Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 2)

ГОСТ Р ИСО/МЭК 27002-2012 рекомендует вести постоянно обновляемую и полную опись активов (компонентов информационной системы) для реализации эффективного контроля уязвимостей информационной системы. В опись должна входить следующая информация:

• поставщик программного обеспечения;

• номер версий;

• текущее состояние развертывания (какое программное обеспечение установлено на каких системах);

• специалисты, отвечающие в организации за программное обеспечение.

В качестве действий по нейтрализации уязвимостей данный стандарт рекомендует следующий список:

• установка обновлений из доверенных источников;

• отключение сервисов, связанных с уязвимостью;

• адаптацию или добавление средств управления доступом (например межсетевых экранов на сетевых границах);

• установка усиленного мониторинга для обнаружения или предотвращения реальных атак;

• повышение осведомленности персонала оператора об уязвимостях.

2 Исследование существующих методик проведения анализа защищенности

На данный момент существует множество сторонних методик проведения анализа защищенности информации в информационной системе. Все они могут быть сгруппированы по следующим параметрам:

• основанные на вычислениях показателей защищенности;

• сконцентрированные на выявлении и устранении уязвимостей.

Примером первой методики может служить статья Александра Астахова на сетевом ресурсе «Iso27000.ru» ([16]). Данная методика предполагает, что на практике всегда существует большое количество не поддающихся точной оценке возможных путей осуществления угроз безопасности в отношении ресурсов АС. Каждый путь осуществления угрозы должен быть перекрыт соответствующим механизмом защиты. Данное условие является первым фактором, определяющим защищенность АС. Вторым фактором является прочность существующих механизмов защиты, характеризующаяся степенью сопротивляемости этих механизмов попыткам их обхода, либо преодоления. Третьим фактором является величина ущерба, наносимого владельцу АС в случае успешного осуществления угроз безопасности.

На практике получение точных значений приведенных характеристик методика считает затрудненным, т. к. понятия угрозы, ущерба и сопротивляемости механизма защиты являются трудно формализуемыми. Например, оценку ущерба в результате НСД к информации политического и военного характера точно определить вообще невозможно, а определение вероятности осуществления угрозы не может базироваться на статистическом анализе. Оценка степени сопротивляемости механизмов защиты считается всегда субъективной.

Методика предлагает определить показатель защищенности информационной системы путем построения и исследования формальной модели системы защиты АС.

Основой формального описания системы защиты считается модель системы с полным перекрытием, в которой рассматривается взаимодействие "области угроз", "защищаемой области" (ресурсов АС) и "системы защиты" (механизмов безопасности АС).

Таким образом, имеем три множества:

• T = {ti} – множество угроз безопасности;

• O = {oj} – множество объектов (ресурсов) защищенной системы;

• M = {mk} – множество механизмов безопасности.

Элементы этих множеств находятся между собой в определенных отношениях, собственно и описывающих систему защиты.

Для описания системы защиты обычно используется графовая модель, представленная на рисунке 2.1. Множество отношений угроза-объект образует двухдольный граф {<T, O>}. Цель защиты состоит в том, чтобы перекрыть все возможные ребра в графе. Это достигается введением третьего набора M. В результате получается трехдольный граф {<T, M, O>}.

Рисунок 2.1 – Графовая модель системы защиты

Развитие этой модели предполагает введение еще двух элементов:

• V – набор уязвимых мест, определяемый подмножеством декартова произведения T*O. Таким образом, под уязвимостью системы защиты будем понимать возможность осуществления угрозы t в отношении объекта o;

• B – набор барьеров, определяемый декартовым произведением V*M, представляющих собой пути осуществления угроз безопасности, перекрытые средствами защиты.

В результате получаем систему, состоящую из пяти элементов: <T, O, M, V, B>, описывающую систему защиты с учетом наличия в ней уязвимостей, которая представлена на рисунке 2.2.

Рисунок 2.2 – Графовая модель системы защиты с учетом уязвимостей

Каждый механизм защиты должен исключать соответствующий путь реализации угрозы <ti, oj>. В действительности же механизмы защиты обеспечивают лишь некоторую степень сопротивляемости угрозам безопасности. В связи с этим в качестве характеристик элемента набора барьеров bl = <ti, oj, mk>, bl ϶ B может рассматриваться набор <Pl, Ll, Rl>, где

• Pk – вероятность появления угрозы

• Lk – величина ущерба при удачном осуществлении угрозы в отношении защищаемых объектов

• Rk – степень сопротивляемости механизма защиты mk, характеризующаяся вероятностью его преодоления

Прочность барьера bl = <ti, oj, mk> характеризуется величиной остаточного риска Riskl, связанного с возможностью осуществления угрозы безопасности ti в отношении объекта АС oj, при использовании механизма защиты mk. Эта величина определяется по формуле:

Для определения величины защищенности S можно использовать следующую формулу:

где Pk, Lk Є (0, 1);

Rk Є [0,1).

В этой формуле, знаменатель определяет величину остаточных рисков, связанных с возможностью осуществления угроз безопасности T в отношении объектов АС O, при использовании механизмов защиты M. Суммарная величина остаточных рисков характеризует «общую уязвимость» системы защиты, а защищенность АС определяется как величина, обратная ее «уязвимости». При отсутствии в системе барьеров bk, перекрывающих определенные уязвимости, степень сопротивляемости механизма защиты Rk принимается равной нулю.

Видно, что данная методика слабо связана с действующими на данный момент нормативными документами в области защиты информации. Также данная методика не предлагает конкретных мероприятий по анализу защищенности. Предлагается лишь метод оценки защищенности информационной системы. Использование данного типа методик не дает требуемых результатов.

Примером методики второго типа может служить «Методика анализа защищенности информационных систем компании GlobalTrust» [15]. Типовая методика включает использование следующих методов:

• изучение исходных данных по ИС;

• оценка рисков, связанных с осуществлением угроз безопасности в отношении ресурсов ИС;

• ручной анализ конфигурационных файлов маршрутизаторов, МЭ и прокси-серверов, осуществляющих управление межсетевыми взаимодействиями, почтовых и DNS серверов, а также других критических элементов сетевой инфраструктуры;

• сканирование внешних сетевых адресов ЛВС из сети Интернет

• сканирование ресурсов ЛВС изнутри;

• анализ конфигурации серверов и рабочих станций ЛВС при помощи специализированных программных агентов;

Перечисленные методы исследования предполагают использование как активного, так и пассивного тестирования системы защиты. Активное тестирование системы защиты заключается в эмуляции действий потенциального злоумышленника по преодолению механизмов защиты. Пассивное тестирование предполагает анализ конфигурации ОС и приложений по шаблонам с использованием списков проверки. Тестирование может производиться вручную, либо с использованием специализированных программных средств.

Отчет по результатам анализа защищенности ИС включает в себя следующие разделы:

1. введение;

2. общие описание объекта обследования:

   1. назначение и основные функции системы;

   2. группы задач, решаемых в системе;

   3. классификация пользователей системы;

   4. организационная структура обслуживающего персонала;

3. структура и состав комплекса программно-технических средств:

   1. ЛВС;

   2. серверы;

   3. рабочие станции;

   4. линии связи и активное сетевое оборудование;

   5. виды информационных ресурсов, хранимых и обрабатываемых в системе;

   6. характеристика каналов взаимодействия с другими системами и точек входа;

4. результаты анализа организационных уязвимостей;

5. результаты анализа защищенности внешнего периметра сети:

   1. сканирование портов;

   2. идентификация сетевых сервисов;

   3. анализ сетевых сервисов;

   4. взлом паролей HTTP, POP3 и прочих сетевых сервисов;

   5. анализ конфигурации внешнего маршрутизатора, МЭ, активного сетевого оборудования и средств защиты периметра сети;

   6. анализ топологии ЛВС;

6. результаты анализа защищенности внутренней ИТ-инфраструктуры:

   1. анализ защищенности серверов и рабочих станций;

   2. углубленный анализ параметров защищенности операционных систем;

   3. внутреннее сканирование ЛВС;

7. рекомендации по устранению обнаруженных недостатков и повышению уровня защищенности:

   1. рекомендации по устранению уязвимостей внешнего периметра сети;

   2. рекомендации по устранению уязвимостей внутренней ИТ-инфраструктуры;

8. выводы;

9. приложения:

10. заполненные опросные листы;

11. отчеты сетевых сканеров безопасности;

12. отчеты хостовых средств анализа защищенности.

Видно, что данная методика определяет действия, выполнение которых должно дать информацию о существующих уязвимостях информационной системы, а также дать рекомендации по их устранению. Но игнорируются требования нормативных документов относительно других аспектов контроля защищенности информации в информационной системе, таких как:

• контроль установки обновлений программного обеспечения и средств защиты информации;

• контроль соответствия конфигурации программного обеспечения и средств защиты информации эксплуатационной документации;

• контроль соответствия состава технических средств, программного обеспечения и средств защиты информации эксплуатационной документации;

• контроль выполнения правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе.

Таким образом, видно, что существующие методики проведения анализа защищенности информации в информационной системе недостаточно полно описывают мероприятия, выполнение которых гарантирует соответствие нормативным документам в области защиты информации. Соответственно, актуальной задачей является составление методических рекомендаций проведения анализа защищенности, которые должны:

• обеспечить полное и понятное описание проводимых мероприятий;

• быть основаны на требованиях, предъявляемых нормативными документами в области защиты информации.

3 Составление методических рекомендаций по анализу защищенности

Методические рекомендации по проведению анализа защищенности должны представлять собой полный план действий оператора, следование которому обеспечивает безошибочное проведение мероприятий по анализу защищенности.

3.1 Этапы проведения анализа защищенности

План необходимо структурировать для удобства пользования. Первое и самое основное разделение: различение мероприятий, проводимых на различных этапах создания системы защиты информации. Таких этапов, согласно приказу ФСТЭК №17 от 11.02.2013, выделяется три:

• этап проектирования системы защиты информации;

• этап внедрения системы защиты информации;

• этап эксплуатации системы защиты информации.

На каждом из указанных этапов требуется проведение анализа защищенности информационной системы (полного или частичного).

3.2 Мероприятия анализа защищенности

Прежде чем распределять мероприятия по анализу защищенности, следует рассмотреть план проведения каждого из них, а затем скорректировать план для каждого этапа в зависимости от требований приказа ФСТЭК №17 от 11.02.2013.

Методический документ «Меры защиты информации» ФСТЭК от 11.03.2014 определяет содержание меры «Анализ (контроль) защищенности информации». В содержании меры указаны следующие пункты:

• выявление, анализ и устранение уязвимостей информационной системы;

• контроль установки обновлений программного обеспечения, включая программное обеспечение средств защиты информации;

• контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации;

• контроль состава технических средств, программного обеспечения и средств защиты информации;

• контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе.

Определим план проведения каждого из пунктов.

3.2.1 Выявление, анализ и устранение уязвимостей информационной системы (АНЗ 1)

АНЗ.1 «Выявление, анализ и устранение уязвимостей информационной системы» требует проведения следующих мероприятий:

• выявление (поиск) уязвимостей, связанных с ошибками кода в программном (микропрограммном) обеспечении (общесистемном, прикладном, специальном), а также программном обеспечении средств защиты информации, правильностью установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректностью работы средств защиты информации при их взаимодействии с техническими средствами и программным обеспечением;

• разработка по результатам выявления (поиска) уязвимостей отчетов с описанием выявленных уязвимостей и планом мероприятий по их устранению;

• устранение выявленных уязвимостей, в том числе путем установки обновлений программного обеспечения средств защиты информации, общесистемного программного обеспечения, прикладного программного обеспечения или микропрограммного обеспечения технических средств.

В качестве источников информации об уязвимостях требуется использовать опубликованные данные разработчиков средств защиты информации, общесистемного, прикладного и специального программного обеспечения, технических средств, а также другие базы данных уязвимостей.

Также документ требует использования следующих способов самостоятельного поиска уязвимостей:

• с использованием средств анализа защищенности (сканеров безопасности), имеющих стандартизованные описание и перечни программно-аппаратных платформ, уязвимостей программного обеспечения, ошибочных конфигураций, правил описания уязвимостей, проверочных списков, процедур тестирования и языка тестирования информационной системы на наличие уязвимостей, оценки последствий уязвимостей, имеющих возможность оперативного обновления базы данных выявляемых уязвимостей;

• выявление уязвимостей «нулевого дня», о которых стало известно, но информация о которых не включена в сканеры уязвимостей и общедоступные базы данных уязвимостей;

• путем тестирования информационной системы на проникновение.

Таким образом, этот пункт требует проведения нескольких мероприятий по поиску уязвимостей с использованием различных способов. Соответственно план поиска уязвимостей следует разделить на проведение каждого из этих мероприятий.

3.2.1.1 Поиск уязвимостей с использованием общедоступных баз данных уязвимостей

Поиск уязвимостей по общедоступным базам данных следует начать с получения доступа к этим базам. На данный момент существуют следующие крупные общедоступные базы данных уязвимостей (из [13]):

• банк данных угроз безопасности информации ФСТЭК;

• база данных уязвимостей IBM X-Force;

• база данных уязвимостей «Common Vulnerabilities and Exposures» (CVE);

• национальная база данных уязвимостей США NVD.

Чтобы принять решение по выбору рекомендуемых баз данных, следует сравнить представленные базы по следующим критериям:

• количество уязвимостей в базе;

• структура записи уязвимости;

• количество ссылок на информацию, касающуюся уязвимости.

Банк данных угроз ФСТЭК (по данным на апрель 2017 года) имеет 16332 записи уязвимостей. Однако все уязвимости, описанные в банке, являются уязвимостями кода приложений. Также далеко не все производители ПО представлены в банке. В основном, внимание отдается операционным системам и программному обеспечению, занимающим большие сегменты своего рынка.

В запись уязвимости банка данных угроз ФТСЭК входят следующие основные поля:

• описание уязвимости – общий текст, поясняющий причину возникновения уязвимости и возможные последствия ее эксплуатации;

• производитель программного обеспечения, имеющего уязвимость;

• наименование и версия ПО – те версии, для которых уязвимость имеет место;

• тип ошибки – описание ошибки, способствующей возникновению уязвимости;

• класс уязвимости (согласно ГОСТ Р 56546-2015);

• сложность реализации и величина и вид последствий от реализации уязвимости по системе оценки CVSS;

• уровень опасности;

• возможные меры по устранению;

• ссылки на источники и на другие базы уязвимостей.

В среднем, на уязвимость приходится 4,5 ссылок на источники информации об уязвимости.

Характеристики

Список файлов ВКР