Антиплагиат (1209233), страница 7
Текст из файла (страница 7)
Во время даннойфазы тестирование еще не происходит.Фаза исследования подразделяется на две части: сбор информации и поискуязвимостей. Во время сбора информации система в первую очередьсканируется на предмет открытых портов и запущенных сетевых служб. Такжеищется дополнительная информация:имена и IP-адреса хостов системы. Данная информация собирается путемDNS-опроса, рассылки запросов WHOIS и перехвата трафика в системе(если эти методы доступны);контактная информация и ФИО сотрудников. Данная информациясобирается путем обследования Web-серверов и файловых серверовкомпании;системные имена и сетевые ресурсы.
Данная информация собираетсяпутем обследования информации от NetBIOS и NIS;информация о приложениях и сервисах (например, номер версии).Данная информация собирается путем захвата заголовков пакетовтрафика.В некоторых случаях, производится физическое обследование предприятия впоисках информации о структуре сети и других чувствительных данных(например, пароли на листках на рабочих местах).Во время поиска уязвимостей производится стандартное сравнениенайденной информации об оборудовании предприятия и баз данныхуязвимостей. Это производится как при помощи сканеров безопасности, так и вне автоматизированном порядке.
В первом случае выигрышем являетсяскорость, во втором – возможность найти уязвимости, пропускаемые38автоматизированными средствами.Фаза проникновения является основной частью тестирования напроникновение. В данной фазе найденные ранее уязвимости подтверждаютсяпутем попытки их эксплуатации. В случае успеха данная уязвимость считаетсясуществующей и заносится в отчет.
Также немедленно уведомляютсяответственные лица оператора. В случае неудачи, процесс продолжается сиспользованием следующей уязвимости.В большинстве случаев, успешная эксплуатация уязвимости не гарантируетполучения максимального доступа. Чаще всего, обнаруживается новаяинформация о целевой системе и ее потенциальных уязвимостях. Некоторыеуязвимости позволяют проводящему тестирование добавить себе новыепривилегии в системе, что дает доступ к новым ресурсам. В таком случае,дополнительное обследование и тестирование необходимо для установлениянастоящих параметров риска тестируемой системе, таких как типыинформации, которые могут быть скомпрометированы, изменены или удалены.Также, в случае успешной эксплуатации уязвимости, бывает возможнаустановка дополнительных инструментов для дальнейшего анализа целевойсистемы.В процессе тестирования на проникновения фазы исследования ипроникновения выполняются для всех возможных узлов системы дляопределения возможностей потенциального нарушителя по доступу в систему.Фаза создания отчетов происходит совместно с тремя остальными фазами.Во время планирования определяются параметры отчетов.
Во времяисследования и проникновения сохраняется полученная информация ипериодические отчеты отправляются ответственным лицам оператора. Взаключение тестирования создается общий отчет с указанием обнаруженныхуязвимостей, рисков их эксплуатации и рекомендациями по устранению илиминимизации ущерба.Тестирование на проникновение должно проводиться для различныхсценариев атак, как наиболее вероятных, так и наиболее разрушительных.39Также важно учитывать модель вероятного нарушителя, то есть внешнего ивнутреннего. Для внешнего нарушителя проводящее тестирование лицо неснабжается информацией об информационной сети, за возможнымисключением внешних IP-адресов предприятия. В таком случае производитсяпоиск остальной информации из общедоступных источников, сканируютсявнешние хосты на предмет уязвимостей. Далее найденные уязвимостиэксплуатируются для получения доступа во внутреннюю сеть. Получаетсяитеративный процесс получения все большего доступа к информационнойсистеме.Для сценариев с внутренним нарушителем, проводящее тестирование лицоснабжается информацией об информационной системе, доступной сотруднику суровнем доступа, позиция которого подозревается в уязвимости.
Такжепредоставляется соответствующий доступ к информационной системе или еесегменту.Важно учитывать, что проведение тестов на проникновение может нанестиущерб информационной системе, так как в процессе тестирования производятсядействия, представляющие угрозу для информационной системы и данных вней. Поэтому на фазе планирования заранее необходимо установитьограничения на используемые инструменты и технологии, а также определитьточку остановки, после которой дальнейшие действия могут нанести ущерб.Использование социального инжиниринга в процессе тестирования напроникновение предназначено для определения информированности группыпользователей о процедурах обеспечения информационной безопасности и ихспособности следовать этим процедурам.
В случае обнаружения подобныхнарушений следует производить дополнительные работы с персоналом, приэтом не разглашая информацию о скомпрометированных лицах.В методических рекомендациях по проведению анализа защищенностиописывается только общая структура проведения тестированияинформационной системы на проникновение.
Более детализированнаяинформация представлена в общедоступных методических документах, поэтому40не имеет смысла ее дублировать в методических рекомендациях. Главныерекомендуемые к использованию методики:OWASP Testing Guide (https://www.owasp.org/images/1/19/OTGv4.pdf)Данная методика сконцентрирована на всевозможных техническихаспектах тестирования на проникновение, с указанием категорийиспользуемых уязвимостей.OSSTMM (http://www.isecom.org/mirror/OSSTMM.3.pdf) Данная методикарассматривает более широкий круг аспектов тестирования напроникновение, включая социальный инжиниринг.Использование данных методик проведения тестирования информационнойсистемы рекомендуется при самостоятельном проведении тестирования.3.2.1.5 Устранение уязвимостейНеобходимо составить план устранения уязвимостей исходя из результатовпоиска уязвимостей.
План должен содержать все мероприятия, которые будутвыполнены. Для каждого мероприятия обязательны следующие поля:содержание мероприятия;временные рамки выполнения мероприятия;лицо, ответственное за своевременное выполнение мероприятия.Содержание мероприятия получается из отчета по поиску уязвимостей, таккак каждая уязвимость описывается по форме ГОСТ Р 56545-2015, в которойесть поле «Меры по устранению уязвимости».
В случае отсутствия записи вэтом поле уязвимость считается неустранимой стандартными средствами и вдальнейшем будет рассматриваться при определении актуальных угрозбезопасности информации и актуализации системы защиты информации.3.2.2 2 Контроль установки обновлений программного обеспечения ( 2 АНЗ 2)41Методический документ ФСТЭК «Меры защиты информации» требует отоператора информационной системы осуществления контроля установкиобновлений программного обеспечения.
Оператор должен осуществлятьполучение из доверенных источников и установку обновлений программногообеспечения. 5При контроле установки обновлений осуществляются проверкисоответствия версий 1 программного обеспечения, установленного винформационной системе и выпущенного разработчиком, а также наличиеотметок в эксплуатационной документации 1 об установке обновлений.Для проведения контроля установки обновлений программного обеспечения 17информационной системы 17 следует составить список программногообеспечения. Данный список создается на основе технического проектаинформационной системы в момент введения в эксплуатацию. Разрешаетсясгруппировать список по наименованию программного обеспечения суказанием всех узлов информационной системы, содержащих данноепрограммное обеспечение.
Для каждого программного компонентаинформационной системы в списке создается формуляр согласно ГОСТ 19.50178.Данный список содержит в себе информацию о каждом программномкомпоненте информационной системы и его версии. В формуляре программногокомпонента указываются изменения, вносимые в процессе эксплуатации.Необходимо назначить лицо, ответственное за периодичное проведениепоиска обновлений программных компонентов информационной системы.Поиск проводится для каждого компонента, указанного в составленном спискепрограммных компонентов. Поиск производится путем сравнения настоящейверсии программного компонента, используемой в информационной системе споследней надежной версией, указанной в общедоступных источникахпроизводителя компонента.42В случае обнаружения более новой версии, ответственное лицо обязаноподготовить мероприятие по установке новой версии.
Мероприятие включает всебя следующие действия:получение новой версии программного компонента из надежногоисточника (напрямую от производителя);установку новой версии программного компонента на всех узлахинформационной системы, содержащих данный компонент;обновление соответствующей записи в списке программных компонентовинформационной системы и внесение записи об изменении.Мероприятия, подготовленные в процессе выполнения поиска,объединяются в комплекс мероприятий по обновлению программногообеспечения. План реализации данного комплекса мероприятий включает в себяследующие поля:содержание мероприятий;лица, ответственные за выполнение мероприятий;временные рамки выполнения мероприятий.Составленный план согласуется с руководящими лицами и приводится висполнение. По выполнению всех мероприятий из плана необходимо составитьотчет, включающий в себя следующие поля:лицо, выполнившее мероприятие;время выполнения мероприятия;выполненные действия.Данный отчет будет использован в дальнейшем как доказательствовыполнения работ по контролю установки обновлений программногообеспечения 17 информационной системы.3.2.3 17 Контроль работоспособности, правильности функционирования иверности конфигурации (АНЗ 3)43Методический документ ФСТЭК «Меры защиты информации» требует отоператора проведения контроля 6 работоспособности, параметров настройки иправильности функционирования программного обеспечения и средств защитыинформации.При контроле работоспособности, параметров настройки и правильностифункционирования программного обеспечения и средств защиты информацииосуществляется:контроль работоспособности 1 программного обеспечения и средствзащиты информации;проверка правильности функционирования 1 программного обеспечения исредств защиты информации; 5контроль соответствия настроек программного обеспечения и средствзащиты информации параметрам настройки, приведенным вэксплуатационной документации на систему защиты информации исредства защиты информации.3.2.3.1 1 Контроль 1 работоспособности программного обеспеченияКонтроль 72 работоспособности программного обеспечения предполагаетвыявление неработоспособного (отключенного) программного обеспечения ивосстановление его работоспособности.
Отключение программногообеспечения и средств защиты информации фиксируется в журнале событийбезопасности, организованном в процессе реализации соответствующих мерзащиты по обеспечению безопасности информации. Необходимо организоватьпроцесс отслеживания записей об отключении программного обеспечения исредств защиты информации в журналах событий безопасности. Для этогоследует назначить ответственное лицо, проводящее постоянный мониторингсобытий безопасности.44При обнаружении неработоспособного программного обеспечения и средствзащиты информации назначенное лицо обязано немедленно восстановитьработоспособность (удаленно или вручную). В случае если восстановлениеневозможно произвести немедленно, необходимо ограничить обработкуинформации в данном сегменте информационной системы согласноорганизационным документам.
После применения ограничений,работоспособность восстанавливается с исследованием причиннеработоспособности.В случае серьезной неисправности или обнаружении намеренногонарушения работоспособности необходимо уведомить ответственных лицорганизации и начать внутреннее расследование, если это необходимо.По результатам контроля работоспособности составляется отчет с указаниемкаждого инцидента, его причины, лица, обнаружившего фактнеработоспособности и времени обнаружения.3.2.3.2 Контроль правильности функционирования программногообеспеченияДля проведения контроля правильности функционирования программногообеспечения и средств защиты информации 5 оператору следует создать набортестов на известных входных данных и с известным результатом, выполнениекоторых однозначно подтверждает правильность функционирования.Источником информации для проектирования подобных тестов являетсяэксплуатационная документация информационной системы.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
