Пояснительная записка (1210153), страница 4
Текст из файла (страница 4)
Тестовые испытания могут включать в себя любые виды проверок: ручные, автоматические, оценку соответствия и т.п. Кроме этого, они позволяют убедиться в работоспособности механизмов контроля и проверить правильность обработки информации на тестовых данных. Примером могут служить тестовые испытания объектов информатизации по требованиям безопасности информации, сертификационные испытания средств вычислительной техники (СВТ), а также приемо-сдаточные испытания систем, вводимых в эксплуатацию.
Для проведения тестовых испытаний необходимо определить требования безопасности, предъявляемые к испытываемым системам, разработать программу и методику испытаний в соответствии с этими требованиями, подготовить наборы входных и выходных данных.
Фрагмент программы тестовых испытаний информационной системы обработки персональных данных (ИСПДн) по требованиям безопасности информации может выглядеть, например, следующим образом (таблица 2.4):
Таблица 2.4 – Порядок тестовых испытаний
| Наименование и порядок испытаний |
| Проверка реализации требований по защите каналов связи, используемых для обмена персональными данными |
| Проверка реализации требований по физической защите помещений, в которых ведется работа с персональными данными |
| Проверка реализации требований по защите персональных данных от НСД |
| Проверка реализации требований по обеспечению доступности и незамедлительного восстановления персональных данных |
| Проверка реализации требований по контролю уровня защищенности персональных данных |
| Проверка правильности и полноты реализации организационно-технических мероприятий по обеспечению безопасности персональных данных |
| Проверка наличия утвержденного списка лиц, допущенных к работе с персональными данными |
Методика испытаний для каждого пункта программы определяет проверяемые требования безопасности, способы их реализации в испытываемой системе и методы проверки их реализации.
Фрагмент методики тестовых испытаний системы предприятия показан в таблице 2.5
Таблица 2.5 – Фрагмент методики тестовых испытаний
| Требование безопасности | Реализация требования в системе | Наименование (характеристика) уязвимости |
| Должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно постоянного действия длиной не менее шести символов | Идентификация и аутентификация пользователя при доступке к АРМ компании: - защита ПК от НСД « Dallas Lock» (имя и пароль не менее 6 символов); - доступ к локальной сети компании (имя, пароль); - доступ к АРМ компании (имя, пароль) - доступ к ЭЦП (имя, пароль) - доступ к почтовому серверу СОД (имя, пароль). Идентификация и аутентификация пользователя при доступе к АРМ пользователя: - доступ к АРМ Клиента (имя, пароль) - доступ к ЭЦП (имя, пароль); - доступ к почтовому серверу СОД (имя, пароль). Идентификация и аутентификация абонента при доступе к СОД: - осуществляется по Х 400 адресу, имени и паролю. | Проверка осуществляется путем выполнения процедур локального и удаленного (сетевого) входа в ОС и в приложение на АРМ компании, АРМ пользователя и на сервере СОД. Проверяется установка ограничения на минимальную длину пароля. Удаленный доступ к серверу СОД осуществляется по протоколу FTP. |
Другим примером тестовых испытаний может служить тестирование планов обеспечения непрерывности бизнеса, фрагмент программы которого показан на рисунке.
Тестовые испытания информационных систем различного назначения позволяют идентифицировать свойственные для этих систем как организационные, так и технические уязвимости.
2.2 Анализ существующих средств защиты
Одним из важнейших этапов обеспечения информационной безопасности является идентификация потенциальных рисков. Большинство ИТ-специалистов знают, насколько может быть опасна «брешь» в ОС и приложениях. И чрезвычайно важно найти эти «дыры», или на языке профессионалов – уязвимости, прежде, чем ими смогут воспользоваться недоброжелатели. Для этой цели и были созданы сканеры безопасности.
В ходе теста экспертами «Информзащиты» была проверена работоспобность 6 сканеров Internet Scanner, XSpider (также продукт Positive Technologies), Nessus Security Scanner, Net Clarity Auditor, Retina Network Security Scanner, Shadow Security Scanner. Сканеры безопасности оценивались по следующим критериям: количество найденных уязвимостей, число ложных срабатываний (False Positives), число пропусков (False Negatives), причины пропусков, полнота базы проверок, качество механизмов инвентаризации и определения версий ПО, точность работы.
Перечисленные критерии в совокупности стали характеристиками «пригодности» сканера для решения поставленных задач. В качестве объектов сканирования были выбраны «реальные мишени» – узлы корпоративных сетей, доступные через интернет.
Результат опроса респондентов (рисунок 2.4) о конечных продуктах, имеющих отношение к сканерам безопасности, показал, что большинство организаций предпочитают использовать продукт Positive Technologies XSpider (31%) и Nessus Security Scanner (17%).
В результате тестирования первое место по всем критериям данного сравнения досталось сканеру XSpider, на втором месте – сканер Nessus, результаты остальных существенно ниже. «В полученном результате, по сути, нет ничего неожиданного и удивительного. Не секрет, что сканеры XSpider и Nessus пользуются популярностью как среди специалистов по безопасности, так и среди «взломщиков», – говорится в отчете.
Рисунок 2.4 – Сканеры безопасности, используемые в организациях опрошенных респондентов
Причины явного лидерства этих продуктов – качественная идентификация сервисов и приложений, считают эксперты. Кроме того, XSpider, логотип которого представлен на рисунке 2.5, отличается полнотой базы и ее адекватность поставленной задаче и вообще «сегодняшнему дню», имеет удобный и логичный интерфейс. Сканер Nessus показал, в целом, неплохие результаты, а в ряде моментов он был точнее сканера XSpider. Главная причина отставания Nessus – это пропуски уязвимостей, но не по причине отсутствия проверок в базе, как у большинства остальных сканеров, а в силу особенностей реализации.
С развитием информационных систем государственных организаций и частных компаний растёт и количество уязвимостей, которые могут быть использованы злоумышленниками для нанесения серьезного ущерба. Согласно исследованию Positive Technologies, в 2014 году 94% систем крупных компаний содержали серьезные уязвимости, позволяющие атакующему получить полный контроль над критически важными ресурсами, такими как ERP, электронная почта и системы управления сетевым оборудованием.
При этом даже самые современные антивирусы не защищают от таких атак. Согласно отчету М-Trends Report, в 2014 году 100% жертв крупных взломов имели у себя своевременно обновляемый антивирус, но это им не помогло. Подобные тенденции приводят к ужесточению стандартов безопасности: последние нормативы таких регуляторов, таких как Банк России, ФСТЭК и PCI Council, требуют выявления и оперативного устранения уязвимостей. Решение этих задач в компаниях, использующих сотни копий различного ПО, невозможно без эффективных автоматизированных средств мониторинга.
Рисунок 2.5 – Программный продукт XSpider
Интеллектуальный сканнер XSpider способен выявить максимальное количество уязвимостей в информационной системе клиента до того, как они будут обнаружены и использованы злоумышленниками. Регулярное автоматическое сканирование с помощью XSpider требует минимального вмешательства специалиста. Сканнер работает удалённо, никаких «агентов» и дополнительного ПО на проверяемые хосты ставить не требуется. После сканирования XSpider выдаёт чёткие рекомендации по устранению обнаруженных уязвимостей.
Будучи признанным лидером среди сканнеров безопасности в России за последние 15 лет, XSpider отличается наиболее широким покрытием программной и аппаратной составляющих крупных информационных систем, начиная от рабочих станций под Windows и заканчивая сетевыми устройствами Cisco. Сканер работает с уязвимостями на всех уровнях, от системного до прикладного, включая анализ веб-приложений.
База уязвимостей и проверок XSpider пополняется ежедневно, при минимальном трафике и временных затратах, и содержит свыше 20 000 проверок. За счёт эвристических алгоритмов сканнер способен выявлять еще не опубликованные уязвимости и отличается крайне низким уровнем ложных срабатываний.
Возможности и особенности XSpider:
-
повышение качества процесса анализа уязвимости за счёт автоматизации рутинной работы специалистов ИБ и ИТ;
-
инвентаризация узлов в сети;
-
контроль изменений состава сетевых узлов, появления и устранения уязвимостей, изменения состава ПО;
-
удаленное сканирование сетевых узлов без использования агентов;
-
автоматизация процессов: расписание по сканированию в указанные интервалы, а также генерация и доставка отчётов в указанное время;
-
анализ и вывод изменений между сканированиями.
XSpider 7.8 уже сертифицирован ФСТЭК России № 3247 от 24 октября 2014 года и может использоваться для анализа защищенности информационных систем персональных данных до 1 класса включительно.
3 Разработка правил и процедур по устранению уязвимостей в информационной системе
3.1 Общие положения об информационной системе предприятия
Информационная система ООО «Контур будущего» предназначена для автоматизации бизнес-процесса, сбора статистических данных о доходах и динамике развития предприятия, а так же включает в себя базу данных на PostgreSQL для автоматизации работы фитнес клубов.
Информационная система предприятия включает в себя четыре офиса, связанных между собой VPN (виртуальной частной сетью). Головной офис и один из филиалов территориально расположены в городе Хабаровск. И два офиса находятся на территории Дальнего Востока в городах Петропавловск-Камчатский и на Сахалине. Схему сети информационной системы можно увидеть на рисунке 3.1.
Рисунок 3.1 – Схема сети информационной системы ООО «Контур будущего»
В процессе изучения документации Предприятия (ООО «Контур будущего»), было проведено исследование информации, обрабатываемой в информационной системе, к ней относятся:
– средства аутентификации и идентификации сотрудника оператора (логин и пароль);
– СУБД «ClubIS» на платформе PostgreSQL, доступ к которым необходимо ограничить, так как сведения, хранящие в базах, содержат информацию конфиденциального характера (отчеты (Движение денежных средств, автоматизация фитнес-услуг, тенденции роста и спада производства), товары и услуги, информация о наличии или отсутствии товара или услуги, роли пользователей в базах данных;
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
