Пояснительная записка (1209237), страница 11

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 11)

Методический документ

Методические рекомендации проведения анализа защищенности информации в информационной системе

2017

1 Общие положения

Настоящий методический документ разработан с целью обеспечения единообразия и удобства выполнения требований нормативных документов касательно проведения анализа защищенности информации в информационных системах.

Методический документ детализирует процессы реализации мер защиты информации по анализу защищенности в информационных системах в соответствии с методическим документом ФСТЭК «Меры защиты информации» от 11.02.2014.

Методический документ предназначен для операторов информационных систем, организаций, предоставляющих услуги по организации защиты информации, и организаций, предоставляющих услуги по аттестации информационных систем.

Методический документ применяется при выполнении действий по проведению анализа защищенности информации в информационных системах для обеспечения их порядка и правильности выполнения.

2 Определения

Анализ защищенности – это комплекс действий по выявлению уязвимостей информационной системы и контролю выполнения и эффективности используемых мер защиты.

База данных уязвимостей – общедоступный источник информации об уязвимостях.

Компонент информационной системы – технические средства, программное обеспечение и средства защиты информации, используемые в информационной системе для обработки информации и организации системы защиты информации.

Оператор информационной системы – собственник используемых для обработки содержащейся в базах данных информации технических средств, который правомерно пользуется такими базами данных, или лицо, с которым этот собственник заключил договор об эксплуатации информационной системы.

Паспорт уязвимости – документ, содержащий описание уязвимости, определяющий характеристики уязвимости и выполненный в соответствии с правилами описания уязвимости.

Сканер безопасности – программное или аппаратное средство, служащее для осуществления диагностики и мониторинга узлов сети, позволяющее сканировать их и приложения на предмет обнаружения возможных проблем в системе безопасности, оценивать и устранять уязвимости.

Событие безопасности – идентифицированное появление определенного состояния системы, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.

Средство инвентаризации ресурсов информационной системы – программное средство, служащее для осуществления мониторинга узлов информационной системы, позволяющее составить полный перечень узлов, их технического и программного обеспечения и их конфигурации.

Тестирование на проникновение – метод оценки безопасности компьютерных систем или сетей средствами моделирования действий злоумышленника по обходу существующего комплекса средств защиты информационной системы.

Уязвимость нулевого дня – ранее неизвестная уязвимость, которая эксплуатируется злоумышленниками в сетевых атаках и против которых ещё не разработаны защитные механизмы.

Уязвимость информационной системы – недостаток или слабость в проекте или реализации информационной системы, включая меры обеспечения безопасности, который может быть преднамеренно или непреднамеренно использован для оказания неблагоприятного воздействия на активы системы или ее функционирование.

3 Проводимые мероприятия по анализу защищенности информации в информационной системе в ходе организации защиты информации

Проведение анализа защищенности информации в информационной системе требуется проводить на следующих этапах жизни информационной системы:

• Этап проектирования информационной системы

• Этап внедрения информационной системы в эксплуатацию

• Этап эксплуатации аттестованной информационной системы

3.1 На этапе проектирования информационной системы

На этапе проектирования информационной системы требуется проводить выявление и устранение возможных уязвимостей информационной системы доступными способами.

3.1.1Определение и анализ возможных уязвимостей информационной системы

На этапе проектирования информационной системы возможно проведение выявления возможных уязвимостей только на основе информации из общедоступных баз данных уязвимостей ввиду отсутствия физического представления проектируемой информационной системы.

3.1.1.1 С использованием общедоступных баз данных уязвимостей

Следует использовать проектную документацию для составления списка мест возможного возникновения уязвимости. Список должен включать в себя все общесистемное, прикладное и специальное ПО, все технические средства (включая портативные) и все сетевое оборудование, используемые в информационной системе.

Для дальнейших действий рекомендуется использовать следующие базы данных уязвимостей:

• Список уязвимостей из Банка данных угроз ФСТЭК (обязательно)

• Общественная база уязвимостей CVE

• Свободно доступная база данных уязвимостей IBM X-Force

• База данных уязвимостей США NVD (в качестве дополнительной)

• Любые другие базы данных уязвимостей, выбранные доверенными.

Для каждого пункта составленного списка производятся следующие действия:

1. Поиск места возникновения возможной уязвимости в каждой базе данных уязвимостей, выбранных на предыдущем пункте

2. Если ни одной известной уязвимости не было найдено, сделать вывод об отсутствии уязвимости в данном месте возникновения

3. Иначе, для каждой найденной уязвимости:

   1. исследовать записи в базах данных уязвимостей на предмет рекомендуемого способа устранения уязвимости (обновление до исправленной версии ПО, замена оборудования на другое с совпадающим функционалом и другие способы).

   2. В случае отсутствия предлагаемых способов устранения, уязвимости приписывается невозможность устранения.

4. Все найденные уязвимости заносятся в отчет.

Реквизиты отчета о проведении работ по поиску уязвимостей представлены в приложении Б к методическим рекомендациям.

Каждый пункт отчета – одна найденная уязвимость. Для каждой найденной уязвимости составляется паспорт уязвимости согласно ГОСТ Р 56545-2015.

Дополнительная глава отчета – рекомендации по устранению уязвимостей. Каждый пункт этой главы – одно рекомендованное мероприятие. Мероприятия переносятся из составленных паспортов уязвимостей.

Не устраненные уязвимости заносятся в дополнительный отчет, используя классификацию ГОСТ Р 56546-2015. Созданный таким образом документ будет использован для определения актуальных угроз в ходе разработки модели угроз.

Пример записи уязвимости в дополнительный отчет указан в таблице А.1.

Таблица А.1 – Пример записи уязвимости в дополнительный отчет

Эта таблица будет в дальнейшем использована для определения актуальных угроз. Данные, содержащиеся в ней, будут являться основанием для подтверждения наличия в информационной системе условий для реализации угрозы.

После проведения действий по выявлению уязвимостей составляется план устранения уязвимостей. План устранения состоит из отдельных мероприятий, перенесенных из главы отчета по поиску уязвимостей «Рекомендации по устранению». Каждому мероприятию назначается ответственное за его выполнение лицо и временные рамки исполнения. Форма плана устранения уязвимостей указана в приложении В к методическим рекомендациям.

Ответственные за выполнение мероприятий лица обеспечивают внесение изменений в проектную документацию на информационную систему в течении указанного времени.

4 На этапе внедрения информационной системы в эксплуатацию

На этапе внедрения информационной системы в эксплуатацию необходимо провести все меры анализа защищенности информации в информационной системе, описанные в методическом документе ФСТЭК «Меры защиты информации», за исключением следующих постоянно проводимых мероприятий: поиск уязвимостей нулевого дня и контроль работоспособности программного обеспечения и средств защиты информации. Также необходимо вынести решение по используемым средствам контроля защищенности.

4.1 Определение используемых средств анализа защищенности

Для проведения работ по анализу защищенности требуется использовать следующие средства контроля защищенности:

• сканеры безопасности – для автоматической проверки системы на предмет наличия уязвимостей;

• средства инвентаризации – для автоматизированного учета программного и технического обеспечения информационной системы.

Разрешается использовать только средства контроля защищенности, имеющие действующие сертификаты соответствия ФСТЭК, соответствующие уровню (классу) защищенности информационной системы.

4.1.1 Сканеры безопасности

Список рекомендуемых сканеров безопасности:

• Positive Technologies MaxPatrol;

• Positive Technologies XSpider;

• Ревизор Сети 3.0 (более высокий уровень соответствия сертификата).

Рекомендуется использование двух или более сканеров безопасности различных производителей.

Определение критериев выбора сканеров безопасности для проведения анализа защищенности информационной системы осуществляется оператором защищаемой информационной системы.

4.1.2 Средства инвентаризации ресурсов информационной системы

К сертифицированным средствам инвентаризации ресурсов информационной системы относятся:

• Агент инвентаризации (имеет сертификат на соответствие НДВ по третьему уровню);

• ИВК Инспектор (имеет сертификат на соответствие НДВ по четвертому уровню).

При этом ИВК ИНСПЕКТОР обладает более широким спектром выполняемых функций. Рекомендуется использовать ИВК ИНСПЕКТОР, если установленный класс (уровень) защищенности позволяет это делать. Иначе следует использовать Агент инвентаризации.

4.2 Поиск уязвимостей информационной системы

На этапе введения информационной системы в эксплуатацию производится выявление существующих уязвимостей информационной системы.

4.2.1 С использованием общедоступных баз данных уязвимостей

Провести поиск уязвимостей информационной системы с использованием баз данных уязвимостей (см. Порядок поиска уязвимостей информационной системы с использованием баз данных уязвимостей на этапе проектирования информационной системы).

4.2.2 С использованием сканеров безопасности

Необходимо назначить лицо, ответственное за проведение инструментального поиска уязвимостей в информационной системе. Данное лицо должно ознакомиться с руководством по использованию каждого выбранного сканера безопасности. Далее необходимо провести установку и настройку выбранных сканеров безопасности на выделенном для этого сервере сети информационной системы. Также, если возможно, необходимо произвести установку и настройку сканеров безопасности на все узлы информационной системы для поиска уязвимостей на уровне узла.

Ответственное лицо должно

• запустить сканирование на уровне сети с использованием всех предлагаемых сканером тестовых сценариев для всех узлов сети информационной системы. Возможно ограничение тестовых сценариев только актуальными для исследуемых узлов (например, ограничение по наименованию операционной системы узлов). Так как информационная система не находится на этапе эксплуатации, обязательно выполнение тестовых сценариев, которые могут нанести ущерб функционированию системы;

• вывести сервер, выделенный для работы сканера безопасности во внешнюю сеть путем настройки сетевых устройств и запустить сканирование со всеми тестовыми сценариями для узлов внешнего периметра информационной системы;

• запустить сканирование на уровне узла для каждого узла информационной системы. Это производится либо прямым запуском сканера с соответствующей возможностью, либо создавая специальную учетную запись на каждом узле и указывая данную учетную запись при настройке политики сканирования при сканировании на уровне сети.

Итогом выполнения всех сканирований будет набор отчетов, содержащих список найденных уязвимостей. Данные отчеты необходимо совместить в один отчет об уязвимостях, найденных с использованием сканеров безопасности. Форма отчета представлена в приложении Б к методическим рекомендациям. Совмещение производится путем переноса информации об уязвимости из отчетов сканеров безопасности, не занося в отчет одну и ту же уязвимость более одного раза. Отдельной частью отчета определяется набор рекомендаций по устранению уязвимостей. Информация в данную часть также переносится из соответствующих полей записей об уязвимостях в отчете, или из предлагаемых источников информации об уязвимостях.

После проведения действия по выявлению уязвимостей составляется план устранения уязвимостей. План устранения состоит из отдельных мероприятий, перенесенных из части отчета по поиску уязвимостей «Рекомендации по устранению». Каждому мероприятию назначается ответственное за его выполнение лицо и временные рамки исполнения. Форма плана устранения уязвимостей указана в приложении В к методическим рекомендациям.

Ответственные за выполнение мероприятий лица обеспечивают внесение изменений в состав и конфигурацию информационной системы или ее частей в течение указанного времени.

Характеристики

Список файлов ВКР