- •Есеп беру
- •1.Опишите ряд особенностей, которые делают сети уязвимыми
- •2. Перечислите дефекты защиты аису при проектировании сиб организации:
- •3. Опишите трёхуровневую модель параметров оценки защищенности аису
- •4. Расскажите о методологии анализа защищенности аису
- •5. Цели проведения инструментального обследования иб
- •6. Этапы проведения инструментального обследования иб
- •7. Опишите цели инструментальный анализ защищённости технологических уязвимостей в программно-аппаратном обеспечении аису организации
- •8.Расскажите о содержании отчета по результатам аудита иб аису организации
- •9.Стандарты рк и рф аудита иб аису организации (недостатки и достоинства, различие.
4. Расскажите о методологии анализа защищенности аису
Деятельность рабочей группы начинается с анализа исходных данных и ограничений на создание СОБИ на предприятии. При этом учитываются такие факторы, как принципы подготовки и обработки документов в подразделениях и службах предприятия, принципы построения автоматизированной информационной системы (АИС) предприятия, а также финансовые и ресурсные ограничения на создание и эксплуатацию СОБИ. На основании проведенного анализа разрабатывается общая концепция обеспечения безопасности информации (ОБИ), которая определяет цели ОБИ, распределение ответственности между должностными лицами предприятия за организацию ОБИ, формулирует основные требования к ОБИ, учитывающие не только текущие потребности, но и перспективу развития предприятия, его техническую политику и конкурентоспособность производимой продукции. Общая концепция ОБИ обязательно обсуждается с руководством предприятия и утверждается в качестве основного документа.
5. Цели проведения инструментального обследования иб
Инструментальный анализ защищённости проводится для выявления технологических уязвимостей в программно-аппаратном обеспечении автоматизированных систем (далее – АС) Компании. Технологические уязвимости обусловлены наличием ошибок в программно-аппаратном обеспечении АС, использование которых нарушителем может привести к успешной реализации атаки. Примерами технологических уязвимостей являются уязвимости типа «buffer overflow» (переполнение буфера), «SQL Injection» (модификация SQL-запроса) или «format string» (форматирующая строка).
Инструментальный анализ защищенности автоматизированной системы. Данный вид аудита направлен на выявление и устранение уязвимостей программного и аппаратного обеспечения системы.
Инструментальный анализ заключается в проведении специалистами по информационной безопасности атак на исследуемую автоматизированную систему. При этом могут применяться любые программные и аппаратные средства, доступные злоумышленникам. Основное назначение инструментального анализа – периодические проверки с целью выявления новых уязвимостей. Кроме того, данный вид аудита может применяться при обнаружении факта утечки информации ограниченного доступа с целью недопущения повторных утечек.
В общем случае инструментальный анализ состоит из двух частей:
1) исследование защищенности автоматизированной системы от удаленных атак – сканируются доступные хосты из сети заказчика, проводятся сетевые атаки с целью получения несанкционированного доступа к защищаемой информации или административным ресурсам.
2) выявление угроз информационной безопасности, исходящих от сотрудников компании или проникших в офис злоумышленников – проводится анализ способов аутентификации сотрудников компании, механизмов разделения прав доступа, определяется защищенность информации при передаче по локальной сети.
В ходе проведения инструментального анализа в основном выявляются уязвимости, связанные с устаревшими версиями программных продуктов и некорректной их настройкой, хотя и могут быть выявлены существенные недочеты в корпоративной политике безопасности.