- •1.Процессы планирования иб ас. Определение корпоративных целей и стратегий иб.
- •2 Процессы планирования иб ас. Формирование корпоративной политики иб
- •3 Процессы планирования иб ас. Управление рисками иб. Отношения между элементами безопасности. Модель управления рисками иб ас
- •4) Процессы планирования иб ас. Базовая оценка рисков. Неформальная оценка рисков. Комбинированная оценка рисков
- •5.Процессы планирования иб ас. Детальная оценка рисков. Определение области применения и границ оценки рисков иб.
- •6.Процессы планирования иб ас. Детальная оценка рисков. Идентификация и определение ценности активов.
- •7.Процессы планирования иб ас. Детальная оценка рисков. Анализ и оценка угроз иб. Анализ и оценка существующих защитных мер.
- •8 Процессы планирования иб ас. Детальная оценка рисков. Оценка уязвимостей иб. Примеры уязвимостей иб
- •9 Процессы планирования иб ас. Детальная оценка рисков. Метод ранжирования угроз мерами рисков иб
- •10 Процессы планирования иб ас. Детальная оценка рисков. Метод ранжирования систем и/или активов мерами рисков
- •11 Процессы планирования иб ас. Детальная оценка рисков. Метод допустимых и недопустимых рисков иб
- •12. Процессы планирования иб ас. Выбор зм.
- •15 Формирование плана реализации зм ас
- •16. Процессы реализации и эксплуатации защитных мер ас. Реализация защитных мер
- •17. Процессы реализации и эксплуатации защитных мер ас. Техническое обслуживание защитных мер
- •18. Процессы реализации и эксплуатации защитных мер ас. Управление изменениями ас
- •22 Планирование обработки инц-ов иб
- •23 Реализация и эксплуатация процедур обработки инц-ов иб
- •24 Проверка эффективности обработки инц-ов иб
- •25 Совершенствование обработки инцидентов иб
- •27. Обработка инцидентов с неавторизованным доступом. Защитные меры, препятствующие инцидентам с неавторизованным доступом
- •28. Обработка инцидентов с неавторизованным доступом. Приоритетный порядок обработки инцидентов с неавторизованным доступом
- •29. Обработка инцидентов с неавторизованным доступом. Обнаружение и анализ инцидентов с неавторизованным доступом
- •30. Сдерживание устранение восстановление.
- •31 Определение инцидента отказа в обслуживании. Примеры инцидентов отказа в обслуживании
- •32.Обработка инцидентов отказа в обслуживании. Рефлекторные атаки
- •33.Обработка инцидентов отказа в обслуживании. Усилительные атаки
- •34.Обработка инцидентов отказа в обслуживании. Атаки распределенного отказа в обслуживании
- •35.Обработка инцидентов отказа в обслуживании. Атаки затопления syNами
- •36.Подготовка к обработке инцидентов отказа в обслуживании
- •37.Приоритетный порядок обработки.
- •38.Злоумышленные действия.
- •Действия по сдерживанию, устранению инцидента отказа в обслуживании и восстановлению после инцидента. Сбор и обработка данных об инциденте отказа в обслуживании
- •Вопрос 40 – Подготовка к обработке инцидентов, связанных с применением вредоносного кода
- •Вопрос 41 - Приоритетный порядок обработки инцидентов, связанных с использованием вредоносного кода. Предвестники атак, связанных с использованием вредоносного кода и действия по их предотвращению
- •42. Злоумышленные действия (вд) и указатели (ву), связанные с использованием вредоносного кода
- •2.(Вд)Червь, который распространяется посредством уязвимой услуги, инфицирует узел. Ву:
- •3(Вд)Троянский конь устанавливается и исполняется на узле. Ву:
- •4(Вд)Вредоносный мобильный код на Web‑сайте используется, чтобы инфицировать узел вирусом, червем или Троянским конем. Ву:
- •5(Вд)Вредоносный мобильный код на Web‑сайте использует уязвимости, имеющиеся на узле. Ву:
- •44. Определение инцидента, связанного с несоответствующим использованием. Примеры инцидентов, связанных с несоответствующим использованием.
- •45. Подготовка к обработки инцидентов, связанных с несоответствующим использованием
- •46. Приоритетный характер обработки инцидентов, связанных с несоответствующим использованием
- •Злоумышленные действия и указатели, связанные с несоответствующим использованием.
- •Процессы проверки иб ас. Мониторинг иб ас
- •Процессы проверки иб ас. Цели и способы проверки соответствия иб ас. Проверка соответствия иб ас с помощью самооценки
- •Процессы проверки иб ас. Проверка соответствия иб ас с помощью аудита иб
- •51. Процессы проверки иб ас. Анализ иб ас со стороны руководства
- •Процессы совершенствования иб ас. Реализация улучшений и изменений иб ас
- •Процессы совершенствования иб ас. Информирование об изменениях и их согласование с заинтересованными сторонами. Оценка достижения поставленных целей иб ас
27. Обработка инцидентов с неавторизованным доступом. Защитные меры, препятствующие инцидентам с неавторизованным доступом
Должны быть выбраны и реализованы защитные меры, препятствующие инцидентам с неавторизованным доступом с целью создания многоуровневой защиты между неавторизованными пользователями и активами, которые они пытаются использовать.
Категория |
Специфичные действия |
Сетевая безопасность |
Конфигурирование периметра сети таким образом, чтобы запретить весь входящий трафик, который не разрешен. Обеспечение защиты от удаленного доступа, включая модемы и VPNs. Незащищенный модем может обеспечить легко реализуемый неавторизованный доступ к внутренним системам. При защите от удаленного доступа внешние пользователи должны получать как можно меньше доступа к информационным активам и их действия должны контролироваться (наблюдаться). Все публично доступные услуги должны быть установлены в безопасных сегментах системы. Периметр сети следует так конфигурировать, чтобы внешние узлы могли устанавливать соединения только с узлами в безопасных сегментах системы. Следует применять виртуальные IP адреса для всех узлов систем. Это ограничивает возможность атакующих устанавливать прямые соединения к внутренним узлам. |
Безопасность узлов |
Необходимо выполнять регулярные оценки уязвимостей, чтобы идентифицировать риски и уменьшить риски до приемлемого уровня. Все ненужные услуги на узлах следует блокировать. Критичные услуги следует разделить так, чтобы они работали на различных узлах. В этом случае, если узел скомпрометирован, то прямой доступ будет получен только к одной услуге. Необходимо использовать на узлах программное обеспечение сетевого экрана, чтобы ограничить открытость атакам отдельных узлов.
|
Аутентификация и авторизация |
Политика паролей должна требовать использования сложных, трудных к отгадыванию паролей, должна запрещать совместное использование паролей и обязывать пользователей применять различные пароли в разных системах, особенно во внешних узлах и приложениях. Необходимо использовать сильную аутентификацию (строгую аутентификацию), особенно для доступа к критичным активам. Необходимо установить процедуры для введения и исключения учетных записей пользователей. |
Физическая безопасность |
Должны быть реализованы меры физической безопасности, которые ограничивают доступ к критичным активам. |
28. Обработка инцидентов с неавторизованным доступом. Приоритетный порядок обработки инцидентов с неавторизованным доступом
Примерная матрица соглашения уровня услуг при реагировании на инциденты с неавторизованным доступом показана в таблице
Существующее воздействие или вероятное будущее воздействие инцидента: 1- Неавторизованный доступ на системном уровне(В-15 мин,С-30 мин,Н-1 час) 2- Неавторизованный доступ к чувствительным данным(В-15 мин,С-1час,Н-1 час) 3- Неавторизованный доступ на уровне пользователя(В-30 мин,С-2 часа,Н-4 часа) 4- Раздражение (приставание) (В-30 мин,С- Локальный персонал IT,Н- Локальный персонал IT).
Критичность оценивается как 1-Высокая (например, связность с Internet, Web-серверы, рабочие станции системных и ИБ администраторов, сервер мониторинга) 2- Средняя (например, серверы файлов, серверы печати, почтовый сервер) 3- Низкая (например, рабочие станции пользователей)