуры;сканирование внешних сетевых адресов ЛВС из сети Интернетсканирование ресурсов ЛВС изнутри;анализ конфигурации серверов и рабочих станций ЛВС при помощиспециализированных программных агентов;Перечисленные методы исследования предполагают использование какактивного, так и пассивного тестирования системы защиты.
Активноетестирование системы защиты заключается в эмуляции действийпотенциального злоумышленника по преодолению механизмов защиты.Пассивное тестирование предполагает анализ конфигурации ОС и приложенийпо шаблонам с использованием списков проверки. Тестирование можетпроизводиться вручную, либо с использованием специализированныхпрограммных средств. 7Отчет по результатам анализа защищенности ИС включает в себяследующие разделы:а) введение;б) общие описание объекта обследования:1) назначение и основные функции системы;2) группы задач, решаемых в системе;3) классификация пользователей 44 системы;4) организационная структура обслуживающего персонала;в) структура и состав комплекса программно-технических средств:1) 55 ЛВС;2) серверы;3) рабочие станции;184) линии связи и активное сетевое оборудование;5) виды информационных ресурсов, хранимых и обрабатываемых всистеме;6) 44 характеристика каналов взаимодействия с другими системами и точеквхода;г) 44 результаты анализа организационных уязвимостей;д) результаты анализа защищенности внешнего периметра сети:1) сканирование портов;2) идентификация сетевых сервисов;3) анализ сетевых сервисов;4) взлом паролей HTTP, POP3 и прочих сетевых сервисов;5) анализ конфигурации внешнего маршрутизатора, МЭ, активногосетевого оборудования и средств защиты периметра сети;6) анализ топологии ЛВС;е) результаты анализа защищенности внутренней ИТ-инфраструктуры:1) анализ защищенности серверов и рабочих станций;2) углубленный анализ параметров защищенности операционных систем;3) внутреннее сканирование ЛВС;ж)рекомендации по устранению обнаруженных недостатков и повышениюуровня защищенности:1) рекомендации по устранению уязвимостей внешнего периметра сети;2) рекомендации по устранению уязвимостей внутренней ИТинфраструктуры;з) выводы;и) приложения:к) заполненные опросные листы;л) отчеты сетевых сканеров безопасности;м)отчеты хостовых средств анализа защищенности.Видно, что данная методика определяет действия, выполнение которыхдолжно дать информацию о существующих уязвимостях информационной19системы, а также дать рекомендации по их устранению.
Но игнорируютсятребования нормативных документов относительно других аспектов контролязащищенности информации в информационной системе, таких как:контроль 2 установки обновлений программного обеспечения и средствзащиты информации; 1контроль 5 соответствия конфигурации программного обеспечения исредств защиты информации 2 эксплуатационной документации;контроль соответствия состава технических средств, программногообеспечения и средств защиты информации 1 эксплуатационнойдокументации;контроль выполнения правил генерации и смены паролей пользователей,заведения и удаления учетных записей пользователей, реализации правилразграничения доступом, полномочий пользователей в информационнойсистеме.
2Таким образом, видно, что существующие методики проведения анализазащищенности информации в информационной системе недостаточно полноописывают мероприятия, выполнение которых гарантирует соответствиенормативным документам в области защиты информации. Соответственно,актуальной задачей является составление методических рекомендацийпроведения анализа защищенности, которые должны:обеспечить полное и понятное описание проводимых мероприятий;быть основаны на требованиях, предъявляемых нормативнымидокументами в области защиты информации.203 Составление методических рекомендаций по анализу защищенностиМетодические рекомендации по проведению анализа защищенности должныпредставлять собой полный план действий оператора, следование которомуобеспечивает безошибочное проведение мероприятий по анализузащищенности.3.1 Этапы проведения анализа защищенностиПлан необходимо структурировать для удобства пользования.
Первое исамое основное разделение: различение мероприятий, проводимых наразличных этапах создания системы защиты информации. Таких этапов,согласно приказу ФСТЭК No17 от 11.02.2013, выделяется три:этап проектирования системы защиты информации; 41этап внедрения системы защиты информации; 41этап эксплуатации системы защиты информации. 41На каждом из указанных этапов требуется проведение анализазащищенности информационной системы (полного или частичного).3.2 Мероприятия анализа защищенностиПрежде чем распределять мероприятия по анализу защищенности, следуетрассмотреть план проведения каждого из них, а затем скорректировать план длякаждого этапа в зависимости от требований приказа ФСТЭК No17 от 11.02.2013.21Методический документ «Меры защиты информации» ФСТЭК от 11.03.2014определяет содержание меры «Анализ (контроль) защищенности информации».В содержании меры указаны следующие пункты:выявление, анализ и устранение уязвимостей информационной системы; 1контроль установки обновлений программного обеспечения, включая 1программное обеспечение средств защиты информации;контроль работоспособности, параметров настройки и правильностифункционирования программного обеспечения и средств защитыинформации;контроль состава технических средств, программного обеспечения исредств защиты информации;контроль правил генерации и смены паролей пользователей, заведения иудаления учетных записей пользователей, реализации правилразграничения доступом, полномочий пользователей в информационнойсистеме.
5Определим план проведения каждого из пунктов.3.2.1 Выявление, анализ и устранение уязвимостей информационнойсистемы ( 1 АНЗ 1)АНЗ.1 «Выявление, анализ и устранение уязвимостей информационнойсистемы» 1 требует проведения следующих мероприятий:выявление (поиск) уязвимостей, связанных с ошибками кода впрограммном (микропрограммном) обеспечении (общесистемном,прикладном, специальном), а также программном обеспечении средствзащиты информации, правильностью установки и настройки средствзащиты информации, технических средств и программного обеспечения,а также корректностью работы средств защиты информации при их 122взаимодействии с техническими средствами и программнымобеспечением;разработка по результатам выявления (поиска) уязвимостей отчетов сописанием выявленных уязвимостей и планом мероприятий по ихустранению; 1устранение выявленных уязвимостей, в том числе путем установкиобновлений программного обеспечения средств защиты информации,общесистемного программного обеспечения, прикладного программногообеспечения или микропрограммного обеспечения технических средств.В 1 качестве источников информации об уязвимостях 1 требуется использоватьопубликованные данные разработчиков средств защиты информации,общесистемного, прикладного и специального программного обеспечения,технических средств, а также другие базы данных уязвимостей.
1Также документ требует использования следующих способовсамостоятельного поиска уязвимостей:с использованием средств анализа защищенности (сканеровбезопасности), имеющих стандартизованные описание и перечнипрограммно-аппаратных платформ, уязвимостей программногообеспечения, ошибочных конфигураций, правил описания уязвимостей,проверочных списков, процедур тестирования и языка тестированияинформационной системы на наличие уязвимостей, оценки последствийуязвимостей, имеющих возможность оперативного обновления базыданных выявляемых уязвимостей; 1выявление уязвимостей «нулевого дня», о которых стало известно, ноинформация о которых не включена в сканеры уязвимостей и 1общедоступные базы данных уязвимостей; 1путем тестирования информационной системы на 1 проникновение.Таким образом, этот пункт требует проведения нескольких мероприятий по23поиску уязвимостей с использованием различных способов.
Соответственноплан поиска уязвимостей следует разделить на проведение каждого из этихмероприятий.3.2.1.1 Поиск уязвимостей с использованием общедоступных баз данныхуязвимостейПоиск уязвимостей по общедоступным базам данных следует начать сполучения доступа к этим базам. На данный момент существуют следующиекрупные общедоступные базы данных уязвимостей:банк данных угроз безопасности информации ФСТЭК;база данных уязвимостей IBM X-Force;база данных уязвимостей «Common Vulnerabilities and Exposures»(CVE);национальная база данных уязвимостей США NVD.Чтобы принять решение по выбору рекомендуемых баз данных, следуетсравнить представленные базы по следующим критериям:количество уязвимостей в базе;структура записи уязвимости;количество ссылок на информацию, касающуюся уязвимости.Банк данных угроз ФСТЭК (по данным на апрель 2017 года) имеет 16332записи уязвимостей.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
