Обзор документов

Показать информационные ресурсы, аппаратные ресурсы и пользовательские роли на моделях.

предыдущаяследующа

Определение уязвимостей

Уязвимость – недостаток или слабость в безопасности системы: процедурах, дизайне, реализации или внутренних механизмах, которые могут быть использованы (произвольным образом или преднамеренно) и привести к бреши безопасности или нарушению политики безопасности системы.

Анализ рисков ИС должен включать анализ уязвимостей связанных со средой системы. Цель этого шага – разработка перечня уязвимостей системы, которые являются недостатками или слабостями, которые могут быть использованы и привести к возникновению бреши в безопасности или нарушению политики безопасности системы.

Рекомендуемые методы для определения уязвимостей системы – использование источников и публикация освещающих уязвимости, проведение тестов безопасности системы и разработка проверочных листов для анализа выполнения требований безопасности.

Уязвимости подразделяются на технические (например,  уязвимость в ПО), технологические (ошибка проектирования), организационные.

-       Если проект ИС еще не доработан, поиск уязвимостей должен фокусироваться на политиках безопасности организации, планируемых процедурах безопасности и определениях требований к системе и анализ безопасности продуктов поставщиков или разработчиков.

-       Если ИС реализуется, определение уязвимостей должно быть расширено для включения туда более специфичной информации, такой как планируемые особенности безопасности, описанные в проектной документации и результаты сертификации, тестирования и оценки системы.

-       Если ИС уже эксплуатируется, процесс определения уязвимостей должен включать анализ безопасности ИС и механизмов безопасности – технические и процедурные, используемые для защиты системы.

Источники уязвимостей

-       Отчеты предыдущих оценок рисков ИС.

-       Отчеты аудита ИС, отчеты аномалий системы, отчеты обзора безопасности, тесты системы.

-       БД уязвимостей, например, таких как база уязвимостей NIST I-CAT (http://icat.nist.gov).

-       Консультационные материалы по безопасности, такие как FedCIRC и Департамент Энергетики – Материалы по Возможным Компьютерным Инцидентам (Department of Energy’s ComputerIncident Advisory Capability bulletins).

-       Материалы поставщиков решений и разработчиков.

-       Коммерческие команды реагирования на инциденты и рассылки (например, форум SecurityFocus.com).

-       Уведомления об уязвимостях и объявления для военных систем.

-       Анализ безопасности ПО.

Тестирование безопасности ис

Для эффективного определения уязвимостей систем могут быть использованы упреждающие методы – непосредственное тестирование и анализ уязвимостей. Методы тестирования уязвимостей включают:

-       Автоматизированное сканирование уязвимостей с помощью специальных средств.

-       Специализированные тесты и оценки безопасности.

-        Тесты на проникновение.

Средства автоматизированного сканирования уязвимостей используются для сканирования группы узлов или сетей на известные уязвимые службы (например, узлы позволяющие анонимный доступ по FTP, свободная ретрансляция в sendmail). Несмотря на это необходимо отметить, что некоторые потенциальные уязвимости определенные автоматизированными средствами сканирования могут не представлять реальной опасности в контексте данного окружения системы. Для примера, некоторые из этих средств сканирования определяют рейтинг потенциальной уязвимости без учета конкретной среды и требований. Некоторые из уязвимостей, которые определяются средствами автоматизированного сканирования, могут в действительности не быть уязвимыми в данном конкретном приложении, но система настроена так потому, что этого требует среда. Таким образом, эти методы тестирования могут давать ложные срабатывания.

Специализированные тесты и оценка безопасности – другая техника, которая может быть использована для определения уязвимостей ИС в течение процесса оценки рисков. Процесс тестирования включает разработку и реализацию плана тестирования (например, тестовые сценарии, тестовые процедуры, и ожидаемые результаты тестов). Цель тестирования безопасности системы – оценить эффективность механизмов безопасности ИС такими, какими они применяются в операционной среде. Стремление – гарантировать, что используемые механизмы отвечают утвержденной спецификации безопасности для программного и аппаратного обеспечения и реализации политики безопасности организации или отвечают некоторым индустриальным или государственным стандартам.