Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла

Министерство транспорта Российской Федерации

Федеральное агентство железнодорожного транспорта

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ

«ДАЛЬНЕВОСТОЧНЫЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ПУТЕЙ СООБЩЕНИЯ»

(ДВГУПС)

РАЗРАБОТКА МЕТОДИЧЕСКИХ РЕКОМЕНДАЦИЙ ПРОВЕДЕНИЯ АНАЛИЗА ЗАЩИЩЁННОСТИ ИНФОРМАЦИИ НА ЭТАПЕ ВНЕДРЕНИЯ СИСТЕМЫ ЗАЩИТЫ В ИНФОРМАЦИОННОЙ СИСТЕМЕ

Пояснительная записка к выпускной квалификационной работе бакалавра

ВКР 10.03.01 24Б ПЗ

Студент гр. 24Б А.О. Косичков

Руководитель В.Н. Никитин

Доцент

Нормоконтроль В.И. Шестухина

доцент, к.п.н.

Хабаровск - 2017

Abstract

In this graduation work, the problem of the lack of any recommendations for analyzing the security of information at the stage of implementing the protection system in the information system is considered.

To solve the above problem in the graduation work, methodical recommendations are developed that allow the specialists and employees authorized in the field of information security to analyze the security of information.

The work consists of three chapters. The first chapter examines in detail the analysis of security. The second chapter proposes a methodology for analyzing the security of information. And in the third chapter offered by me methodical recommendations for analyzing the security of information.

As a result of the work, methodical recommendations were made for analyzing the security of information at the stage of implementing the protection system in the information system, which should help in the work of a specialist.

Оглавление

Введение 4

1 Изучение анализа защищённости 5

1.1 Защищённость ИС 5

1.2 Уязвимости в информационной системе 7

1.3 Методы поиска уязвимостей 12

1.4 Инструментальные средства анализа защищённости 20

1.5 Взаимосвязь угроз и уязвимостей 24

1.6 Анализ защищённости внешнего периметра ИС 28

1.7 Анализ защищенности внутреннего периметра ИС 30

2 Разработка методики проведения анализа защищённости информации в ИС 33

3 Методические рекомендации по проведению анализа защищённости информации на этапе внедрения системы защиты в ИС 37

Заключение 61

Список использованных источников 62

Терминологический словарь 63

Список сокращений 66

Введение

Проведение анализа защищённости информации одна из важнейших процедур для ИС, так как она обеспечивает нормальное функционирование и беспрерывную работу организации. Однако не существует какой-либо методики, которая объяснила и нормировала процесс такой процедуры. В связи с этим часто среди специалистов возникает вопрос о том, как выполнять анализ защищённости. Как итог каждый разрабатывает собственную методику «на ходу», в которой могут допускаться ошибки.

В связи с этим предлагаются методические рекомендации проведения анализа защищённости информации на этапе внедрения системы защиты в ИС. Методические рекомендации создаются в помощь специалистам и должностным лицам уполномоченным в области защиты информации. Они служат руководством по проведению анализа защищённости, а так же предлагают форму создания отчётности по окончанию его выполнения.

1. Изучение анализа защищённости

Согласно требованиям федеральных органов уполномоченных в области защиты информации каждая организация обязана проводить систематически анализ защищённости, причём порядок и периодичность устанавливаются оператором безопасности.

1. Защищённость ИС

Анализируя нормативно-правовые акты, следует отметить, что защищенность является основным из показателей эффективности функционирования ИС, наряду с такими показателями как надежность, отказоустойчивость, производительность. Под защищенностью ИС обычно понимается степень адекватности реализованных в ней механизмов защиты информации существующим в данной среде функционирования рискам, связанным с осуществлением угроз безопасности, нарушающих основные свойства информации, такие как конфиденциальность, целостность и доступность.

Документы, которые определяют необходимые уровни защищённости информации в ИС – это указы Президента, постановления Правительства РФ, руководящие документы ФСТЭК и ФСБ России, федеральные законы. Основные из них:

• Указ Президента Российской Федерации от 5 декабря 2016 г. № 646 “Об утверждении Доктрины информационной безопасности Российской Федерации”;

• Федеральный закон от 27 июля 2006 г. № 149-ФЗ “Об информации, информационных технологиях и о защите информации”;

• Закон Российской Федерации от 21 июля 1993 г. № 5485-1 “О государственной тайне”;

• ГОСТ Р 51583-2014 “Защита информации. Порядок создания автоматизированных систем в защищенном исполнении”;

• Приказ ФСТЭК России от 18 февраля 2013 г. N 21 “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных”;

• Приказ ФСТЭК России от 11 февраля 2013 г. № 17 “Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах”;

• Методический документ. Утвержден ФСТЭК России 11 февраля 2014 г. “Меры защиты информации в государственных информационных системах”;

• Постановление Правительства РФ от 01.11.2012 №1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”.

Основу нормативной базы составляют в нашей стране руководящие документы и приказы ФСТЭК России в области защиты от НСД к информации.

Объектами защиты в ИС является информация, технические средства, а также СЗИ. Все организационные и технические меры ЗИ, которые реализуются в рамках СЗИ ИС, должны быть на обеспечение конфиденциальности, целостности и доступности информации. И для обеспечения защиты этой информации, проводятся мероприятия:

• формирование требований к ЗИ ИС;

• разработка СЗИ ИС;

• внедрение СЗИ ИС;

• аттестация ИС по требованиям и ввод ее в действие;

• обеспечение ЗИ в ходе эксплуатации аттестованной ИС;

• обеспечение ЗИ при выводе из эксплуатации аттестованной ИС или после принятия решения об окончании обработки информации.

Таким образом, исходя из данного приказа, можно сказать, что защищенность ИС является важным этапом всего цикла жизни ИС, которая должна обеспечиваться на каждом мероприятий начиная от формирования требований к ЗИ ИС и до самого вывода из эксплуатации ИС.

Защищенность информации достигается при помощи системы защиты информации ИС, нейтрализующей актуальные угрозы. Сама система защиты информации объединяет в себе технические и организационные меры, которые определены по актуальным угрозам безопасности информации в ИС. Защищенность ИС обеспечивает оператор ИС, для которого определен контроль по выполнению требований по защите информации (определение типа ИС, актуальных угроз, уровня защищенности ИС).

После выполнения всех этих требований идет проверка правильной работы механизмов защиты информации по существующим уязвимостям, угрозам и рискам – анализ защищенности ИС. Проведение анализа защищенности ИС позволит узнать актуальную информацию по используемым техническим мерам и средствам защиты информации, а также по итогам выяснить недостатки и повысить уровень безопасности ИС. Но для того, чтобы это сделать, необходимо начать с анализа ИС на уязвимости, которые могут привести к различным угрозам.

1.2 Уязвимости в информационной системе

Основными показателями защищённости являются уязвимости, то есть система будет считаться защищённой в том случае, когда в ней нет известных уязвимостей.

Изучая государственные стандарты, было найдено определение уязвимости – это свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации. Таким образом, уязвимость – это основная критерий ИС, из-за которой проводится анализ защищённости.

Согласно анализу компании PositiveTechnologies за 2015 год в 76% исследованных систем найдены уязвимости при эксплуатации коих возможно получить доступ к системе или даже полный контроль над ней. Исходя из этого, любая ИС подвержена опасности, которые могут повлечь за собой нежелательные последствия.

Существует множество классификаций уязвимостей. Большинство организаций выделяют собственные классификации и пользуются ими при определение уязвимостей, но с такими классификациями существует возможность пропустить какую-либо уязвимость или неверно её классифицировать, что в дальнейшем приведёт к угрозам , а также хищению, потери и модификации информации.

Наиболее точная и подробная из них указана в ГОСТ Р 56546-2015 “Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем”, но так как развитие ИС происходит с каждым днем, то соответственно список уязвимостей нужно дополнять постоянно.

Классификация уязвимостей по ГОСТ Р 56546-2015 представлена на рисунке 1.1.

Каждая уязвимость фиксируется и систематизируется в банках уязвимостей, таких как:

• NVD (National Vulnerability Database).

NVD – это наиболее старый англоязычный банк уязвимостей, который имеет уязвимости с 1988 года и имеет ссылки на CVE.(http://nvd.nist.gov );

Рисунок 1.1 – Классификация уязвимостей в ИС

Пример описания уязвимостей в NVD представлен на рисунке 1.2.

• CVE (Common Vulnerabilities and Exposures).

CVE – это список стандартных названий для общеизвестных уязвимостей. Основное назначение CVE - это согласование различных баз данных уязвимостей и инструментов, использующих такие базы данных. (http://cve.mitre.org). Пример описания уязвимостей в CVE представлен на рисунке 1.3;

• банк данных угроз безопасности информации ФСТЭК.

Банк данных угроз безопасности информации – это банк данных угроз и уязвимостей, регулярно обновляемый и взаимодействующий с другими банками уязвимостей и имеющий отметку о классе уязвимости. (http://bdu.fstec.ru). На сегодняшний день на сайте представлено более 16000 уязвимостей, а также существует инфографика, которая показывает количество уязвимостей производителей, распределение уязвимостей по типам ПО, распределение уязвимостей по уровням опасности и распределение уязвимостей по типам ошибок. П ример описания уязвимостей в ФСТЭК представлен на рисунке 1.4.

Большинство уязвимостей находят эксперты в области тестирования информационных систем и информационной безопасности либо инструментальные средства.

Рисунок 1.2 – Пример описания уязвимостей (NVD)

Рисунок 1.3 – Пример описания уязвимостей (СVE)

Рисунок 1.4 – Пример описания уязвимостей (ФСТЭК)

1.3 Методы поиска уязвимостей

Эксперты в области тестирования информационных систем и информационной безопасности для обеспечения защищённости ИС пользуются следующими основными методами поиска уязвимостей.

Ручной поиск

О том, как происходит первое двумя словами не скажешь. Исследователи опираются на свой опыт и, с каждой работой становятся еще опытнее. Полезно знать шаблонные уязвимости, уметь читать дизассемлированный код, писать код, для проверки предположений.

Существуют ключевые места, присутствие уязвимостей в которых более вероятно, чем в остальном коде. К таким местам относится, например вызов небезопасных функций работы со строками.

Но даже если найдено подобное ключевое место, то нет гарантии, что удаться произвести на него атаку через внешние данные. Для нахождения пути, через которые вредоносные данные могут достичь уязвимого места может быть использованы методы обратной трассировки.

Если исследование ключевого места показало, что она подвержено уязвимости, то первым делом следует выяснить, какие данные приводят к ее возникновению. Так же на этом этапе следует получить как можно больший диапазон таких данных. Эта информация понадобится на следующем этапе.

Характеристики

Тип файла документ

Документы такого типа открываются такими программами, как Microsoft Office Word на компьютерах Windows, Apple Pages на компьютерах Mac, Open Office - бесплатная альтернатива на различных платформах, в том числе Linux. Наиболее простым и современным решением будут Google документы, так как открываются онлайн без скачивания прямо в браузере на любой платформе. Существуют российские качественные аналоги, например от Яндекса.

Будьте внимательны на мобильных устройствах, так как там используются упрощённый функционал даже в официальном приложении от Microsoft, поэтому для просмотра скачивайте PDF-версию. А если нужно редактировать файл, то используйте оригинальный файл.

Файлы такого типа обычно разбиты на страницы, а текст может быть форматированным (жирный, курсив, выбор шрифта, таблицы и т.п.), а также в него можно добавлять изображения. Формат идеально подходит для рефератов, докладов и РПЗ курсовых проектов, которые необходимо распечатать. Кстати перед печатью также сохраняйте файл в PDF, так как принтер может начудить со шрифтами.

Список файлов ВКР