Журнал "Information Security/ Информационная безопасность" #3, 2019

Анализ уязвимостей про- водится для всех программ- ных и программно-аппарат- ных средств, в том числе средств защиты информа- ции значимого объекта КИИ. Результатом проведения диагностического аудита будет являться понимание того, какая часть обязатель- ных мер по обеспечению безопасности значимого объекта КИИ уже реализо- вана, а какая требует реали- зации в процессе создания системы безопасности, какая часть мер может быть закрыта встроенными сред- ствами защиты, а для какой потребуется применение наложенных. Диагностический аудит После проведения процедуры категорирования и определе- ния категории объекта КИИ, перед проектированием систе- мы безопасности необходимо проведение так называемого диагностического аудита (в общей теории менеджмента более известного как GAP-ана- лиз), целью которого является определение тех мер по защите информации, которые уже при- няты в отношении данного объ- екта КИИ, и тех, которые необходимо будет реализовать в процессе создания системы безопасности. Для проведения указанного аудита ИБ необходимо взять весь перечень объектов КИИ, имеющих категорию значимо- сти, и сопоставить уже принятые меры по обеспечению безопас- ности каждого из объектов КИИ с мерами, перечисленными в составе мер по обеспечению безопасности для значимого объекта соответствующей кате- гории значимости (утв. прика- зом ФСТЭК России от 25 декаб- ря 2017 г. № 239): первона- чально определить, какие меры выполняются, а какие нет (по принципу "да/нет"), затем понять, как и насколько полно они выполняются. Результатом проведения диаг- ностического аудита будет являться понимание того, какая часть обязательных мер по обеспечению безопасности значимого объекта КИИ уже реализована, а какая требует реализации в процессе созда- ния системы безопасности, какая часть мер может быть закрыта встроенными средства- ми защиты, а для какой потре- буется применение наложенных. Проведение диагностического аудита возможно собственными силами работников субъекта КИИ, задействованных в обес- печении безопасности объектов КИИ. Однако автор рекоменду- ет использовать независимую внешнюю оценку для получения более объективной и полной картины текущего состояния дел. Инструментальный аудит Уверенность в том, что объект КИИ действительно хорошо защищен и вероятность воз- никновения компьютерного инцидента мала, может обес- печить только проведение инструментального аудита (ана- лиз уязвимостей), включающего тестирование на проникновение (Penetration Test). Анализ уязвимостей значи- мого объекта КИИ является обя- зательным как на этапе созда- ния (до ввода объекта КИИ в эксплуатацию), так и в ходе его эксплуатации (п. 12.6., п. 13, п. 13.2., п. 13.8 Требований по обеспечению безопасности значимых объектов критической информационной инфраструк- туры Российской Федерации, утв. приказом ФСТЭК России от 25 декабря 2017 г. № 239). Анализ уязвимостей значи- мого объекта проводится в целях выявления недостатков (слабостей) в подсистеме без- опасности значимого объекта и оценки возможности их исполь- зования для реализации угроз безопасности информации. При этом важно обратить вни- мание на то, что, согласно вышеупомянутым требованиям, анализу подлежат уязвимости кода, конфигурации и архитек- туры значимого объекта. Анализ уязвимостей прово- дится для всех программных и п р о г р а мм н о - а п п а р а т н ы х средств, в том числе средств защиты информации значимого объекта КИИ. По результатам анализа уязвимостей должно быть под- тверждено, что в значимом объ- екте отсутствуют уязвимости, как минимум содержащиеся в банке данных угроз безопасно- сти информации ФСТЭК Рос- сии, или выявленные уязвимо- сти не приводят к возникнове- нию угроз безопасности инфор- мации (критерии аудита), а в идеале тестирование на про- никновение должно подтвер- дить отсутствие возможности успешного проведения компью- терной атаки со стороны потен- циального злоумышленника. При проведении анализа уязвимостей применяются сле- дующие способы их выявления: l анализ проектной, рабочей (эксплуатационной) документа- ции и организационно-распоря- дительных документов по без- опасности; l анализ настроек программ- ных и программно-аппаратных средств, в том числе средств защиты информации; l выявление известных уязви- мостей программных и про- граммно-аппаратных средств, в том числе средств защиты информации, посредством ана- лиза состава установленного программного обеспечения и обновлений безопасности с при- менением средств контроля (анализа) защищенности и (или) иных средств защиты инфор- мации; l выявление известных уязви- мостей программных и про- граммно-аппаратных средств, в том числе средств защиты информации, сетевых служб, доступных для сетевого взаи- модействия, с применением средств контроля (анализа) защищенности; l тестирование на проникно- вение в условиях, соответствую- щих возможностям нарушите- лей, определенных в модели угроз безопасности информа- ции 1 . Применение способов и средств выявления уязвимостей осуществляется с учетом осо- бенностей функционирования значимого объекта КИИ. Таким образом, проведение аудита ИБ является базовой мерой обеспечения безопасно- сти для значимых объектов КИИ, влияющей на принятие решения о создании системы безопасности либо о необходи- мости доработки (модерниза- ции) его подсистемы безопас- ности. Результаты аудита, как правило, составляют основу для формирования технического задания и технического про- ектирования необходимых систем защиты. Результаты инструментального анализа с тестированием на проникнове- ние могут быть использованы как доказательство принятия субъектом КИИ необходимых мер по обеспечению безопас- ности объектов КИИ. l 10 • В ФОКУСЕ Ваше мнение и вопросы присылайте по адресу is@groteck.ru 1 Подробнее см. Саматов К.М. Penetration Test: что и зачем? // Information Security/ Информационная безопасность. – 2018. – № 2. – С. 12–13. Анализ уязвимостей значимого объекта КИИ является обязательным как на этапе создания (до ввода объекта КИИ в эксплуатацию), так и в ходе его эксплуатации (п. 12.6., п. 13, п. 13.2., п. 13.8 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утв. приказом ФСТЭК России от 25 декабря 2017 г. № 239).