Пояснительная записка (1209237), страница 6

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 6)

Составленный комплекс мероприятий с указанием ответственных за исполнение лиц и временных рамок согласуется и приводится в исполнение. По исполнению составляется отчет об исполнении комплекса мероприятий.

3.2.4.2 Контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации

На этапе внедрения информационной системы в эксплуатацию необходимо составить график проведения мероприятий по контролю сроков действия сертификатов на средства защиты информации, используемые в системе защиты информации. Даты проведения мероприятий для графика выбираются соответственно датам окончания сертификатов с указанием средства защиты информации, чей сертификат необходимо проверить.

Согласно Положению о сертификации средств защиты информации Государственной технической комиссии от 25.10.1995, производитель средства защиты информации должен принять решение о продлении срока действия сертификата и отправить соответствующий запрос в организацию по сертификации не позднее, чем за три месяца до окончания срока действия сертификата средства защиты. Соответственно, за три месяца до окончания срока действия сертификата на средство защиты информации необходимо направить производителю запрос информации о продлении срока действия сертификата. ФСТЭК разрешает использовать положительный ответ производителя средства защиты как разрешение на его применение до вынесения решения организации по сертификации о продлении срока действия, даже в случае его истечения.

В том случае, если сертификат на средство защиты информации истек и не будет продлен, необходимо уведомить лицо, ответственное за администрирование системы защиты информации информационной системы. Данное лицо должно принять решение о продолжении использования средства защиты информации. В зависимости от вынесенного решения, необходимо произвести следующие действия:

• если было принято решение о продолжении использования средства защиты информации, необходимо отправить в организацию по сертификации запрос о продлении срока действия сертификата на единичные образцы, используемые оператором согласно процедуре, описанной в положении о сертификации средств защиты информации Государственной технической комиссии от 25.10.1995;

• если было принято решение о прекращении использования средства защиты информации, необходимо изменить состав средств защиты с целью замены несертифицированного средства на другое сертифицированное с необходимыми для поддержания состояния безопасности функциями.

3.2.5 Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе (АНЗ 5)

Согласно методическому документу ФСТЭК «Меры защиты информации» оператор должен осуществлять:

• контроль правил генерации и смены паролей пользователей в соответствии с ИАФ.1 и ИАФ.4;

• контроль заведения и удаления учетных записей пользователей в соответствии с УПД.1;

• контроль реализации правил разграничения доступом в соответствии с УПД.2;

• контроль реализации полномочий пользователей в соответствии с УПД.4 и УПД.5.

3.2.5.1 Контроль выполнения правил генерации и смены паролей, заведения и удаления учетных записей, разграничения доступа и полномочий пользователей

Правила и процедуры генерации и смены паролей пользователей, управления учетными записями пользователей, разграничения доступа и Роли и должностные обязанности, а также объекты доступа, в отношении которых установлен наименьший уровень привилегий регламентируются в организационно-распорядительных документах оператора и применяются путем настройки автоматизированных средств защиты информации по управлению доступом. Сами учетные записи также описаны в организационно-распорядительных документах оператора по защите информации.

Необходимо назначить лицо, ответственное за периодическую проверку соответствия настоящей конфигурации организационно-распорядительным документам. Это лицо будет сравнивать конфигурацию средств защиты с правилами, описанными в организационно-распорядительных документах.

В случае обнаружения несоответствий необходимо проверить наличие документов организации, разрешающих данное несоответствие. В случае отсутствия таких документов, настройки и состав учетных записей необходимо восстановить в соответствии с организационно-распорядительными документами по управлению доступом. Факт несоответствия вместе с отметкой об исправлении (или ссылкой на разрешающий документ) вносится в отчет о проведении контроля правил генерации и смены паролей.

3.3 Определение мероприятий, проводимых на этапах жизни информационной системы

Проведения анализа защищенности требуется на всех этапах жизни информационной системы:

• на этапе проектирования;

• на этапе введения в эксплуатацию;

• на этапе эксплуатации.

На этапе проектирования из мер анализа защищенности возможно провести только поиск возможных уязвимостей. Никаких мер контроля не требуется, так как контролируемых частей информационной системы еще не установлено.

На этапе внедрения в эксплуатацию требуется также провести поиск уязвимостей, а также составить все организационно-распорядительные документы, необходимые для проведения различных мер контроля защищенности.

На этапе эксплуатации требуется периодическое проведение всех мер анализа защищенности. Следует установить следующие периоды проведения действий:

• поиск и устранение уязвимостей – не реже раза в квартал;

• поиск уязвимостей нулевого дня – ежедневно;

• контроль установки обновлений – не реже раза в месяц;

• контроль работоспособности – ежедневно;

• контроль соответствия конфигурации – не реже раза в месяц;

• контроль состава технических средств, программного обеспечения и средств защиты информации – не реже раза в квартал;

• контроль наличия сертификатов – по графику согласно срокам действия сертификатов;

• контроль правил паролей, учетных записей, разграничения доступа и привилегий – не реже раза в квартал.

3.3.1 Этап проектирования

На этапе проектирования информационной системы производится поиск возможных уязвимостей. В связи с отсутствием физического представления информационной системы, необходимо произвести только поиск уязвимостей с использованием общедоступных баз данных уязвимостей. Принятые для устранения меры вносятся в технический проект информационной системы

3.3.2 Этап введения в эксплуатацию

На этапе внедрения информационной системы в эксплуатацию необходимо выполнить следующие действия:

• поиск уязвимостей всеми способами (АНЗ.1);

• зафиксировать в эксплуатационных документах состав программного обеспечения и средств защиты информации в целях контроля установки обновлений (АНЗ.2);

• зафиксировать в эксплуатационных документах конфигурацию программного обеспечения и средств защиты информации в целях ее контроля в дальнейшем (АНЗ.3);

• разработать и зафиксировать в эксплуатационных документах набор тестов программного обеспечения и средств защиты информации для осуществления контроля правильности функционирования (АНЗ.3);

• зафиксировать в эксплуатационных документах состав технических средств в добавок к составу программного обеспечения и средств защиты информации в целях его контроля (АНЗ.4);

• зафиксировать в организационно-распорядительных документах даты окончания срока действия сертификатов средств защиты информации в целях проведения контроля сроков действия сертификатов на средства защиты информации (АНЗ.4).

Поиск уязвимостей производится после полного внедрения всех средств защиты информации. Процесс поиска уязвимостей включает в себя:

• поиск уязвимостей с применением общедоступных баз данных уязвимостей;

• применение сканеров безопасности;

• проведение тестирования системы на проникновение.

Все отчеты об обнаруженных уязвимостях сбираются в общий отчет. Составляется план устранения уязвимостей, для которых это возможно. План согласуется и реализуется. Для уязвимостей, которые устранить невозможно, применяются способы и средства защиты, минимизирующие возможный ущерб. Проведение тестирования на проникновение производится после устранения уязвимостей, так как в ином случае его эффективность будет снижена. По результатам тестирования также составляется отчет, и устраняются уязвимости. Не устраненные уязвимости передаются лицам, ответственным за дальнейшую поддержку системы защиты информации, для определения актуальных угроз.

В эксплуатационных документах фиксируются перечни технических средств, программного обеспечения и средств защиты информации, а также их параметры конфигурации. Для этого используются выбранные средства инвентаризации.

Полученные перечни будут использоваться для проведения мероприятий по контролю защищенности на этапе эксплуатации информационной системы.

Сроки действия сертификатов средств защиты информации фиксируются для создания графика проведения контроля сертификатов.

3.3.3 Этап эксплуатации

На этапе эксплуатации все меры контроля анализа защищенности применяются периодически в соответствии с периодом, установленным в организационно-распорядительных документах, не превышающим рекомендованный. Производятся следующие действия:

• поиск уязвимостей всеми способами (АНЗ.1);

• выявление уязвимостей «Нулевого дня» (АНЗ.1);

• контроль установки обновлений программного обеспечения и средств защиты информации(АНЗ.2);

• контроль работоспособности программного обеспечения и средств защиты информации (АНЗ.3);

• контроль соответствия параметров конфигурации программного обеспечения и средств защиты составленному перечню (АНЗ.3);

• контроль состава технических средств, программного обеспечения и средств защиты информации на соответствие составленному перечню (АНЗ.4);

• контроль сроков действия сертификатов средств защиты информации (АНЗ.4);

• контроль выполнения правил генерации и смены паролей в соответствии с организационно-распорядительными документами (АНЗ.5);

• контроль выполнения правил заведения и удаления учетных записей пользователей в соответствии с организационно-распорядительными документами (АНЗ.5);

• контроль выполнения правил разграничения доступа в соответствии с организационно-распорядительными документами (АНЗ.5);

• контроль выполнения правил разграничения полномочий в соответствии с организационно-распорядительными документами (АНЗ.5).

3.4 Средства анализа защищенности

Для исполнения требований методического документа ФСТЭК «Меры защиты информации» требуется использовать автоматизированные средства контроля защищенности. К таким средствам относятся

• сканеры безопасности;

• средства инвентаризации.

3.4.1 Сканеры безопасности

Сканеры безопасности – средства автоматизированного поиска уязвимостей. Каждый сканер безопасности имеет свою базу данных уязвимостей и способов их обнаружения и подтверждения. При использовании в системе, сканер собирает информацию из различных источников, таких как:

• заголовки пакетов в сети;

• сканирование открытых портов и обнаружение служб узла сети;

• проверка списка программного и технического обеспечения узла.

Собранная информация используется сканером для получения списка возможных уязвимостей, основываясь на полученных списках программных средств и их версиях. Затем сканер подтверждает наличие уязвимостей путем попыток их эксплуатации. В некоторых случаях, проверка может привести к отказу узла или системы, поэтому подобные проверки опциональны.

Также сканер может пытаться реализовать и не обнаруженные при обследовании уязвимости, благодаря чему возможно обнаружение неописанных в его базе данных уязвимостей или уязвимостей, являющихся результатом неподходящей конфигурации или структуры узлов системы. К таким уязвимостям могут относиться слабые пароли, слабый канал передачи данных к серверу и другие.

Вся информация об уязвимостях, обнаруженных в процессе анализа, собирается в различного вида отчеты (для различных лиц организации). В информации об уязвимостях, известной сканеру, также находятся рекомендации по устранению и ссылки на сторонние источники, как дополнительной информации, так и файлов для устранения.

Сканеры безопасности могут работать на разных уровнях:

• всей сети информационной системы;

• отдельного узла системы;

• внутри системы узла.

По данным опросов, проведенных порталом SecurityLab.ru ([14]), наиболее популярными сканерами безопасности являются следующие:

• Positive Technologies Xspider (MaxPatrol);

• Nessus Security Scanner;

• Shadow Security Scanner;

• IBM Internet Scanner;

• EEYE Retina Network Security Scanner.

Информация по данным сравниваемым сканерам представлена в таблице 3.4.

Характеристики

Список файлов ВКР