Читайте также: |
|
Профилактические методы, такие, как тестирование информационной системы, могут быть использованы для эффективного выявления уязвимостей в зависимости от критичности системы информационных и телекоммуникационных технологий (ИКТ) и доступных ресурсов (например, выделенных фондов, доступной технологии, лиц, имеющих опыт проведения тестирования). Методы тестирования включают:
- автоматизированные инструментальные средства поиска уязвимостей;
- тестирование и оценка безопасности;
- тестирование на проникновение;
- проверка кодов.
Автоматизированные инструментальные средства поиска уязвимостей используются для просмотра группы хостов или сети на предмет наличия известных уязвимых сервисов (например, система разрешает использование анонимного протокола передачи файлов, ретрансляцию отправленной почты). Следует, однако, отметить, что некоторые из потенциальных уязвимостей, идентифицированных автоматизированными инструментальными средствами поиска уязвимостей, могут не представлять реальных уязвимостей в контексте системной среды. Например, некоторые из этих средств поиска определяют потенциальные уязвимости, не учитывая среду и требования сайта. Некоторые из уязвимостей, отмеченных автоматизированными инструментальными средствами поиска уязвимостей, могут в действительности не быть уязвимостями для конкретного сайта, а быть сконфигурированными таким образом, как этого требует среда. Таким образом, этот метод тестирования может давать ошибочные результаты исследования.
Другим методом, который может использоваться для выявления уязвимостей системы ИКТ во время процесса оценки риска, является тестирование и оценка безопасности. Он включает в себя разработку и осуществление плана тестирования (например, сценарий тестирования, процедуры тестирования и ожидаемые результаты тестирования). Цель тестирования безопасности системы состоит в тестировании эффективности мер и средств контроля и управления безопасности системы ИКТ, которые были применены в операционной среде. Задача заключается в том, чтобы удостовериться, что применяющиеся меры и средства контроля и управления соответствуют утвержденной спецификации безопасности для программных и аппаратных средств, обеспечивают реализацию политики безопасности организации или соответствуют отраслевым стандартам.
Тестирование на проникновение может использоваться как дополнение к проверке мер и средств контроля и управления безопасности и обеспечение защиты различных аспектов системы ИКТ. Когда тестирование на проникновение используется в процессе оценки риска, оно может применяться для оценки способности системы ИКТ противостоять умышленным попыткам обойти защиту системы. Его задача состоит в тестировании системы ИКТ с точки зрения источника угрозы и выявлении потенциальных сбоев в структурах защиты системы ИКТ.
Проверка кодов является наиболее тщательным (но также и самым дорогостоящим) способом оценки уязвимостей.
Результаты этих видов тестирования безопасности помогут выявить уязвимости системы.
Важно отметить, что методы и средства тестирования на проникновение могут давать ложные результаты, если уязвимость не была успешно использована. Чтобы использовать конкретную уязвимость, нужно знать точную систему/приложение/исправления, установленные на тестируемой системе. Если во время тестирования эти данные неизвестны, успешное использование конкретной уязвимости может быть невозможным (например, достичь удаленного обратного соединения), однако по-прежнему возможно взломать или перезапустить тестируемый процесс или систему. В таком случае тестируемый объект тоже должен считаться уязвимым.
Методы могут включать следующие виды деятельности:
- опрос сотрудников и пользователей;
- анкетирование;
- физический осмотр;
- анализ документов.
Приложение Е
(справочное)
Дата добавления: 2015-11-14; просмотров: 195 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
D.1. Примеры уязвимостей | | | Е.1. Высокоуровневая оценка риска информационной безопасности |