Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла

Министерство транспорта Российской Федерации

Федеральное агентство железнодорожного транспорта

ФГБОУ ВО «ДАЛЬНЕВОСТОЧНЫЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ПУТЕЙ СООБЩЕНИЯ»

Хабаровск - 2016

Abstract

The theme of this final qualifying work is to develop recommendations on the organization of work to eliminate vulnerabilities in the information system of commercial enterprise (OOO "Kontur budushchego").

The purpose of work is to develop recommendations for the security administrator at work on the identification, identify vulnerabilities, their analysis and troubleshooting in the company's information system, satisfying the requirements of the existing legal acts in the field of information security.

During this final qualifying work distributed system of automated vulnerability detection, as well as developed the rules and procedures to address the vulnerabilities it has been applied. The first stage was the classification of vulnerabilities and the analysis methods and techniques to identify them. On the basis of this analysis, the search technology has been selected vulnerabilities recommendations for the security administrator and the system model is determined.

In accordance with the requirements set out in the regulations and guidelines, recommended the necessary organizational, engineering, software and hardware methods and means of information protection.

The result of a project that contains a set of recommendations for the OOO "Kontur budushchego" network administrator security trading, including the organization of work on the identification, analysis and rapid elimination of vulnerabilities in the information system.

Содержание

Введение 5

1 Общая характеристика уязвимостей информационных систем 7

1.1 Анализ угроз и уязвимостей информационных систем 8

1.2 Общая характеристика уязвимостей системного программного обеспечения 12

1.3 Общая характеристика уязвимостей прикладного программного обеспечения 15

2 Обзор существующих технологий обнаружения уязвимостей 17

2.1 Методы идентификации уязвимостей 17

2.1.2 Идентификация организационных уязвимостей 17

2.1.2 Идентификация технических уязвимостей 22

2.2 Анализ существующих средств защиты 30

3 Разработка правил и процедур по устранению уязвимостей в информационной системе 34

3.1 Общие положения об информационной системе предприятия 34

3.1.1 Исследование ИС отдела информационных технологий 36

3.1.2 Определение класса защищенности 37

3.1.3 Определение актуальных угроз 38

3.2 Рекомендации по менеджменту технических уязвимостей 39

3.2 Рекомендации по внедрению программного продукта ХSpider 42

3.3 Правила и процедуры для администратора безопасности по контролю защищенности информации 43

3.3.1 Рекомендации по выявлению, анализу и устранению уязвимостей в информационной системе 43

3.3.2 Рекомендации по контролю установки обновлений программного обеспечения, включая программное обеспечение средств защиты информации 47

3.3.3 Рекомендации по контролю работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации 48

3.3.4 Рекомендации по контролю правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе 51

Заключение 53

Список использованных источников 54

Список сокращений 55

Приложение А 56

Введение

Предпринимательская деятельность во всех сферах неразрывно связана с получением и использованием различного рода информации. Причем в современных условиях информация представляет собой особого рода товар, имеющий определенную ценность. Данная информация нередко подвергается угрозам информационной безопасности. А способствуют этому недостатки или слабые места в системном или прикладном программном (программно-аппаратном) обеспечении автоматизированной информационной системы.

Задача поиска уязвимостей в информационной системе возникает в процессе разработки средств получения несанкционированного доступа специалистами государственных или частных разведывательных организаций, специальных служб либо киберпреступниками. Об актуальности этой задачи можно судить благодаря появляющимся в открытом доступе данным о вознаграждениях, которые предлагаются на «черном» рынке в обмен на информацию об уязвимостях – для наиболее популярных программных продуктов эта сумма может достигать сотен тысяч долларов США.

Проблема обнаружения уязвимостей также является острой для предприятий, учреждений, организаций различных форм собственностей. Ведущие игроки на рынке информационных технологий используют новейшие средства затруднения эксплуатации вредоносных программ и методы проактивной защиты и, тем не менее, вынуждены каждый год исправлять сотни ошибок, связанных с безопасностью. Разумеется, для администратора безопасности предпочтительней находить подобные ошибки в процессе использования информационной системы, а не в результате расследования уже произошедшего инцидента ИБ.

Стремление обнаружить уязвимость раньше, чем это удастся злоумышленникам, побуждает такие компании, как PayPal, Facebook или Google, организовывать собственные программы вознаграждения исследователей ИБ в обмен на данные об ошибках, причем бюджет наиболее крупных программ превышает миллион долларов.

Готовность сторон расходовать на информацию об уязвимостях значительные финансовые ресурсы позволяет предположить высокую заинтересованность в инструментах, облегчающих и тем более автоматизирующих процесс обнаружения ошибок, связанных с безопасностью.

Цель работы заключается в разработке правил и процедур по устранению уязвимостей в информационной системе торговой компании, удовлетворяющих требованиям действующих нормативно-правовых актов в области защиты информации.

Достижение поставленной цели решалось выполнением следующих задач:

• разработкой модели распределенной системы поиска уязвимостей;

• исследованием исходных данных по информационной системе, существующих средств защиты информации (СрЗИ);

• разработкой эффективных правил и процедур для администратора безопасности, удовлетворяющей требованиям законодательства Российской Федерации, а также нормативно-методическим документам ФСТЭК и ФСБ России;

• оценкой эффективности полученной системы в реальных условиях.

Объект исследования информационная система торговой сети «Контур будущего».

Предметом исследования является система защиты информационной системы предприятия.

Теоретическая значимость дипломного исследования состоит в анализе существующих методов обнаружения уязвимостей и выявления наиболее оптимального из методов по соотношению сложности разработки и эффективности.

Практическая значимость работы определяется возможностью полноценного использования построенной системы в качестве одного из важных инструментов администратора безопасности. Прозрачная масштабируемость и модульная структура системы при этом дает возможность использовать ее в течение неограниченного времени.

Наиболее существенные результаты, полученные в процессе исследования, состоят в следующем:

• разработана и имплементирована модель распределенной системы поиска уязвимостей;

• разработаны рекомендации по внедрению программного продукта XSpider;

• разработкой эффективных правил и процедур для администратора безопасности по выявлению, анализу и устранению уязвимостей в информационной системе.

ВКР состоит из введения, трех основных разделов, заключения, списка используемых источников.

В первом разделе дается общая характеристика уязвимостей системного программного и прикладного программного обеспечения, включая уязвимости протоколов сетевого взаимодействия и средств защиты информации, а также проводится анализ угроз и уязвимостей информационных систем.

Во втором разделе описаны существующие технологии борьбы с уязвимостями: методы обнаружения организационных и технических уязвимостей, и проведен анализ имеющихся на сегодняшний день средств защиты.

В третьем разделе разработаны рекомендации по внедрению программного продукта XSpider, правила и процедуры для администратора безопасности по устранению уязвимостей, а также предложен менеджмент организационных и технических уязвимостей.

1 Общая характеристика уязвимостей информационных систем

1.1 Анализ угроз и уязвимостей информационных систем

Активы предприятия являются объектом для многих видов угроз. Угроза может стать причиной нежелательного инцидента, в результате которого организации будет причинен ущерб. Этот ущерб может возникнуть в результате атаки на информацию, принадлежащую организации и приводящей к ее несанкционированному раскрытию, модификации, повреждению, уничтожению, недоступности или потери. Угрозы могут исходить от случайных или преднамеренных источников или событий. При реализации угрозы используется одна или более уязвимостей систем, приложений или сервисов. Угрозы могут исходить как изнутри организации, так и извне.

Угрозы информационной безопасности на редкость разнообразны. Сориентироваться в этом разнообразии помогают перечни угроз, приведенные в приложениях к стандартам BS 7799-3 и ГОСТ Р ИСО/МЭК 27005-2010. "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности" (далее ИСО 27005). Одно из наиболее детальных описаний тысяч угроз информационной безопасности можно встретить в открытом немецком стандарте BSI IT Baseline Protection Manual (Базовое руководство по защите ИТ), а также на официальном сайте ФСТЭК России.

Для каждой идентифицированной угрозы определяется список уязвимостей, благодаря которым становится возможным реализация угрозы. При этом учитываются результаты аудитов безопасности и контроля защищенности информационных систем организации, влияние человеческого фактора, а также факты отсутствия или слабости применяемых механизмов контроля (организационных и технических).

На некоторой стадии, либо перед началом мероприятий по оценке рисков, либо перед началом идентификации угроз и уязвимостей, должны быть идентифицированы уже реализованные механизмы безопасности. Это необходимо для полной идентификации и реалистичной оценки угроз и уязвимостей, а также важно при рассмотрении вариантов обработки рисков и мероприятий по управлению рисками.

Состав элементов описания угроз НСД к информации в информационной системе приведен на рисунке 1.1.

Уязвимости представляют собой слабости защиты, ассоциированные с активами организации. Эти слабости могут использоваться одной или несколькими угрозами, являющимися причиной нежелательных инцидентов. Уязвимость сама по себе не наносит ущерба, это только условие или набор условий, позволяющих угрозе причинить ущерб активам.

Другими словами, уязвимости – это любые факторы, делающие возможной успешную реализацию угроз. Поэтому для оценки уязвимостей необходимо идентифицировать существующие механизмы безопасности и оценить их эффективность.

Идентификация уязвимостей должна определять связанные с активами слабости в следующих областях:

• физическом окружении;

• персонале, процедурах управления, администрирования и механизмах контроля;

• деловых операциях и предоставлении сервисов;

• технических средствах, программном обеспечении, телекоммуникационном оборудовании и поддерживающей инфраструктуре.

Угрозы и уязвимости должны объединиться для того, чтобы стать причиной инцидентов, которые могут причинить ущерб активам. Поэтому необходимо четко определять взаимосвязь между угрозами и уязвимостями.

Характеристики

Тип файла документ

Документы такого типа открываются такими программами, как Microsoft Office Word на компьютерах Windows, Apple Pages на компьютерах Mac, Open Office - бесплатная альтернатива на различных платформах, в том числе Linux. Наиболее простым и современным решением будут Google документы, так как открываются онлайн без скачивания прямо в браузере на любой платформе. Существуют российские качественные аналоги, например от Яндекса.

Будьте внимательны на мобильных устройствах, так как там используются упрощённый функционал даже в официальном приложении от Microsoft, поэтому для просмотра скачивайте PDF-версию. А если нужно редактировать файл, то используйте оригинальный файл.

Файлы такого типа обычно разбиты на страницы, а текст может быть форматированным (жирный, курсив, выбор шрифта, таблицы и т.п.), а также в него можно добавлять изображения. Формат идеально подходит для рефератов, докладов и РПЗ курсовых проектов, которые необходимо распечатать. Кстати перед печатью также сохраняйте файл в PDF, так как принтер может начудить со шрифтами.

Список файлов ВКР