Антиплагиат (1209233), страница 6

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 6)

Таким образом,все не устраненные уязвимости следует свести в список, классифицированныйтаким образом, что наличие записи об уязвимости в этом списке помогалоопределить возможность реализации угрозы.Такую классификацию предоставляет ГОСТ Р 56546-2015 «Классификацияуязвимостей информационных систем». Данный документ предлагаетследующие основные параметры уязвимости:а) область происхождения уязвимости:1) уязвимость кода – уязвимость, появившаяся в процессе разработкипрограммного обеспечения;2) уязвимость конфигурации – уязвимость, появившаяся в процессезадания конфигурации 41 программного обеспечения и техническихсредств информационной системы;3) 41 уязвимость архитектуры – уязвимость, появившаяся в процессепроектирования информационной системы;4) 41 организационная уязвимость – уязвимость, появившаяся в связи с 41недостатками организационных мер защиты информации винформационной системе и (или) несоблюдением правилэксплуатации системы защиты информации, 41 требованийорганизационно-распорядительных документов по защитеинформации и (или) 41 несвоевременным выполнениемсоответствующих действий должностным лицом;5) 41 многофакторная уязвимость – уязвимость, появившаяся в результате 4131наличия нескольких недостатков различных типов.б) 41 тип недостатка информационной системы, создаваемый уязвимостью:1) неправильная настройка параметров ПО;2) неполнота проверки вводимых данных;3) возможность прослеживания пути доступа к каталогам;4) возможность внедрения ссылки на сторонний ресурс, содержащийвредоносный код;5) возможность внедрения команд операционной системы;6) межсайтовый скриптинг;7) внедрение интерпретируемых операторов языка программированияили разметки;8) внедрение произвольного кода;9) переполнение буфера памяти;10) неконтролируемая строка аргументов функции языкапрограммирования;11) ошибки вычислений (неверный диапазон, неверная обработка числасо знаком, потеря части числа в процессе усечения, невернаяиндикация порядка битов);12) раскрытие информации ограниченного доступа (например, генерациясообщения об ошибке программного обеспечения);13) управление полномочиями;14) управление разрешениями, привилегиями и доступом;15) аутентификация;16) криптографические преобразования;17) подмена межсайтовых запросов;18) «Состояние гонки» (функционирование системы зависит от порядкавыполнения части кода);19) управление ресурсами (недостаточность мер освобождения участковпамяти перед повторным использованием);в) место возникновения уязвимости:321) в общесистемном программном обеспечении.

Это операционныесистемы, системы управления базами данных и иных типовобщесистемного программного обеспечения;2) в прикладном программном обеспечении. Это офисные пакетыпрограмм и иное прикладное программное обеспечение;3) в специальном программном обеспечении. Это программноеобеспечение, разработанное специально для задач данной конкретнойинформационной системы;4) в технических средствах. Это программное обеспечение техническихсредств: микропрограммы в ПЗУ, микропрограммы в логическихинтегральных схемах, базовая система ввода-вывода, контроллеров иинтерфейсов управления и иные;5) в портативных технических средствах.

Это операционные системымобильных устройств, приложения на мобильных устройствах сдоступом к Интернет-сервисам, интерфейсы беспроводного доступа ииные;6) в сетевом оборудовании. Это маршрутизаторы, коммутаторы,концентраторы, соты и иные типы сетевого оборудования. Этопротоколы и сетевые сервисы, средства и протоколы управлениясетевым оборудованием, механизмы разграничения доступа куправлению сетевым оборудованием;7) в средствах защиты информации.

Это средства управления доступом,идентификации и аутентификации, контроля целостности, довереннойзагрузки, антивирусной защиты, системы обнаружения вторжений,межсетевого экранирования, ограничения программной среды,стирания и контроля удаления информации, средства защиты каналовпередачи информации и иные средства защиты.Таким образом, каждая не устраненная уязвимость заносится в список вследующем формате, указанном в таблице 3.3.Таблица 3.3 – Запись не устраненной уязвимости в дополнительный отчет33ОписаниеуязвимостиОбластьпроисхожденияТипнедостаткаМестовозникновенияЗаметим, что одна уязвимость может генерировать несколько недостатковинформационной системы. При этом важная часть информации содержится вописании уязвимости.Составленный список будет дополняться в процессе реализации другихспособов обнаружения уязвимостей. После окончания процесса поискауязвимостей данный список передается должностному лицу, ответственному заопределение актуальных угроз безопасности информации3.2.1.2 Поиск уязвимостей с использованием сканеров безопасностиСогласно методическому документу ФСТЭК «Меры защиты информации»от 11.02.2014 от оператора информационной системы требуется использованиеавтоматизированных средств поиска уязвимостей.

К таким средствам относятсясканеры безопасности.Отчеты сканеров безопасности представляют собой уже готовые спискиуязвимостей системы с рекомендациями по устранению и ссылками наисточники. Оператору следует собрать результаты работы использованныхсканеров безопасности и свести их в единый отчет, используя форму описанияуязвимости «Паспорт уязвимости», описанную в ГОСТ Р 56545-2015.Затем следует произвести слияние полученного отчета с уже существующимотчетом по уязвимостям информационной системы, полученным прииспользовании других способов обнаружения уязвимостей. При слиянии в отчетдобавляются только новые уязвимости, которые не были добавлены в отчетранее.

Уже обнаруженные уязвимости не следует дублировать.Рекомендации по устранению новых уязвимостей следует перенести в план34по устранению уязвимостей, дополнив его.3.2.1.3 Поиск уязвимостей нулевого дняУязвимости «нулевого дня» – это те уязвимости, информация о которых ужераскрыта в общедоступных источниках, но не включена в базы данныхуязвимостей или базы данных сканеров безопасности. Чаще всего такаяинформация появляется на новостных сайтах, специализирующихся навопросах информационной безопасности.К таким сайтам относятся:Anti-Malware.ru (https://www.anti-malware.ru/news);SecurityLab.ru (http://www.securitylab.ru);Cert.org (http://www.cert.org);Secunia (https://secuniaresearch.flexerasoftware.com/community/research/).Данные новостные сайты рекомендуются к использованию. Возможноиспользование и других, предпочитаемых ответственным сотрудникомоператора, источников информации об уязвимостях «нулевого дня».Некоторые уязвимости «нулевого дня» попадают в общедоступные базыданных уязвимостей.

Таким образом, помимо просмотра новостных источников,ответственному сотруднику следует просматривать новые записи обуязвимостях в этих базах данных.Ответственному сотруднику оператора следует проводить периодическиймониторинг данных источников с целью получения информации о новыхуязвимостях и прогрессе процесса их устранения. Период должен бытьустановлен достаточно коротким для того, чтобы потенциальныйзлоумышленник не успел воспользоваться неизвестной и не устраненной (необезвреженной) уязвимостью в системе.

Рекомендуется ежедневныймониторинг.Вся собранная информация должна быть сведена в промежуточный список35возможных уязвимостей согласно ГОСТ Р 56545-2015. Этот промежуточныйотчет выполняет функцию базы данных уязвимостей, которую затем нужноиспользовать для поиска уязвимостей в информационной системе в ручномрежиме. Это производится путем редуцирования промежуточного отчета попризнаку отсутствия в информационной системе продукта, имеющегоуязвимость «нулевого дня».Полученный таким образом список преобразуется в отчет о найденных всистеме уязвимостях. В случае наличия рекомендаций по устранениюнайденных уязвимостей, составляется план мероприятий по устранениюуязвимостей с указанием временных рамок и ответственных лиц.

Дляуязвимостей без рекомендаций оператором должны быть разработанымероприятия по минимизации (устранению) ущерба от успешной реализацииуязвимости. Такими мероприятиями могут быть:изменение настроек средств защиты информации;изменение режима и порядка использования информационной системы; 1иные действия.Полученные мероприятия добавляются в план по устранению уязвимостей«нулевого дня» с указанием временных рамок выполнения и ответственныхлиц. Составленный план согласовывается и реализуется.3.2.1.4 Тестирование на проникновениеМетодический документ ФСТЭК «Меры защиты информации» от 11.02.2014требует от оператора проведения тестирования на проникновение своейинформационной системы с целью поиска уязвимостей. Данное тестированиеможно проводить как собственными силами, так и с привлечением стороннейорганизации исполнителя.Тестирование на проникновение симулирует действия потенциальногозлоумышленника по преодолению системы защиты информационной системы.36Тестирование производится путем реализации настоящей атаки насуществующую систему и хранящиеся в ней данные с использованиеминструментов и техник, наиболее используемых злоумышленниками.Большинство тестов на проникновение предполагают поиск некоторого наборауязвимостей в одной части системы, который позволит получить большийдоступ, чем при использовании лишь одной уязвимости.Тест на проникновение позволяет получить следующую информацию:насколько эффективно система защиты справляется с используемыми внастоящее время способами проникновения;уровень знаний об информационной системе, необходимыйзлоумышленнику для успешного проникновения;дополнительные меры защиты, которые позволят устранить уязвимости,существующие в системе в настоящее время;способности системы защиты по обнаружению атак и реагированию наних.Зачастую тесты на проникновение осуществляются не только с помощьютехнических средств, но и методами прямых физических воздействий илисоциальной инженерии.

Примерами физических воздействий могут служить:прямое подключение к сети информационной системы, кража оборудования,перехват чувствительной информации (возможно, с использованиемкейлоггеров) и другие действия, требующие проникновения злоумышленникана территорию организации. Примеры использования социальной инженерии:представиться при звонке сотрудником администрирования информационнойсистемы и попросить пользователя предоставить свой пароль, представитьсяпри звонке в службу администрирования пользователем и попросить сброситьпароль и другие действия, рассчитывающие на неподготовленность сотрудниковоператора к попыткам взлома информационной системы (человеческий фактор).Тест на проникновение подразделяется на четыре фазы:планирование;37исследование;проникновение;создание отчетов.Фаза планирования включает в себя определение правил проведения теста,согласование с руководством, установку целей тестирования.

Характеристики

Список файлов ВКР