Technické kontrolné opatrenia na efektívnosť ochrany informácií. Monitorovanie stavu ochrany informácií Na základe výsledkov monitorovania ochrany informácií

1. Organizácia prác na technickej ochrane informácií:

1.1 Organizácia technickej ochrany informácií klasifikovaných ako štátne a služobné tajomstvo pred technickými a technickými údajmi a pred únikom cez technické kanály:

• dostupnosť smerníc a normatívno-technických dokumentov k problematike technickej ochrany informácií;
• dostupnosť dokumentov upravujúcich činnosť štruktúrnych jednotiek na technickú ochranu informácií (úlohy, funkčné povinnosti atď.);
• analýza a hodnotenie skutočného nebezpečenstva úniku informácií cez technické kanály, úplnosť a správnosť identifikácie možných technických kanálov na ochranu proti úniku informácií;
• úplnosť, kvalita a platnosť vypracovania organizačných a technických opatrení na ochranu informácií, postup pri ich vykonávaní;
• postup pri organizovaní a monitorovaní stavu technickej ochrany informácií, jej účinnosti;
• včasnosť a úplnosť súladu s požiadavkami riadiacich dokumentov, rozhodnutí Štátnej technickej komisie Ruska, regulačných, technických a metodických dokumentov o technickej ochrane informácií.

1.2. Štúdium a analýza činností štrukturálnych jednotiek (zodpoved úradníkov), na zaistenie bezpečnosti informácií, ktoré sa majú chrániť, ich úloh a funkčných zodpovedností.

1.3. Analýza materiálov charakterizujúcich dostupnosť spravodajských informácií k informáciám cirkulujúcim v štrukturálne členenia. Identifikácia prítomnosti v 1000-metrovej zóne zahraničných misií požívajúcich právo extrateritoriality, miesta pobytu zahraničných špecialistov.

1.4 Štúdium a analýza zoznamu informácií podliehajúcich ochrane:

• dostupnosť zoznamu informácií, ktoré sa majú chrániť pred technickými prieskumnými prostriedkami a pred únikom cez technické kanály:
• úplnosť a správnosť definície demaskovacích znakov, ktoré odhaľujú tieto informácie;

1.5 Dostupnosť systému informačnej bezpečnosti:

• prítomnosť úloh na technickú ochranu informácií v organizačných a administratívnych dokumentoch upravujúcich činnosť organizácií a útvarov zaradených do jednotný systém telá kontrolovaná vládou V Ruskej federácii;
• organizácia a vykonávanie prác na technickej ochrane informácií v ústredí ministerstva (odbore) av podnikoch, organizáciách a jemu podriadených inštitúciách;
• interakcia v otázkach technickej ochrany informácií s inými ministerstvami (odbormi) a inými organizáciami tretích strán;
• zabezpečenie kontroly účinnosti ochrany informácií tvoriacich štátne a služobné tajomstvo vo všetkých podnikoch, inštitúciách a organizáciách, ktoré sú podriadené a podriadené ministerstvu (odboru), ktoré s nimi pracuje.

1.6 Analýza možných technických kanálov pre únik informácií o informáciách klasifikovaných ako štátne tajomstvo v rámci činnosti ministerstva (rezortu) a im podriadených podnikov, organizácií a inštitúcií.

1.7 Analýza informačných tokov pri fungovaní štruktúrnych jednotiek.

1.8 Analýza zloženia hardvéru a softvéru zapojených do spracovania informácií, ich umiestnenie, technológia spracovania informácií a stav ich ochrany:

• stav účtovníctva všetkého hardvéru a softvéru domácej a zahraničnej výroby, ktorý sa podieľa na spracovaní informácií podliehajúcich ochrane;
• umiestnenie elektronických zariadení, TSPI (s odkazom na priestory, v ktorých sú inštalované), trasy pre kladenie informačných a neinformačných okruhov, ktoré presahujú kontrolované územie.

1.9 Analýza dostupnosti informácií spracovávaných v automatizovanom riadiacom systéme, počítači a iných technických prostriedkoch.

1.10 Štúdia organizácie a skutočného stavu prístupu personálu údržby a obsluhy k informačným zdrojom.

2. Monitorovanie stavu ochrany informácií:

Organizácia informačnej bezpečnosti v systémoch a prostriedkoch informatizácie a komunikácie:

• certifikácia systémov a prostriedkov automatizácie a komunikácie, ktoré sa podieľajú na spracovaní informácií klasifikovaných ako štátne a úradné tajomstvo;
• vykonávanie špeciálnych inšpekcií na identifikáciu vstavaných zariadení;
• činnosti štrukturálnych jednotiek zodpovedných za automatizáciu procesov spracovania informácií, účtovníctvo, uchovávanie, prístup k jeho magnetickým médiám, povinnosti osôb zodpovedných za bezpečnosť informácií;
• včasnosť a správnosť implementácie systému informačnej bezpečnosti, vydanie povolenia na spracovanie dôverných informácií;
• správne umiestnenie a používanie technických prostriedkov, ich jednotlivých prvkov;
• aplikované opatrenia na ochranu informácií pred únikom v dôsledku rušivého elektromagnetického žiarenia a rušenia, elektroakustických transformácií;
• prijaté opatrenia na zamedzenie neoprávneného prístupu k informáciám, ako aj odpočúvania technickými prostriedkami rečových informácií z priestorov a chránených objektov.

• overenie plnenia požiadaviek návodu na obsluhu a prevádzkového poriadku pre technické prostriedky prenosu, uchovávania a spracovania informácií TSPI (obídenie všetkých pridelených priestorov);
• kontrola včasnosti a správnosti kategorizácie pridelených priestorov, postupu pri ich certifikácii pri uvádzaní do prevádzky a vydávaní povolenia na oprávnenie konať dôverné podujatia a viesť dôverné rokovania;
• kontrola dostupnosti, kvality inštalácie a prevádzky prostriedkov na ochranu rečových informácií pred únikom cez technické kanály;
• overenie plnenia požiadaviek na vykonávanie špeciálnych kontrol technických prostriedkov (pre absenciu špeciálnych vyžarovacích zariadení);

2.3.3 Vykonávať inštrumentálnu kontrolu bezpečnosti rečových informácií cirkulujúcich vo vyhradených miestnostiach, spracovávaných a prenášaných TSPI, s cieľom identifikovať možné kanály technického úniku:

. Kontrola plnenia požiadaviek zákona Ruskej federácie „o štátnych tajomstvách“

Prijímacie konanie cudzích občanov a jeho súlad s požiadavkami normatívne dokumenty. Hodnotenie uplatňovaných opatrení na ochranu informácií pri návštevách organizácií (podnikov) zahraničnými zástupcami. Účasť špecialistov na boj proti spravodajstvu pri analýze možných kanálov úniku informácií, atestácii a špeciálnych inšpekciách priestorov pred a po prijatí zahraničných špecialistov. Dostupnosť prijímacích programov, koordinácia s FSB. Vývoj a implementácia (v prípade potreby) dodatočných opatrení na technickú ochranu informácií.

3.1 Preverovanie disponibility štrukturálnych jednotiek, zamestnancov, ich úrovne vzdelania, kvalifikácie, zabezpečovanie riešenia otázok týkajúcich sa štátneho tajomstva. 3.2 Kontrola dostupnosti licencie na právo vykonávať prácu súvisiacu s implementáciou zákona Ruskej federácie „O štátnom tajomstve“, a to tak v štrukturálnych divíziách na plný úväzok, ako aj v externých organizáciách vykonávajúcich prácu (poskytujúce služby) pre technickú ochranu informácií v záujme ministerstva (rezortu) a podriadiť im podniky, organizácie a inštitúcie. 3.3 Kontrola dostupnosti usmerňujúcich dokumentov a ich obsahu k problematike technickej ochrany informácií (zákon Ruskej federácie „O štátnom tajomstve“, Zoznam informácií, ktoré majú byť chránené... atď.). 3.4 Kontrola stavu režimu utajenia na oddeleniach a stupňa jeho súladu s platnými dokumentmi pre vedenie evidencie (vybavenie priestorov, účtovníctvo a uchovávanie dôverných dokumentov, prístup k evidencii a dôverným dokumentom). 3.5 Kontrola včasnosti a správnosti oznamovania požiadaviek usmerňujúcich dokumentov k technickej ochrane informácií zamestnancom oddelení, ich znalosti zamestnancami. 3.6 Kontrola správnosti kategorizácie informácií podľa stupňa utajenia, postupu pri ich účtovaní a uchovávaní pri použití technických prostriedkov (EVT, TSPI, kancelárska technika a pod.). 3.7 Kontrola správnosti tlače (reprodukcie) dôverných dokumentov, ich účtovania a postupu pri ich upozornení vykonávateľov. 3.8 Kontrola postupu umožnenia práce zamestnancov s utajovanými skutočnosťami. 3.9 Kontrola organizácie práce na zníženie stupňa utajenia (odtajnenie) dokumentov a prinášanie informácií exekútorom. 3.10 Kontrola dostupnosti „Certifikátov zhody“ pre pridelené priestory a technické prostriedky zapojené do spracovania informácií, ktoré majú byť chránené, a certifikačných dokumentov pre prostriedky technickej ochrany informácií a sledovanie ich účinnosti.

4. Otázky, ktoré treba zvážiť pri overovaní držiteľov licencií

4.1 Skontrolované:

• dostupnosť licencie (povolenia) na oprávnenie vykonávať prácu na technickej ochrane informácií, overenie platnosti licencie v stanovených lehotách a dodržiavanie skutočne vykonanej práce držiteľom licencie (1.5)*;
• držiteľ licencie má doklady o štátna registrácia podnikateľskú činnosť a zakladateľskú listinu (1.7)*;
• stav výrobnej a skúšobnej základne, dostupnosť regulačnej a metodickej dokumentácie na vykonávanie prác na deklarovaných druhoch činností (1.6) *;
• personálne zabezpečenie vedeckého a inžinierskeho personálu na vykonávanie prác na deklarovaných druhoch činnosti. Úroveň pripravenosti špecialistov na prácu (1.6) *;
• odborná príprava vedúceho podniku držiteľa licencie a (alebo) ním poverených osôb na riadenie licencovaných činností (1.7)*;
• dodržiavanie zmluvných záväzkov na zaistenie bezpečnosti dôverného a hmotného majetku jednotlivcov a právnických osôb kto využil služby držiteľa licencie (2.4)*;
• včasnosť a úplnosť prezentácie v vládna agentúra na udelenie licencie alebo do licenčného centra na informácie o vykonanej práci na konkrétnych typoch činností uvedených v licencii v súlade s požiadavkami Štátnej technickej komisie Ruska (2.4)*;
• kvalita služieb poskytovaných držiteľom licencie (hodnotenie účinnosti opatrení prijatých držiteľmi licencie na technickú ochranu informácií u 1-3 spotrebiteľských podnikov, ktoré využili služby držiteľa licencie (3.2) *.

4.2 Výsledky overovania držiteľov licencií sa premietnu do samostatnej časti zákona alebo osvedčenia, vypracovaného na základe výsledkov plánovanej kontroly ministerstiev (odborov) a im podriadených podnikov, organizácií a inštitúcií. Na základe získaných výsledkov sa vyvodzuje záver o súlade držiteľa povolenia so stanovenými požiadavkami a možnosti jeho ďalšej práce v deklarovaných oblastiach.

Poznámka: *) Oddiely „Predpisy o štátnom povoľovaní činností v oblasti ochrany informácií“ sú uvedené v zátvorkách.

Sledovanie efektívnosti VBI spočíva v kontrole súladu kvalitatívnych a kvantitatívnych ukazovateľov efektívnosti aktivít VBI s požiadavkami alebo štandardmi na efektívnosť VBI.

Monitorovanie účinnosti VBI zahŕňa:

Technická kontrola účinnosti VBI - kontrola účinnosti VBI, vykonávaná pomocou technických prostriedkov kontroly.

Organizačná kontrola efektívnosti VBI - kontrola súladu úplnosti a platnosti činností pre VBI s požiadavkami smerníc a regulačných a metodických dokumentov v oblasti VBI;

Technická kontrola účinnosti VBI (o ktorej uvažujeme) je kontrola účinnosti VBI, vykonávaná pomocou technických prostriedkov kontroly.

V závislosti od cieľov a cieľov kontroly, ako aj od charakteristík kontrolovaných objektov môže byť technická kontrola účinnosti VBI:

Komplexné, keď sa organizácia a stav VBI kontroluje proti úniku všetkými možnými technickými kanálmi charakteristickými pre riadený technický prostriedok (objekt informatizácie), pred neoprávneným prístupom k informáciám alebo osobitnými vplyvmi naň;

Cielená, keď sa kontrola vykonáva jedným z možných technických kanálov úniku informácií, charakteristických pre kontrolovaný technický prostriedok, ktorý má chránené parametre alebo v ktorom kolujú chránené informácie;

Selektívne, keď sa z celého zloženia technických prostriedkov na zariadení vyberú tie, ktoré majú podľa výsledkov predbežného posúdenia s najväčšou pravdepodobnosťou technické kanály na únik chránených informácií.

V závislosti od špecifických podmienok technickej kontroly možno kontrolu účinnosti vykonať nasledujúcimi spôsobmi:

Prístrojová metóda, kedy sa pri kontrole používajú technické meracie prístroje a simulujú sa reálne prevádzkové podmienky technických prieskumných prostriedkov;

Inštrumentálno-výpočtová metóda, kedy sa merania vykonávajú v bezprostrednej blízkosti objektu kontroly a následne sa výsledky meraní prepočítavajú na miesto (podmienky) predpokladaného umiestnenia prieskumného zariadenia;

Metóda výpočtu, kedy sa efektívnosť VBI hodnotí výpočtom na základe skutočných podmienok umiestnenia a schopností technického prieskumného vybavenia a známych charakteristík objektu kontroly.

Podstatou technických kontrolných opatrení je vykonávanie inštrumentálnych (nástrojovo vypočítaných) kontrol účinnosti ochrany informácií pred únikom cez technické kanály, ktoré vznikajú v dôsledku:

1) rušivé elektromagnetické žiarenie (SEMI) pri prevádzke hlavných technických prostriedkov a systémov (OTSS) objektu informatizácie;

3) vyzdvihnutie informačný signál na spojovacích vedeniach VTSS umiestnených v oblasti pokrytia PEMI OTSS;

4) nerovnomerný odber prúdu v napájacej sieti OTSS;

5) lineárne vysokofrekvenčné uloženie a elektroakustické transformácie ako metódy zachytávania rečových informácií prostredníctvom VTSS inštalovaných vo vyhradených miestnostiach.

Prístrojová kontrola sa vykonáva podľa štandardných programov a štandardných metód schválených atestačnými a certifikačnými orgánmi. Všetky meracie zariadenia sú certifikované metrologickými orgánmi predpísaným spôsobom.

Hlavné regulačné a metodické dokumenty upravujúce činnosti technickej kontroly posudzovaných objektov sú:

2. GOST 29339-92. Informačné technológie. Ochrana informácií pred únikom rušivým elektromagnetickým žiarením a snímačmi pri ich spracovaní pomocou výpočtovej techniky. Všeobecné technické požiadavky;

3. Zbierka metodických dokumentov o kontrole chránených informácií spracovaných výpočtovou technikou pred únikom v dôsledku elektromagnetického žiarenia a snímačov (PEMIN). Schválené nariadením Štátnej technickej komisie Ruska zo dňa 19. novembra 2002 č.391.

4. Objednávka Federálna služba o technickej a exportnej kontrole (FSTEC Ruska) z 11. februára 2013 N 17 Moskva

5. Príkaz FSTEC Ruska zo dňa 18. februára 2013 č. 21 "O schválení Zloženia a obsahu organizačných a technických opatrení na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov."

Akt kontroly stavu VBI by mal obsahovať tieto časti:

1. Všeobecné informácie o predmete kontroly;

2. Všeobecné otázky organizácie VBI na zariadení;

3. Organizácia a stav ochrany objektov informatizácie;

4. Úplnosť a kvalita prác vykonaných držiteľmi licencie FSTEC Ruska na ochranu a certifikáciu objektov informatizácie;

Skrytie informácií o prostriedkoch, komplexoch, objektoch a systémoch spracovania informácií. Tieto úlohy možno rozdeliť na technické a organizačné.

Organizačné úlohy skryť informácie o objektoch sú zamerané na zabránenie prezradeniu týchto informácií zamestnancami a ich úniku cez tajné kanály.

Technické úlohy sú zamerané na elimináciu alebo oslabenie technických demaskovacích prvkov chránených objektov a technických kanálov na únik informácií o nich. Súčasne sa utajovanie uskutočňuje znížením elektromagnetickej, časovej, štrukturálnej a atribútovej dostupnosti, ako aj oslabením primeranosti medzi štruktúrou, topológiou a charakterom fungovania prostriedkov, komplexov, objektov, spracovania informácií. a riadiacich systémov.

Riešením tohto problému je realizácia súboru organizačno-technických opatrení a opatrení, ktoré zabezpečia splnenie základnej požiadavky na prostriedky, komplexy a systémy spracovania informácií – spravodajskú bezpečnosť a sú zamerané na dosiahnutie jedného z hlavných cieľov – vylúčenie alebo výrazné sťaženie technického spravodajstva pri vyhľadávaní, lokalizácii, rádiovom sledovaní zdrojov rádiového vyžarovania, klasifikácii a identifikácii objektov technickou inteligenciou podľa odhalených demaskovacích znakov.

Vyriešenie problému zníženia elektromagnetickej dostupnosti sťažuje detekciu energie a určenie súradníc oblasti, kde sa nachádzajú zdroje rádiového vyžarovania, a tiež zvyšuje čas na odhalenie demaskovacích značiek, znižuje presnosť merania parametrov a signálov rádia. emisné prostriedky.

Zníženie dočasnej dostupnosti rádiových vysielacích prostriedkov znamená skrátenie času ich prevádzky na vyžarovanie počas prenosu informácií a predĺženie trvania prestávky medzi reláciami spracovania informácií. Na zníženie štrukturálnej a indikatívnej dostupnosti prostriedkov, komplexov a systémov spracovania informácií sa prijímajú organizačné a technické opatrenia na oslabenie demaskujúcich znakov a vytvorenie takzvaného „sivého pozadia“.

Trieda 1.2. Dezinformácia nepriateľa.

Táto trieda zahŕňa úlohy, ktoré spočívajú v šírení úmyselne nepravdivých informácií o skutočnom účele niektorých predmetov a produktov, o skutočnom stave niektorej oblasti štátnej činnosti, o stave podniku atď.

Dezinformácia sa zvyčajne uskutočňuje šírením nepravdivých informácií rôznymi kanálmi, napodobňovaním alebo skresľovaním znakov a vlastností jednotlivých prvkov predmetov ochrany, vytváraním falošných predmetov, ktoré majú vzhľad alebo prejavy podobné predmetom záujmu oponenta, atď.

Úlohu dezinformácií zdôraznil A.F.Viviani, expert v oblasti kontrašpionáže: Obrovské množstvo informácií na nás padá, padá, vybuchuje. Je to falošné, ale vyzerá to vierohodne; je to pravda, ale v skutočnosti je to prefíkane prekreslené, aby vyvolalo dojem falošnosti; čiastočne nepravdivý a čiastočne pravdivý. Všetko závisí od zvolenej metódy takzvanej dezinformácie, ktorej účelom je prinútiť vás veriť, želať si, premýšľať, rozhodovať sa smerom, ktorý je výhodný pre tých, ktorí nás z nejakého dôvodu potrebujú ovplyvňovať...

Technická dezinformácia na objekte ochrany je súbor organizačných opatrení a technických opatrení zameraných na zavádzanie technického spravodajstva o skutočných cieľoch systémov spracovania informácií, zoskupení a činnosti vojsk a zámeroch orgánov velenia a riadenia.

Riešenie tohto problému sa uskutočňuje v rámci známeho prevádzkového rádiového maskovania skreslením technických demaskovacích znakov chráneného objektu alebo simuláciou technických demaskovacích znakov falošného objektu.

Konkrétne úlohy technických dezinformácií sú:

Skreslenie demaskujúcich znakov skutočných objektov a systémov zodpovedajúcich znakom falošných objektov;

Vytváranie (napodobňovanie) falošného prostredia, predmetov, systémov, komplexov reprodukovaním demaskujúcich znakov skutočných predmetov, štruktúr systémov, situácií, akcií, funkcií atď.;

Prenos, spracovanie, ukladanie nepravdivých informácií v systémoch spracovania;

Napodobňovanie bojovej činnosti prostriedkov, komplexov a systémov spracovania informácií na falošných kontrolných bodoch;

Účasť síl a prostriedkov na demonštračných akciách na falošných smeroch;

Prenos nepravdivých informácií (rádiová dezinformácia), rátanie s ich zachytením nepriateľom a pod.

Vo všeobecnosti možno tieto úlohy zoskupiť do konkrétnych úloh rádiovej imitácie, rádiovej dezinformácie a demonštračných akcií.

Vzhľadom na to, že opatrenia kontroly/analýzy bezpečnosti osobných údajov sú zahrnuté v základných súboroch ochranných opatrení od PZ4 - PZ3, väčšina prevádzkovateľov osobných údajov si zaobstarala bezpečnostné skenery. Občas sa stretávam s nasledujúcou otázkou: je vôbec potrebné tento skener spúšťať a ak áno, ako často a čo presne kontrolovať.

Skúsme na to prísť:
Skenery sa používajú na implementáciu skupiny opatrení na kontrolu (analýzu) bezpečnosti osobných údajov (ANZ) povinných v súlade s príkazom FSTEC Ruska č. 21 zo dňa 18. februára 2013.
Pozrime sa, či v regulačných právnych aktoch Ruskej federácie existujú nejaké povinné požiadavky na poradie alebo frekvenciu bezpečnostného skenovania:

Rozkaz FSTEC Ruska č. 21
„8.8. Opatrenia na kontrolu (analýzu) bezpečnosti osobných údajov by mali zabezpečiť kontrolu úrovne bezpečnosti osobných údajov spracúvaných v informačný systém, vykonávaním systematických opatrení na analýzu bezpečnosti informačného systému a testovanie výkonnosti systému ochrany osobných údajov.
ANZ.1 Identifikácia, analýza zraniteľností informačného systému a rýchla eliminácia novo identifikovaných zraniteľností
ANZ.2 Kontrola inštalácie aktualizácií softvéru vrátane aktualizácií softvéru na zabezpečenie informácií
ANZ.3 Kontrola prevádzkyschopnosti, nastavenia a správneho fungovania softvéru a nástrojov informačnej bezpečnosti
ANZ.4 Kontrola zloženia hardvéru, softvéru a nástrojov informačnej bezpečnosti“

GOST R 51583-2014 postup na vytvorenie AS v chránenej verzii

Viac regulačných právnych aktov obsahujúcich požiadavky na bezpečnostnú analýzu nebolo možné nájsť

Takže v regulačných právnych aktoch Ruskej federácie neobsahuje požiadavky na objednávku a frekvenciu vykonávanie bezpečnostných skenov, respektíve nastavení skenovacích profilov, frekvencie analýzy zraniteľnosti určí prevádzkovateľ nezávisle
Ako môže určiť toto poradie a periodicitu?

s najväčšou pravdepodobnosťou je potrebné vychádzať z charakteristík a kritickosti informačného systému, zloženia používaného softvéru a interných pravidiel aktualizácie softvéru;

Je tiež potrebné pochopiť, že na základe výsledkov skenovania vygeneruje správu o zraniteľnostiach, ktorú je potrebné ešte dopracovať - ​​odstrániť zraniteľnosti a nainštalovať chýbajúce aktualizácie. Nemá zmysel skenovať častejšie, ako majú zodpovedné osoby čas na spracovanie hlásenia a odstránenie zraniteľností. Frekvencia skenovania > Priemerný čas spracovania správy o zraniteľnosti

pri určovaní poradia a frekvencie skenovania sa môže prevádzkovateľ informačného systému riadiť vlastnou odbornosťou v danej oblasti informačná bezpečnosť, skúsenosti s vykonávaním činností bezpečnostnej analýzy, odporúčania od externých odborníkov a držiteľov licencie FSTEC, ako aj dokumenty so statusom „odporúčané“ alebo „ osvedčené postupy”

V tomto prípade je potrebné vziať do úvahy, že opatrenia bezpečnostnej analýzy by mali byť systematický(bod 8.8 FSTEC objednávka č. 21) a musí byť dostatočné neutralizovať aktuálne hrozby (odsek 2 nariadenia vlády č. 1119)

Pozrime sa, čo je v najlepších metodických dokumentoch a osvedčených postupoch:

GOST R ISO/IEC 27002-2012
„12.6 Riadenie technických zraniteľností
Cieľ: Zmierniť riziká vyplývajúce z využívania zverejnených technických zraniteľností.

Riadenie technickej zraniteľnosti by sa malo vykonávať účinným, systematickým a opakovateľným spôsobom, pričom by sa mali vykonať merania na potvrdenie jeho účinnosti. Tieto úvahy by sa mali vzťahovať na operačné systémy a všetky ostatné používané aplikácie.
12.6.1 Riadenie technickej zraniteľnosti

Miera a prostriedky kontroly a riadenia

Je potrebné získať včasné informácie o technických slabinách používaných informačných systémov, posúdiť vystavenie organizácie takýmto zraniteľnostiam a prijať vhodné opatrenia na riešenie rizika s nimi spojeného.

Predpokladom je neustále aktualizovaný a úplný súpis majetku (pozri 7.1). efektívne riadenie technické zraniteľnosti. Špecifické informácie potrebné na podporu správy technickej zraniteľnosti zahŕňajú informácie o dodávateľovi softvéru, čísla verzií, aktuálny stav nasadenia (napríklad, aký softvér je nainštalovaný na ktorých systémoch) a osoby zodpovedné za softvér v rámci organizácie. .bezpečnosť.

Podobne by sa mali prijať včasné opatrenia v reakcii na identifikáciu potenciálnych technických slabín. Na vytvorenie efektívneho procesu riadenia technických zraniteľností by sa mali dodržiavať tieto odporúčania:
a) organizácia potrebuje definovať a stanoviť úlohy a zodpovednosti súvisiace s riadením technických zraniteľností vrátane monitorovania zraniteľnosti, hodnotenia rizika zraniteľnosti, opravovania, sledovania majetku a akýchkoľvek iných koordinačných funkcií;
b) informačné zdroje, ktoré sa budú používať na identifikáciu a informovanie o významných technických slabinách, by sa mali určiť pre softvér a inú technológiu na základe inventárneho zoznamu majetku (pozri 7.1.1); tieto informačné zdroje by sa mali aktualizovať po zmenách v inventári, alebo pri iných nových resp užitočné zdroje;
c) je potrebné určiť časové parametre reakcie na oznámenia o potenciálne závažných technických slabinách;
d) po zistení potenciálnej technickej zraniteľnosti organizácia určí súvisiace riziká a opatrenia, ktoré je potrebné prijať; takéto akcie môžu zahŕňať opravu postihnutých systémov a/alebo aplikáciu iných kontrol a kontrol;
e) v závislosti od naliehavosti riešenia technickej zraniteľnosti by prijaté opatrenie malo byť v súlade s kontrolami spojenými s riadením zmien (pozri 12.5.1) alebo podľa postupov reakcie na incidenty bezpečnosti informácií (pozri 13.2);
f) ak je možné nainštalovať opravu, mali by sa posúdiť riziká spojené s jej inštaláciou (riziká, ktoré predstavuje zraniteľnosť, by sa mali porovnať s rizikom inštalácie opravy);
g) náplasti by sa mali pred inštaláciou otestovať a vyhodnotiť, aby sa zabezpečilo, že sú účinné a nevedú k vedľajším účinkom, ktoré by sa nemali tolerovať; ak nie je možné nainštalovať opravu, mali by sa zvážiť iné opatrenia a kontroly, napríklad:
1) zakázanie služieb spojených s zraniteľnosťou;
2) prispôsobenie alebo pridanie kontrol prístupu, ako sú firewally na okrajoch siete (pozri 11.4.5);
3) vylepšené monitorovanie na detekciu alebo prevenciu skutočných útokov;
4) zvyšovanie povedomia o zraniteľnostiach;
h) revízny záznam by mal zaznamenávať všetky vykonané postupy;
i) proces riadenia technickej zraniteľnosti by sa mal pravidelne monitorovať a hodnotiť, aby sa získala dôvera v jeho účinnosť a efektívnosť;
j) mali by sa uprednostňovať vysokorizikové systémy.

Ďalšie informácie

Správne fungovanie procesu riadenia technickej zraniteľnosti je dôležité pre mnohé organizácie, preto by mal byť tento proces pravidelne monitorovaný. Presný inventár je dôležitý na to, aby sa zabezpečilo, že sa identifikujú potenciálne významné technické nedostatky.

Riadenie technickej zraniteľnosti možno považovať za podfunkciu riadenia zmien a ako také môže mať prospech z procesov a postupov riadenia zmien (pozri 10.1.2 a 12.5.1).

Predajcovia často pociťujú značný tlak na uvoľnenie záplat čo najskôr. Náplasť preto nedokáže adekvátne vyriešiť problém a môže mať vedľajšie účinky. V niektorých prípadoch tiež nemusí byť po aplikácii opravy ľahké ju odinštalovať.

Ak nie je možné vykonať primerané testovanie záplat, napríklad z dôvodu nákladov alebo nedostatku zdrojov, možno zvážiť oneskorenie implementácie zmien, aby sa posúdili súvisiace riziká na základe skúseností iných používateľov.“

RS BR IBBS-2.6-2014
"desať. Operačná fáza
10.1. Hlavnými úlohami v štádiu prevádzky z hľadiska zabezpečenia informačnej bezpečnosti sú:
- periodické hodnotenie bezpečnosti ABS (vykonávanie činností na identifikáciu typických slabín softvérových komponentov ABS, penetračné testovanie);
10.2. Frekvencia prác na hodnotení bezpečnosti je určená rozhodnutím
Jem organizáciu RF BS. Pre základné bankové systémy používané na implementáciu technológie bankových platieb
nelogický proces, odporúča sa vykonať integrované hodnotenie bezpečnosť nie je
menej ako raz za rok“

metodický dokument FSTEC Ruska „Opatrenia na ochranu informácií v štátnych informačných systémoch“, ktoré je možné použiť aj na zaistenie bezpečnosti osobných údajov podľa uváženia prevádzkovateľa
„ANZ.1 IDENTIFIKÁCIA, ANALÝZA A ODSTRÁNENIE ZRANITEĽNOSTÍ INFORMAČNÉHO SYSTÉMU
Identifikácia (vyhľadávanie), analýza a eliminácia zraniteľných miest by sa mala vykonávať vo fázach tvorby a prevádzky informačného systému. Počas fázy prevádzky sa vyhľadávanie a analýza zraniteľností vykonáva v intervaloch stanovených operátorom. Zároveň je to povinné pre kritické zraniteľnosti vyhľadávanie a analýza zraniteľností v prípade zverejnenia vo verejných zdrojoch informácie o nových zraniteľných miestach v nástrojoch informačnej bezpečnosti, technických prostriedkoch a softvér používané v informačnom systéme.
Požiadavky na vystuženie ANZ.1:
2) prevádzkovateľ je povinný aktualizovať zoznam zraniteľností naskenovaných v informačnom systéme s ním stanovenou frekvenciou, ako aj po objavení sa informácií o nových zraniteľnostiach;“

· podľa metodického dokumentu FSTEC - po zverejnení informácie o kritickej zraniteľnosti alebo aktualizácii musí byť bezpodmienečne vykonaná bezpečnostná analýza;

V prípade operačného systému Windows sa takéto zraniteľnosti vyskytujú v priemere mesačne;

Podľa môjho názoru by sa na zabezpečenie neutralizácie súčasných hrozieb mala vykonať aspoň bezpečnostná analýza pomocou skenerov štvrťročne

· ako začiatok pri určovaní toho, čo a ako skontrolovať, môžete použiť prílohu 3 Odporúčania na vykonanie hodnotenia bezpečnosti k RS BR IBBS-2.6-2014 – časť 2 „Identifikácia známych zraniteľností“

Kontrola bezpečnosti informácií pred neoprávneným prístupom spočíva v kontrole súladu účinnosti opatrení na ochranu informácií so stanovenými požiadavkami alebo štandardmi informačnej bezpečnosti. Všetky skupiny prostriedkov ochrany pred neoprávneným prístupom, ktoré sme uvažovali v predchádzajúcich prednáškach, sú odskúšané.

Kontroluje sa súlad popisy technologický postup spracovanie a ukladanie chránených informácií do reálneho procesu.

Možnosť sa posudzuje prenos informácií s vyššou úrovňou dôvernosti na nosič informácií s nižšou úrovňou.

Prebieha analýza povolené a zakázané spojenia medzi subjektmi a objektmi prístupu s odkazom na konkrétne OTSS a personál.

Posudzuje sa súlad povolené a zakázané pripojenia k permisívnemu systému prístupu personálu k chráneným zdrojom vo všetkých fázach spracovania.

Overovanie sa spravidla vykonáva pomocou softvérových a softvérových a hardvérových bezpečnostných kontrol. Ako príklad uvažujme produkty jednej spoločnosti, LLC „Centrum pre informačnú bezpečnosť“.

Bezpečnostný kontrolný nástroj proti UA "Auditor 2 XP" je určený na kontrolu prístupových práv k informačným zdrojom.

• zobrazenie všetkých informácií obsiahnutých v DRP (je možné len prezeranie);
• porovnanie štruktúry zdrojov pracovnej stanice opísanej v DRP so skutočnou štruktúrou zdrojov;
• vytvorenie správy o výsledkoch porovnania;
• vytvorenie plánu na testovanie objektov pracovnej stanice;
• kontrola skutočných prístupových práv používateľov na prístup k objektom;
• vytvorenie správy o výsledkoch testov.

Sieťový skener "Network Auditor" verzia 3.0 je určený na detekciu zraniteľností v nainštalovanom sieťovom softvéri a hardvéri, ktorý používa protokoly zásobníka TCP/IP. Systém má dostatok príležitostí, jednou z nich je vyhľadávanie zraniteľností obsiahnutých v databáze hrozieb a zraniteľností FSTEC, o ktorých sme uvažovali vyššie. Okrem toho program hľadá zraniteľnosti obsiahnuté v cve.mitre. org, ovaldb.altx-soft.ru, microsoft. com a niektoré ďalšie zdroje.

Zariadenie na opravu a kontrolu počiatočného stavu softvérového balíka "FIX" je určené na riadenie subsystému zabezpečenia integrity. Hlavné vlastnosti programu:

• oprava počiatočného stavu softvérového balíka;
• kontrola počiatočného stavu softvérového balíka;
• fixácia a kontrola adresárov;
• kontrola rozdielov v určených súboroch (adresároch);
• schopnosť pracovať s dlhými názvami súborov a názvami obsahujúcimi znaky cyriliky.

Program vyhľadávania a zaručeného zničenia informácií na diskoch "TERRIER" vám umožňuje kontrolovať zničenie informácií. Pre kontrolu je potrebné vytvoriť súbor s riadiacou kombináciou znakov na dôvernom logickom disku, lokalizovať sektory pomocou „TERRIER“, súbor vymazať pomocou štandardných nástrojov a ovládať jeho vymazanie pomocou TERRIER.

18.4. Dokumentácia výsledkov kontroly. Požiadavky na kontroly informačnej bezpečnosti

Treba poznamenať, že na prostriedky monitorovania účinnosti opatrení na ochranu informácií, ako aj na výrobcov takýchto nástrojov sú kladené pomerne prísne požiadavky. V súlade s "Predpisom o povoľovacej činnosti na vývoj a výrobu nástrojov ochrany dôverných informácií", schváleným nariadením vlády SR č. podlieha licencovaniu. A vyvinuté a vyrobené prostriedky na monitorovanie účinnosti ochranných opatrení by mali mať osvedčenie o zhode FSTEC podľa požiadaviek vyhlášky vlády Ruskej federácie z 26. júna 1995 N 608 „O certifikácii nástrojov informačnej bezpečnosti“.

Sledovanie účinnosti ochrany je ukončené vydaním Záveru so stručným vyhodnotením súladu objektu informatizácie s ohľadom na informačnú bezpečnosť, konkrétnymi odporúčaniami na elimináciu spáchaných porušení, uvedením systému ochrany objektu informatizácie do súladu so stanovenými požiadavkami. , zlepšenie tohto systému, odporúčania na sledovanie fungovania objektu informatizácie. K záveru sú pripojené protokoly o skúškach, ktoré potvrdzujú výsledky získané počas skúšok a zdôvodňujú záver uvedený v závere.