Приложение А (1209246), страница 2
Текст из файла (страница 2)
Примечание: таблица также служит, как перечень всех средств защиты информации, поэтому в ней также обозначаются средства не нуждающиеся в настройках.
Пример перечня средств защиты информации представлен в таблице А.4.
Таблица А.4 – Перечень средств защиты информации
| Название отдела | Название АРМ | Наименование средств защиты | Сертификат соответствия | Ошибки в настройке |
| Научно-исследовательский отдел | АРМ_НИЛ№3 | Соната-ВК3 | Сертификат ФСТЭК России №2533/1 до 09.11.2018 г. | - |
| Название отдела | Название АРМ | Наименование средств защиты | Сертификат соответствия | Ошибки в настройке |
| Отдел главного конструктора | АРМ начальника отдела | DallasLock 8.0-С | Сертификат ФСТЭК России №2945 до 16.08.2019 г. | Ошибка в настройке параметров регистрации событий |
| … | … | … | … | .. |
Третий этап. Анализ защищённости внутреннего и внешнего периметра сети ИС
После проверки правильности настроек всего имеющегося оборудования в ИС, а именно средств обработки и средств защиты информации, производится анализ защищенности внутреннего и внешнего периметра сети ИС путем действий потенциально возможного нарушителя со стороны сети Интернет (внешний периметр сети), а также путем попыток отрицательного воздействия внутреннего нарушителя (внутренний периметр сети).
Анализ защищенности внутреннего и внешнего периметра сети проводится при помощи каких-либо инструментальных средств, а также по средства осмотра территории организации и проверки оборудования слежения.
Пример
Потенциально опасными действиями могут быть внедрение вредоносного ПО, сканирование сетевого трафика, внесение изменений в работу устройств и т.д.
Рисунок А.3 – Сканирование сетевого трафика впрограмме Wireshark
Четвёртый этап. Поиск уязвимостей ПО в ИС
Проверка персонала на знание и умение работать с средствами защиты информации
Проверка персонала может проводиться в нескольких видах, таких как тестирование, ознакомление и тестирование без оповещения (например фишинг), результаты проверки фиксируются, а работники не прошедшие проверку отправляются на курсы повышения квалификации или для них проводиться повторное ознакомление с документами по работе со средствами защиты информации и реагирования на угрозы.
Таблица А.5 – Результаты проверки сотрудников организации
| Название отдела | Ф.И.О. | Должность | Результат проверки |
| Научно-исследовательский отдел | Сидоров И.П. | Старший научный сотрудник | Не пройдена |
| … | … | … | … |
| Отдел ИТ | Витальев К.В. | Системный администратор | Пройдена |
| … | … | … | … |
Проверка организационных мер защиты информации в ИС
Экспертной группой поднимаются вся документация организации, от которой зависит безопасность информации и защищённость системы в целом. Причем к организационным уязвимостям можно отнести любые слабости защиты, не являющиеся уязвимостями в технических, программных или технически-программных средствах.
Все результаты проверок фиксируются в табличном виде с указанием всех документов существующих в организации, а также документов, которые предстоит разработать.
Примерперечня организационных документов по защите информации представлен в таблице А.6.
Таблица А.6 – Перечень организационных документов по защите информации
| Название документа | Дата введения | Итог |
| Правила маркирования и обращения с конфиденциальными документами | 10.03.2015 | Разработать документ в виду его отсутствия |
| Название документа | Дата введения | Итог |
| Правила увольнения должностных лиц | 24.09.2015 | Доработать документ с учётом возврата ресурсов |
| … | … | … |
Поиск уязвимостей в прикладном ПО ИС
Выполнение данного этапа необходимо для определения особых уязвимых мест в коде ПО, используемого в ИС. После выполнениятщательного сканирования администратором безопасности, есть вероятность обнаружения множества угроз безопасности информации.
При выполнении поиска уязвимостей в ИС необходимо использовать такие методы поиска, как ручной поиск, метод черного ящика, метод белого ящика. Эти три метода дают полное и достаточное представление о уязвимостях в ПО ИС.
Примечание
Помимо трёх основных методик разрешено дополнительно проводить поиск уязвимостей и другими методами.
Ручной поиск
Метод основан на поиске уязвимых мест кода, приводящих к неправильной работе или ошибкам работы программы. Производится путем открытия программы в среде разработки и полном сканировании ПО.
Тестирующая группа должна провести мероприятия:
-
графически смоделировать процесс работы программ. Пример графического представления работы программы представлен на рисунке А.4;
-
сравнить графически смоделированный процесс работы программы с техническим заданием;
-
открыть ПО в среде разработки и анализировать логику программы.
Пример
После проверки графически смоделированного процесса программы и сравнения его с техническим заданием не было выявлено недостатков. Но после открытия ПО в среде разработки была выявлена уязвимость в коде.
void *SpecificMalloc(unsigned int size) { return malloc(size); }
...
char *buf;
size_tlen; //уязвимость
read(fd, &len, sizeof(len));
buf = SpecificMalloc(len);
read(fd, buf, len);
Рисунок А.4 – Графическое представление работы программы
Данная уязвимость может позволить передавать в программу данные большого объема, превышающие 4 Гб, а это будет ошибкой в работе программы. Ошибка произойдет в том случае, если размер файла будет больше 4 Гб, а при чтении данных из этого файла программа выйдет за границы массива.
Метод черного ящика
При использовании данного метода выполняются несколько поэтапных тестов: эквивалентное разбиение, анализ граничных значений, анализ причинно-следственных связей.
Эквивалентное разбиение.
На этом этапе выполняются действия:
-
входные данные разбиваются на конечное количество классов эквивалентности.Класс эквивалентности - множество тестов со сходными параметрами.Напримерв одном из классов эквивалентности содержится ряд тестов. Один из тестов смог определить некоторую ошибку (уязвимость). Следовательно, остальные тесты, которые содержаться в этом классе, обнаруживают эту же ошибку;
-
минимизировать общее число тестов, путем включения их в максимальное количество классов эквивалентности.
Для точного выделения классов эквивалентности необходимо придерживаться рядом правил:
-
когда входное условие принимает одно из значений определенного интервала (например [1,99]), соответственно выделяется один класс эквивалентности правильный (входит в данный диапазон) и два неправильных (не входят в диапазон, x<1 и x>99);
-
при диапазоне входных значений, описываемым входным условием, определяется множество правильных классов эквивалентности, где одному значению из диапазона соответствует правильный класс эквивалентности;
-
в том случае, когда множество входных значений описываются входным условием, то для них соответствует количество правильных классов приравненных количеству элементов входных значений.
Определение тестов происходит при условиях, что:
-
присвоение уникального номера для каждого класса эквивалентности;
-
при не включенных правильных классах составляются новые тесты, для покрытия наибольшего количества возможных классов;
-
при остаточных неправильных классах, которые не были включены, пишутся тесты для покрытия только одного класса.
Пример эквивалентного разбиенияпредставлен в таблице А.7
Таблица А.7 – Пример эквивалентного разбиения
| Ограничение на значение параметра | Правильные классы эквивалентности | Неправильные классы эквивалентности |
| Х – входные значения (возраст). Ограничение по возрасту от 16 до 99 лет. |
|
|
Анализ граничных значений.
Под граничными значениями понимается некоторые ситуации, которые возникают на границах классов эквивалентности определенных входных значений или около них. Это позволяет увидеть, в каких местах резко увеличилась вероятность обнаружения ошибки (уязвимости).
-
Выбирается случайный элемент в классе эквивалентности, для определения тестом каждую границу класса.
-
Разрабатывается тест, при котором выделяются входные и выходные значения, для обнаружения ошибки.
Пример анализа граничных значений
Даны классы эквивалентности:
-
возраст>16
-
возраст<99
Определяем границы эквивалентности:
-
16
-
99
Проверка осуществляется со значениями 15,16,99,100.
Анализ причинно-следственных связей.
Анализ причинно-следственных связей дает возможность выбирать тесты, дающие высокий результат. Используется при этом алгебра логики с причиной (отдельное входное условие или класс эквивалентности) и следствием (выходное условие или преобразование системы).
Построение теста выполняется при выполнении:
-
происходит разбиение спецификации на рабочие участки;
-
определение множества причин и следствий в этой спецификации;
-
построение таблицы истинности на основе анализа смыслового содержания спецификации. Произведение перебора комбинаций причин и определение следствий для каждой комбинации причин.
Пример причинно-следственных связей представлен в таблице А.8
Таблица А.8 – Пример причинно-следственных связей
| Причины | Действие 1 | Действие 2 | … | Действие N |
| Корректный ввод: Имя | 0 | 0 | … | 1 |
| Причины | Действие 1 | Действие 2 | … | Действие N |
| Корректный ввод: Фамилия | 0 | 0 | … | 1 |
| Корректный ввод: телефон | Х | Х | … | Х |
| Корректный ввод: e-mail | 0 | 0 | … | 1 |
| Корректный ввод: login | 0 | 0 | … | 1 |
| Корректный ввод: password | 0 | 1 | … | 1 |
| Следствия | ||||
| Регистрация в системе | 0 | 0 | … | 1 |
1 – выполняется условие;
0 – не выполняется условие;
Х – условие не считается важным;
Регистрация пройдена в случае, когда выполнены все условия.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
