Пояснительная записка (1209237), страница 14
Текст из файла (страница 14)
На этапе эксплуатации в качестве опорного документа используется составленный на этапе введения в эксплуатацию перечень настроек программного обеспечения и средств защиты информации. Данный документ теперь является частью эксплуатационной документации и изменяется в соответствии с проводимыми мероприятиями по изменению параметров конфигурации для отражения настоящей конфигурации установленных в информационной системе программного обеспечения и средств защиты информации.
5.5 Контроль правильности функционирования программного обеспечения и средств защиты информации
Необходимо проводить контроль правильности функционирования программного обеспечения и средств защиты информации (см. Порядок проведения контроля правильности функционирования программного обеспечения и средств защиты информации на этапе ввода информационной системы в эксплуатацию).
Данное мероприятие необходимо проводить не реже, чем раз в месяц.
На этапе эксплуатации в качестве опорных документов используется эксплуатационная документация, в частности документ «Описание программного обеспечения». Данный документ изменяется в соответствии с проводимыми мероприятиями по изменению состава компонентов информационной системы и их функций для отражения настоящих правил функционирования программного обеспечения и средств защиты информации.
5.6 Контроль состава и конфигурации технических средств, программного обеспечения и средств защиты информации
Необходимо проводить контроль состава технических средств, программного обеспечения и средств защиты информации (см. Порядок проведения контроля состава технических средств, программного обеспечения и средств защиты информации на этапе ввода информационной системы в эксплуатацию).
Данное мероприятие необходимо проводить не реже, чем раз в месяц.
На этапе эксплуатации в качестве опорного документа используется составленный на этапе введения в эксплуатацию перечень технических средств, программного обеспечения и средств защиты информации. Данный документ становится частью эксплуатационной документации и изменяется в соответствии с проводимыми мероприятиями по изменению состава компонентов информационной системы.
Также необходимо проводить контроль сроков действия сертификатов на сертифицированные средства защиты информации в информационной системе согласно составленному на этапе введения в эксплуатацию графику проведения.
За три месяца до даты окончания срока действия сертификата соответствия средства защиты информации необходимо отправить производителю средства защиты запрос информации о продлении срока действия сертификата соответствия. Положительный ответ производителя средства защиты информации необходимо приложить к эксплуатационной документации на средство защиты информации. Этот ответ будет считаться разрешением на дальнейшее использование средства защиты информации, даже если срок действия его сертификата соответствия истечет.
В случае получения отрицательного ответа, администратору системы защиты необходимо принять решение о дальнейшем применении средства защиты информации. Возможны два варианта:
-
необходимо продолжить применение средства защиты информации;
-
возможно заменить средство защиты информации на другое сертифицированное средство с необходимым функционалом.
В случае вынесения решения о продолжении использования средства защиты информации необходимо направить запрос в орган по сертификации средств защиты информации о продлении срока действия сертификата соответствия для всех экземпляров средства защиты, используемых в информационной системе согласно процедуре, описанной в положении о сертификации средств защиты информации Государственной технической комиссии от 25.10.1995. В график выполнения работ по контролю сроков действия сертификатов необходимо добавить новую запись с указанием средства защиты информации и новой датой окончания срока действия сертификата, а также с пометкой о необходимости самостоятельного продления срока действия сертификата.
В случае вынесения решения о замене средства защиты информации на другое сертифицированное средство с необходимым функционалом необходимо добавить данное мероприятие в проектную документацию по изменению системы защиты в ходе эксплуатации системы защиты информации.
5.7 Контроль реализации правил генерации и изменения паролей, создания и удаления учетных записей пользователей информационной системы, разграничения их доступа и полномочий
Необходимо проводить контроль реализации правил генерации и изменения паролей, создания и удаления учетных записей пользователей информационной системы, разграничения их доступа и полномочий (см. Порядок проведения контроля реализации правил генерации и изменения паролей, создания и удаления учетных записей пользователей информационной системы, разграничения их доступа и полномочий на этапе ввода информационной системы в эксплуатацию).
Данное мероприятие необходимо проводить не реже, чем раз в квартал.
На этапе эксплуатации в качестве опорных документов также организационно-эксплуатационная документация информационной системы. В случае обнаружения несоответствия проверяющему лицу следует проверить организационно-эксплуатационную документацию на наличие документа, разрешающего данное несоответствие в особом порядке.
Приложение Б
Форма отчета о результатах выполнения работ по выявлению уязвимостей
1 Выявленные в ходе проведения поиска уязвимости информационной системы.
Список найденных уязвимостей представлен в таблице Б.1.
Таблица Б.1 – Список найденных уязвимостей
| Описание уязвимости | № страницы отчета |
| Возможность применения XSS-атаки на роутер ASUS RT-G32 из-за скрипта start-apply.htm | 1 |
| Возможность получения данных пользователя Microsoft Windows, путем перенаправления HTTP-запроса на SMB сервер злоумышленника. | 4 |
| … | … |
Описание одной уязвимости представлено в таблице Б.2.
Таблица Б.2 – Описание одной уязвимости
| Наименование уязвимости | Возможность применения XSS-атаки на роутер ASUS RT-G32 из-за скрипта start-apply.htm |
| Идентификатор уязвимости | X-Force-2017-0001 |
| Идентификаторы других систем описания | CVE-2017-5891 |
| Краткое описание уязвимости | ASUS RT-AC и RT-N уязвимы к межсайтовым запосам, из-за недостаточной проверки скриптом login.cgi вводимых пользователем данных. Заставив аутентифицированного пользователя посетить зараженный сайт, удаленный злоумышленник может послать специальный HTTP-запрос на выполнение неавторизованных действий. Злоумышленник может эксплуатировать эту уязвимость для выполнения атак вида межсайтового скриптинга, внедрения данных в веб-кэш и других. |
Окончание таблицы Б.2
| Наименование уязвимости | Возможность применения XSS-атаки на роутер ASUS RT-G32 из-за скрипта start-apply.htm | ||||||||||||||||||
| Класс уязвимости | Уязвимость кода | ||||||||||||||||||
| Наименование продукта и его версия | Asus RT-N16 прошивка версии ниже, чем 3.0.0.4.380.7378 | ||||||||||||||||||
| Служба (порт) | TCP:80 (TCP:8080) | ||||||||||||||||||
| Тип недостатка | Межсайтовый скриптинг | ||||||||||||||||||
| Идентификатор типа недостатка | CWE-352 | ||||||||||||||||||
| Место возникновения уязвимости | Сетевое оборудование | ||||||||||||||||||
| Дата выявления уязвимости | 12/04/2017 | ||||||||||||||||||
| Способ (правило) обнаружения уязвимости | Роутер Asus RT прошивка версии ниже, чем 3.0.0.4.380.7378 | ||||||||||||||||||
| Критерии опасности уязвимости | Базовая оценка CVSS 3.0 8.8
| ||||||||||||||||||
| Степень опасности уязвимости | Высокий | ||||||||||||||||||
| Возможные меры по устранению | Обновление прошивки до версии 3.0.0.4.380.7378 или выше. |
2 Рекомендации по устранению уязвимостей
Перечень мероприятий по устранению уязвимостей представлен в таблице Б.3.
Таблица Б.3 – Перечень мероприятий по устранению уязвимостей
| Описание мероприятия |
| Обновление прошивки роутера Asus RT-N16 до версии 3.0.0.4.380.7378 или выше. |
| … |
Отчет составил (дата, подпись) Ф.И.О.
Приложение В
Форма плана выполнения работ по устранению выявленных уязвимостей
План выполнения работ по устранению уязвимостей представлен в таблице В.1.
Таблица В.1 – План выполнения работ по устранению уязвимостей
| Описание мероприятия | Ответственное лицо | Дата выполнения |
| Обновление прошивки роутера Asus RT-N16 до версии 3.0.0.4.380.7378 или выше. | Иванов И.И. | 20.05.2017 |
| … | … | … |
План составил (дата, подпись) Ф.И.
70
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
