Анализ уязвимостей ГИС - Форум по вопросам информационной безопасности
Анализ уязвимостей ГИС - Форум по вопросам информационной безопасности
| Автор: Den | 110350 | 08.09.2022 10:23 |
|
Добрый день!
Прошу поделиться Вашим опытом! Интересует 17 Приказ ФСТЭК п.16.6 Как я понимаю необходимо провести: 1. Контроль отсутствия (поиск) известных уязвимостей средств защиты информации, технических средств и программного обеспечения; 2. Контроль правильности установки и настройки средств защиты информации, технических средств и программного обеспечения; 3. Контроль корректности работы средств защиты информации при их взаимодействии с техническими средствами и программным обеспечением. С 1-м пунктом все понятно: сканером проходимся, перечень известных уязвимостей получаем. А вот как проконтролировать правильность установки и настройки и корректность? По корректности у меня только анализ логов СрЗИ проводить. Есть критические ошибки - проверку не проходит. Правильность настройки - сличить фактические настройки с приведенными в рабочей документации (или др. документом содержащим настройки) на СЗИ. Правильность установки так это вообще получатся функциональное тестирование СрЗИ. Не слишком ли? |
|
| Автор: oko | 110351 | 08.09.2022 12:22 |
|
to Den
1. Не обязательно сканером, можно и вручную с использованием БДУ/CVE. Тем более сканер сканеру рознь, может тупо не иметь поддержки нужной базы и не знать о существовании конкретного СЗИ/ПО/прошивки ТС... 2. Все спорно. Если качество раб.документации и перечней конфигураций СЗИ/ПО/ТС в ней высокое, то да, методом сличения. А вот если приведено по принципу "лишь бы было", то... только повторный анализ мест, точек подключения, параметров и т.п. 3. Не столько логи, сколько оценка взаимовлияния. Т.е. были ли прецеденты влияния СЗИ на ПО/ТС, влияния ПО/ТС на СЗИ, в чем их причины и т.д. А также не допущено ли "левых" каналов в обход СЗИ, не отключены ли СЗИ, реально ли они контролируют нужные процессы и т.д. Вся проблема в том, что под "уязвимостями" обычно понимается уязвимость-в-ПО, но на самом деле должен пониматься любой недостаток, потенциально приводящий к нарушению безопасности, в контексте реализации комплексной системы защиты... |
|
| Автор: CM | 110352 | 08.09.2022 13:56 |
|
to Den:
Формально в пункте 16.6 Требований, утв. приказом ФСТЭК России от 11.02.2013 № 17, говорится только об анализе уязвимостей, представляющим собой меру АНЗ.1. Другие меры анализа защищенности (АНЗ.2 - АНЗ.5), предусматривающие 4 вида контроля, пунктом 16.6 не предусмотрены. Если эти контроли необходимо провести, то это можно сделать в ходе предварительных испытаний, опытной эксплуатации или приемочных испытаний. Опять же в качестве проверки выполнения мер АНЗ.2-АНЗ.5. Отсутствие в проектной документации и ОРД указаний по объему проводимых проверок в ходе контролей АНЗ.2-АНЗ.5, порождает отсутствие конкретных обязательств у исполнителя при их проведении. Обратите внимание, что анализ уязвимостей по п. 16.6 Требований проводятся в рамках комплекса работ по внедрению СЗИ ГИС перед приемочными испытаниями. Т.е. после завершения проектирования СЗИ ГИС, установки / настройки средств защиты и разработки ОРД. Это значит, что анализ уязвимостей как мера АНЗ.1 СЗИ ГИС должна уже отражать объем проводимых проверок и для нее должен быть определен свой "инструментарий". Поэтому рассмотрение анализа уязвимостей по п. 16.6 Требований в качестве самостоятельного мероприятия (отдельного от меры АНЗ.1) видится не корректным. |
|
| Автор: oko | 110353 | 08.09.2022 20:21 |
|
to CM
Все бы ничего в ваших рассуждениях, но... Primo, в п. 16.6 явно указано "При анализе уязвимостей информационной системы проверяется отсутствие известных уязвимостей средств защиты информации..." и далее по тексту все моменты, обозначенные тов. Den. Что, кстати, соответствует не только АНЗ.1, но и АНЗ.3. Впрочем, главное, что законодатель в п. 16.6 явно указал, какие действия требуются в ходе оного "Анализа уязвимостей" (пусть и как всегда коряво, потому что в конце выставил требование отсутствия уязвимостей из БДУ и иных источников, а там фиксируются только программные уязвимости, а не все возможные "недостатки" системы защиты). И именно по этим действиям у тов. Den возник вопрос... Secundo, в п. 18.2 (т.е. в период эксплуатации аттестованной ИС) есть "выявление, анализ и устранение уязвимостей информационной системы". И если не пытаться доказывать кому-либо, что тут имеется в виду "другой Анализ уязвимостей", то выходит, что периодическое выявление, анализ и устранение уязвимостей ИС не завязано на конкретные пункты АНЗ, выступает как раз-таки отдельным элементом комплекса мер защиты и должно проводиться эксплуатантом аналогично п. 16.6 со всеми вытекающими... |
|
| Автор: Den | 110359 | 12.09.2022 11:34 |
|
Спасибо за ответы!
|
|
Просмотров темы: 315
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"