Антиплагиат (1209233), страница 9
Текст из файла (страница 9)
Для этого нужноназначить ответственное лицо. Это лицо будет сравнивать конфигурациюсредств защиты касательно правил генерации и изменения паролей справилами, описанными в организационно-распорядительных документах.53В случае обнаружения несоответствий необходимо проверить наличиедокументов организации, разрешающих данное несоответствие.
В случаеотсутствия таких документов, настройки необходимо восстановить всоответствии с организационно-распорядительными документами поуправлению доступом. Факт несоответствия вместе с отметкой об исправлении(или ссылкой на разрешающий документ) вносится в отчет о проведенииконтроля правил генерации и смены паролей.3.2.5.2 Контроль выполнения правил заведения и удаления учетных записейпользователейПравила и процедуры управления учетными записями пользователейрегламентируются в организационно-распорядительных документах 31 по защитеинформации.
31 Эти правила используются при создании и удалении учетныхзаписей автоматизированными средствами управления доступом. Сами учетныезаписи также описаны в организационно-распорядительных документахоператора по защите информации. 31Необходимо назначить лицо, ответственное за периодическую проверкусоответствия настоящих учетных записей пользователей организационнораспорядительным документам. Для этого необходимо собрать информацию обучетных записях с каждого средства защиты по управлению доступом винформационной системе, а также по используемым в них правилам ипроцедурам создания и удаления учетных записей. Собранная информациясопоставляется с организационно-распорядительными документами в поискахнесоответствий.В случае обнаружения несоответствий необходимо проверить наличиедокументов организации, разрешающих данное несоответствие. В случаеотсутствия таких документов, необходимо восстановить состав учетных записейи правила их создания и удаления в соответствии с организационно54распорядительными документами по управлению доступом.
Фактнесоответствия вместе с отметкой об исправлении (или ссылкой наразрешающий документ) вносится в отчет о проведении контроля заведения иудаления учетных записей пользователей.3.2.5.3 2 Контроль реализации правил разграничения 1 доступаПравила разграничения доступа регламентируются в организационнораспорядительных документах оператора по защите информации, 31 таких каксписки или матрицы доступа. Необходимо назначить лицо, ответственное запериодическую проверку соответствия настоящих параметров разграничениядоступа организационно-распорядительным документам.Для этого необходимо собрать информацию о текущем разграничениидоступа в информационной системе в виде списков или матриц доступа.Собранная информация сопоставляется с организационно-распорядительнымидокументами в поисках несоответствий.В случае обнаружения несоответствий необходимо проверить наличиедокументов организации, разрешающих данное несоответствие.
В случаеотсутствия таких документов, необходимо восстановить порядок разграничениядоступа к ресурсам информационной системы в соответствии сорганизационно-распорядительными документами по управлению доступом.Факт несоответствия вместе с отметкой об исправлении (или ссылкой наразрешающий документ) вносится в отчет о проведении контроля реализацииправил разграничения доступом.3.2.5.4 1 Контроль реализации полномочий пользователей 1Роли и должностные обязанности, а также объекты доступа, в отношении 3155которых установлен наименьший уровень привилегий, 31 определены изафиксированы в организационно-распорядительных документах по защитеинформации.
В 31 соответствии с данной информацией в информационнойсистеме назначаются привилегии учетным записям пользователей.Необходимо назначить лицо, ответственное за периодическую проверкусоответствия установленных в настоящее время привилегий организационнораспорядительным документам по назначению привилегий. Для этогонеобходимо собрать информацию о привилегиях всех пользователей винформационной системе. Собранная информация сопоставляется сорганизационно-распорядительными документами в поисках несоответствий.В случае обнаружения несоответствий необходимо проверить наличиедокументов организации, разрешающих данное несоответствие. В случаеотсутствия таких документов, необходимо восстановить привилегиипользователей информационной системы в соответствии с организационнораспорядительными документами.
Факт несоответствия вместе с отметкой обисправлении (или ссылкой на разрешающий документ) вносится в отчет опроведении контроля реализации полномочий пользователей.3.3 Определение мероприятий, проводимых на этапах жизниинформационной системыПроведения анализа защищенности требуется на всех этапах жизниинформационной системы:на этапе проектирования;на этапе введения в эксплуатацию;на этапе эксплуатации.На этапе проектирования из мер анализа защищенности возможно провеститолько поиск возможных уязвимостей. Никаких мер контроля не требуется, таккак контролируемых частей информационной системы еще не установлено.На этапе внедрения в эксплуатацию требуется также провести поиск56уязвимостей, а также составить все организационно-распорядительныедокументы, необходимые для проведения различных мер контролязащищенности.На этапе эксплуатации требуется периодическое проведение всех меранализа защищенности.
Следует установить следующие периоды проведениядействий:поиск и устранение уязвимостей – не реже раза в квартал;поиск уязвимостей нулевого дня – ежедневно;контроль установки обновлений – не реже раза в месяц;контроль работоспособности – ежедневно;контроль соответствия конфигурации – не реже раза в месяц;контроль состава технических средств, программного обеспечения исредств защиты информации – 2 не 22 реже раза в квартал;контроль наличия сертификатов – по графику согласно срокам действиясертификатов;контроль правил паролей, учетных записей, разграничения доступа ипривилегий – не реже раза в квартал.3.3.1 Этап проектированияНа этапе проектирования информационной системы производится поисквозможных уязвимостей. В связи с отсутствием физического представленияинформационной системы, необходимо произвести только поиск уязвимостей сиспользованием общедоступных баз данных уязвимостей. Принятые дляустранения меры вносятся в технический проект информационной системы3.3.2 Этап введения в эксплуатацию57На этапе внедрения информационной системы в эксплуатацию необходимовыполнить следующие действия:поиск уязвимостей всеми способами (АНЗ.1);зафиксировать в эксплуатационных документах состав программногообеспечения и средств защиты информации в 6 целях контроля установкиобновлений ( 6 АНЗ.2);зафиксировать в эксплуатационных документах конфигурациюпрограммного обеспечения и средств защиты информации в целях ееконтроля в дальнейшем (АНЗ.3);разработать и зафиксировать в эксплуатационных документах набортестов программного обеспечения и средств защиты информации дляосуществления контроля правильности функционирования (АНЗ.3);зафиксировать в эксплуатационных документах состав техническихсредств в 6 добавок к составу 22 программного обеспечения и средств защитыинформации в 6 целях его контроля (АНЗ.4);зафиксировать в организационно-распорядительных документах датыокончания срока действия сертификатов средств защиты информации вцелях проведения контроля сроков действия сертификатов 1 на средствазащиты информации ( 1 АНЗ.4).Поиск уязвимостей производится после полного внедрения всех средствзащиты информации.
Процесс поиска уязвимостей включает в себя:поиск уязвимостей с применением общедоступных баз данныхуязвимостей;применение сканеров безопасности;проведение тестирования системы на проникновение.Все отчеты об обнаруженных уязвимостях сбираются в общий отчет.Составляется план устранения уязвимостей, для которых это возможно. Плансогласуется и реализуется. Для уязвимостей, которые устранить невозможно,применяются способы и средства защиты, минимизирующие возможный58ущерб. Проведение тестирования на проникновение производится послеустранения уязвимостей, так как в ином случае его эффективность будетснижена. По результатам тестирования также составляется отчет, и устраняютсяуязвимости.
Не устраненные уязвимости передаются лицам, ответственным задальнейшую поддержку системы защиты информации, для определенияактуальных угроз.В эксплуатационных документах фиксируются перечни техническихсредств, программного обеспечения и средств защиты информации, а 2 также ихпараметры конфигурации. Для этого используются выбранные средстваинвентаризации.Полученные перечни будут использоваться для проведения мероприятий поконтролю защищенности на этапе эксплуатации информационной системы.Сроки действия сертификатов средств защиты информации фиксируютсядля создания графика проведения контроля сертификатов.3.3.3 Этап эксплуатацииНа этапе эксплуатации все меры контроля анализа защищенностиприменяются периодически в соответствии с периодом, установленным ворганизационно-распорядительных документах, не превышающимрекомендованный. Производятся следующие действия:поиск уязвимостей всеми способами (АНЗ.1);выявление уязвимостей «Нулевого дня» ( АНЗ.1);контроль установки 2 обновлений программного обеспечения и средствзащиты информации(АНЗ.2);контроль работоспособности 6 программного обеспечения и средствзащиты информации (АНЗ.3);контроль 2 соответствия параметров конфигурации программного 259обеспечения и средств защиты 2 составленному перечню ( АНЗ.3); 2контроль состава технических средств, программного обеспечения исредств защиты информации на соответствие 1 составленному перечню(АНЗ.4);контроль сроков действия сертификатов средств защиты информации(АНЗ.4);контроль 2 выполнения правил генерации и смены паролей в 2 соответствиис организационно-распорядительными документами ( 2 АНЗ.5);контроль выполнения правил заведения и удаления учетных записейпользователей в 2 соответствии с организационно-распорядительнымидокументами ( 2 АНЗ.5);контроль выполнения правил разграничения доступа в соответствии сорганизационно-распорядительными документами (АНЗ.5);контроль выполнения правил разграничения полномочий в соответствиис организационно-распорядительными документами (АНЗ.5).3.4 Средства анализа защищенностиДля исполнения требований методического документа ФСТЭК «Мерызащиты информации» требуется использовать автоматизированные средстваконтроля защищенности.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
