Тестирование безопасности ис
Тестирование на проникновение может использоваться для дополнения анализа механизмов безопасности, чтобы удостовериться, что ИС достаточно защищена. Тестирование на проникновение, когда используется в процессе оценки рисков, может быть использовано для демонстрации и оценки способностей ИС противостоять преднамеренным попыткам обхода системы безопасности. Цель – (1) тестирование ИС с точки зрения потенциального источника угрозы и (2) определения потенциальных недостатков в схеме защиты ИС.
Идентификация угроз
Один из способов идентификации угроз – построение модели нарушителя. Данный подход используется в NIST 800-30 – “Risk Management Guide for Information Technology Systems”.
Таблица 1. Модель нарушителя в соответствии с NIST SP 800-30
Источник угрозы |
Мотивация |
Результат реализации угрозы (сценарии) |
Хакер |
Хулиганство, самоутверждение |
Неавторизованный доступ к ИС с использованием известных уязвимостей ОС |
Криминальные структуры |
Получение финансовой информации |
Проникновение в ИС с целью получения конфиденциальных данных |
Аналогично производится идентификация уязвимостей.
Таблица 2-1. Модель уязвимостей в соответствии с NIST Sp 800-30
Уязвимость |
Источник угрозы, использующей уязвимость |
Пример реализации угрозы |
Учетные записи уволенных сотрудников не удалены из системы |
Уволенные сотрудники Администратор |
Получение доступа к конфиденциальным данным компании |
Межсетевой экран компании позволят входящие соединения по протоколу telnet, и на сервере АБВ не заблокирован гостевой доступ |
Криминальные элементы (с намерением получить экономическую выгоду) со знанием или со способностью обнаружения уязвимости |
Использование telnet на АБВ сервер и просмотр финансовых данных с гостевым доступом для получения преимущества в борьбе за поставки |
Топология сети была оглашена. |
Хакер, соперники предприятия. |
Огласка топологии сети может повысить возможность реализации угроз на ее узлы. |
Отсутствие должного обучения персонала |
Руководство, служба безопасности, персонал |
Отсутствие обучения персонала может повлиять на невыполнение инструкций и политик безопасности в результате чего может произойти утечка информации и т.д. |
Существует следующая классификация угроз, предложенная компанией Digital Security.
Идентификация угроз
В соответствии с этой схемой используется следующая модель угроз:
Таблица 2-2
Характер угрозы |
Вид воздействия угрозы |
Источник угрозы |
Уязвимость |
Актив, подвер-женнный угрозе |
Угроза |
предыдущаяследующа
Меры безопасности
Меры безопасности включат в себя технические и нетехнические меры. Технические меры – меры безопасности, которые встраиваются в компьютерное аппаратное и программное обеспечение или прошивки (например, механизмы контроля доступа, механизмы идентификации и аутентификации, методы шифрования, программное обеспечение для обнаружения вторжений). Нетехнические меры – административные и операционные меры такие, как политики безопасности; операционные процедуры; и персональная безопасность, физическая безопасности и безопасность среды.
В таблице приводится список мер безопасности организованный по классам и семействам мер безопасности.
Таблица Меры безопасности
Класс Мер безопасности |
Семейство Мер безопасности |
Управление безопасностью |
- Оценка рисков - Планирование безопасности - Приобретение систем и услуг - Анализ мер безопасности - Определение прав |
Операционная безопасность |
- Безопасность персонала - Физическая защита и защита среды - Планирование и функционирование бесперебойной работы - Управление конфигурацией - Поддержка программного и аппаратного обеспечения - Целостность системы и данных - Защита носителей информации - Реагирование на инциденты - Осведомление и тренировка по безопасности |
Техническая безопасность |
- Идентификация и аутентификация - Логический контроль доступа - Подотчетность (включая аудит журналов) - Защита систем и коммуникации |
предыдущаяследующа