Контроль состояния защиты информации. Меры технического контроля эффективности защиты информации Информации контроля за состоянием

Контроль эффективности ТЗИ заключается в проверке соответствия качественных и количественных показателей эффективности мероприятий по ТЗИ требованиям или нормам эффективности ТЗИ.

Контроль эффективности ТЗИ включает:

Технический контроль эффективности ТЗИ – контроль эффективности ТЗИ, проводимый с использованием технических средств контроля.

Организационный контроль эффективности ТЗИ – проверка соответствия полноты и обоснованности мероприятий по ТЗИ требованиям руководящих и нормативно-методических документов в области ТЗИ;

Технический контроль эффективности ТЗИ (который рассматриваем) – контроль эффективности ТЗИ, проводимый с использованием технических средств контроля.

В зависимости от целей и задач контроля, а также особенностей проверяемых объектов технический контроль эффективности ТЗИ может быть:

Комплексным, когда проводится проверка организации и состояния ТЗИ от утечки по всем возможным техническим каналам, характерным для контролируемого технического средства (объекта информатизации), от несанкционированного доступа к информации или специальных воздействий на нее;

Целевым, когда проверка проводится по одному из возможных технических каналов утечки информации, характерному для контролируемого технического средства, которое имеет защищаемые параметры или в котором циркулирует защищаемая информация;

Выборочным, когда из всего состава технических средств на объекте выбираются те из них, которые по результатам предварительной оценки с наибольшей вероятностью имеют технические каналы утечки защищаемой информации.

В зависимости от конкретных условий проведения технического контроля контроль эффективности может осуществляться следующими методами:

Инструментальным методом, когда в ходе контроля используются технические измерительные средства и моделируются реальные условия работы технического средства разведки;

Инструментально-расчетным методом, когда измерения проводятся в непосредственной близости от объекта контроля, а затем результаты измерений пересчитываются к месту (условиям) предполагаемого места нахождения технического средства разведки;

Расчетным методом, когда эффективность ТЗИ оценивается путем расчета, исходя из реальных условий размещения и возможностей технического средства разведки и известных характеристик объекта контроля.

Существо мероприятий технического контроля состоит в осуществлении инструментальных (инструментально-расчетных) проверок эффективности защиты информации от утечки по техническим каналам, возникающим за счет:

1) побочных электромагнитных излучений (ПЭМИ) при работе основных технических средств и систем (ОТСС) объекта информатизации;

3) наводок информационного сигнала на соединительных линиях ВТСС, расположенных в зоне действия ПЭМИ ОТСС;

4) неравномерности потребления тока в сети электропитания ОТСС;

5) линейного высокочастотного навязывания и электроакустических преобразований как способов перехвата речевой информации через ВТСС, установленные в выделенных помещениях.

Инструментальный контроль осуществляется по типовым программам и типовым методикам, утвержденным органами по аттестации и сертификации. Вся измерительная аппаратура аттестуется метрологическими органами в установленном порядке.

Основными нормативно-методическими документами, регламентирующими деятельность по техническому контролю рассматриваемых объектов, являются:

2. ГОСТ 29339-92. Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений и наводок при ее обработке средствами вычислительной техники. Общие технические требования;

3. Сборник методических документов по контролю защищаемой информации, обрабатываемой средствами вычислительной техники, от утечки за счет электромагнитных излучений и наводок (ПЭМИН). Утв. приказом Гостехкомиссии России от 19.11.02 г. №391.

4. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 11 февраля 2013 г. N 17 г. Москва

5. Приказ ФСТЭК России от 18.02.2013г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Акт проверки состояния ТЗИ должен содержать следующие разделы:

1. Общие сведения об объекте контроля;

2. Общие вопросы организации ТЗИ на объекте;

3. Организация и состояние защиты объектов информатизации;

4. Полнота и качество проведения лицензиатами ФСТЭК России работ по защите и аттестации объектов информатизации;

Скрытие информации о средствах, комплексах, объектах и системах обработки информации. Эти задачи могут подразделяться на технические и организационные.

Организационные задачи по скрытию информации об объектах направлены на недопущение разглашения этих сведений сотрудниками и утечки их по агентурным каналам.

Технические задачи направлены на устранение или ослабление технических демаскирующих признаков объектов защиты и технических каналов утечки сведений о них. При этом скрытие осуществляется уменьшением электромагнитной, временной, структурной и признаковой доступности, а также ослаблением адекватности между структурой, топологией и характером функционирования средств, комплексов, объектов, систем обработки информации и управления.

Решение этой задачи представляет реализацию комплекса организационно-технических мероприятий и мер, обеспечивающих выполнение основного требования к средствам, комплексам и системам обработки информации - разведзащищенности и направлено на достижение одной из главных целей - исключение или существенное затруднение технической разведке поиска, определения местоположения, радионаблюдения источников радиоизлучения, классификации и идентификации объектов технической разведкой по выявленным демаскирующим признакам.

Решение задачи по снижению электромагнитной доступности затрудняет как энергетическое обнаружение, так и определение координат района расположения источников радиоизлучения, а также увеличивает время выявления демаскирующих признаков, уменьшает точность измерения параметров и сигналов средств радиоизлучения.

Снижение временной доступности радиоизлучающих средств предполагает сокращение времени их работы на излучение при передаче информации и увеличение длительности паузы между сеансами обработки информации. Для уменьшения структурной и признаковой доступности средств, комплексов и систем обработки информации реализуются организационно-технические мероприятия, ослабляющие демаскирующие признаки и создающие так называемый "серый фон".

Класс 1.2. Дезинформация противника.

К этому классу относятся задачи, заключающиеся в распространении заведомо ложных сведений относительно истинного назначения каких-то объектов и изделий, действительного состояния какой-то области государственной деятельности, положении дел на предприятии и т.д.

Дезинформация обычно проводится путем распространения ложной информации по различным каналам, имитацией или искажением признаков и свойств отдельных элементов объектов защиты, создания ложных объектов, по внешнему виду или проявлениям похожих на интересующие соперника объекты, и др.

Роль дезинформации подчеркивал А.Ф.Вивиани, специалист в области контр шпионажа: На нас обрушивается, валится, извергается огромное количество информации. Она бывает фальшивой, но выглядит правдоподобно; бывает правдивой, а на самом деле хитроумно перекроена, дабы производить впечатление фальшивой; бывает отчасти фальшивой и отчасти правдивой. Все зависит от выбранного способа так называемой дезинформации, цель которой - заставить вас верить, желать, думать, принимать решения в направлении, выгодном для тех, кому зачем-то нужно на нас воздействовать...

Техническая дезинформация на объекте защиты представляет комплекс организационных мероприятий и технических мер, направленных на введение в заблуждение технической разведки относительно истинных целей систем обработки информации, группировки и деятельности войск, намерений органов управления.

Решение этой задачи осуществляется в рамках известной оперативной радиомаскировки путем искажения технических демаскирующих признаков объекта защиты или имитации технических демаскирующих признаков ложного объекта.

Частными задачами технической дезинформации являются:

Искажение демаскирующих признаков реальных объектов и систем, соответствующих признакам ложных объектов;

Создание (имитация) ложной обстановки, объектов, систем, комплексов путем воспроизведения демаскирующих признаков реальных объектов, структур систем, ситуаций, действий, функций и т.д.;

Передача, обработка, хранение в системах обработки ложной информации;

Имитация боевой деятельности средств, комплексов и систем обработки информации на ложных пунктах управления;

Участие сил и средств в демонстративных действиях на ложных направлениях;

Передача ложной информации (радио дезинформация), в расчете на ее перехват противником и др.

В общем, виде эти задачи могут быть сгруппированы в частные задачи радиоимитации, радио дезинформации, демонстративных действий.

Контроль состояния защиты информации (далее именуется - контроль) осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно­технических воздействий на информацию.

Контроль заключается в проверке выполнения актов законодательства Российской Федерации по вопросам защиты информации, решений ФСТЭК России, а также в оценке обоснованности и эффективности принятых мер защиты для обеспечения выполнения утверждённых требований и норм по защите информации.

Контроль организуется Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации, Министерством внутренних дел Российской Федерации, Министерством обороны Российской Федерации, Службойвнешней разведки Российской Федерации и Федеральной службой охраны Российской Федерации, структурными и межотраслевыми подразделениями органов государственной власти, входящими в государственную систему защиты информации, и предприятиями в соответствии с их компетенцией.

Акты проверок предприятий рассылаются их руководителями в орган, проводивший проверку, и в орган государственной власти по подчинённости предприятия.

ФСТЭК России организует контроль силами центрального аппарата и управлений ФСТЭК России по федеральным округам. Она может привлекать для этих целей подразделения по защите информации органов государственной власти.

Центральный аппарат ФСТЭК России осуществляет в пределах своей компетенции контроль в органах государственной власти и на предприятиях, обеспечивает методическое руководство работами по контролю (за исключением объектов и технических средств, защита которых входит в компетенцию ФСБ России, МВД России, Минобороны России, СВР России, ФСО Росси).

Управления ФСТЭК России по федеральным округам, в пределах своей компетенции осуществляют контроль в органах государственной власти и на предприятиях, расположенных в зонах ответственности этих центров.

Органы государственной власти организуют и осуществляют контроль на подчинённых им предприятиях через свои подразделения по защите информации. Повседневный контроль за состоянием защиты информации на предприятиях проводится силами их подразделений по защите информации.

Контроль на предприятиях негосударственного сектора при выполнении работ с использованием сведений, отнесённых к государственной или служебной тайне, осуществляется органами государственной власти, ФСТЭК России, ФСБ России, и заказчиком работ в соответствии с их компетенцией.

Защита информации считается эффективной, если принимаемые меры соответствуют установленным требованиям или нормам.

Несоответствие мер установленным требованиям или нормам по защите информации является нарушением. Нарушения по степени важности делятся на три категории:

первая - невыполнение требований или норм по защите информации, в результате чего имелась или имеется реальная возможность ее утечки по техническим каналам;

вторая - невыполнение требований по защите информации, в результате чего создаются предпосылки к ее утечке по техническим каналам;

третья - невыполнение других требований по защите информации.

При обнаружении нарушений первой категории руководители органов государственной власти и предприятий обязаны:

немедленно прекратить работы на участке (рабочем месте), где обнаруженынарушения и принять меры по их устранению;

организовать в установленном порядке расследование причин и условийпоявления нарушений с целью недопущения их в дальнейшем и привлеченияк ответственности виновных лиц;

сообщить в ФСТЭК России, ФСБ России, руководству органагосударственной власти и заказчику о вскрытых нарушениях и принятыхмерах.

Возобновление работ разрешается после устранения нарушений и проверки достаточности и эффективности принятых мер, проводимой ФСТЭК России или по её поручению подразделениями по защите информации органов государственной власти.

При обнаружении нарушений второй и третьей категорий руководители проверяемых органов государственной власти и предприятий обязаны принять необходимые меры по их устранению в сроки, согласованные с органом, проводившим проверку, или заказчиком (представителем заказчика). Контроль за устранением этих нарушений осуществляется подразделениями по защите информации этих органов государственной власти и предприятий.

Эффективность защиты информации - степень соответствия результатов защиты информации цели защиты информации.

Контроль состояния защиты информации - проверка соответствия организации и эффективности защиты информации установленным требованиям и/или нормам в области защиты информации .

В соответствии с СТР-К методическое руководство и контроль за эффективностью предусмотренных мер защиты информации возлагается на руководителей подразделений по защите информации организации.

Под методом контроля понимают порядок и правила применения расчетных и измерительных операций при решении задач контроля эффективности защиты.

В зависимости от вида выполняемых операций методы технического контроля делятся на:

• инструментальные, когда контролируемые показатели определяются непосредственно по результатам измерения контрольно-измерительной аппаратурой;
• инструментально-расчетные, при которых контролируемые показатели определяются частично расчетным путем, частично измерением значений некоторых параметров физических полей аппаратными средствами;
• расчетные, при которых контролируемые показатели рассчитываются по методикам, содержащимся в руководящей литературе.

17.3. Система документов по контролю состояния ТЗКИ

Аттестационный технический контроль защиты информации от утечки по ТКУИ осуществляется в соответствии со специально разработанными программами и методиками контроля ФСТЭК. Существует "Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам", он носит гриф "Для Служебного Пользования". В его состав входят следующие документы:

1. Временная методика оценки защищенности основных технических средств и систем, предназначенных для обработки, хранения и (или) передачи по линиям связи конфиденциальной информации. Утверждена первым заместителем председателя Гостехкомиссии России 08.11.2001.
2. Временная методика оценки защищённости конфиденциальной информации, обрабатываемой основными техническими средствами и системами, от утечки за счёт наводок на вспомогательные технические средства и системы и их коммуникации. Утверждена первым заместителем председателя Гостехкомиссии России 08.11.2001.
3. Временная методика оценки защищенности помещений от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам. Утверждена первым заместителем председателя Гостехкомиссии России 08.11.2001.
4. Временная методика оценки помещений от утечки речевой конфиденциальной информации по каналам электроакустических преобразований во вспомогательных технических средствах и системах. Утверждена первым заместителем председателя Гостехкомиссии России 08.11.2001.

Следует отметить, что ни СТР-К, ни приказ ФСТЭК России №21 не устанавливают форму оценки эффективности, формы и содержание документов, разрабатываемых в результате оценки. Таким образом, решение по данному вопросу возлагается на руководителя организации и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности информации.

В информационном сообщении от 15 июля 2013 г. № 240/22/2637 ФСТЭК говорит о том, что оценка эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 " Защита информации . Аттестация объектов информатизации. Общие положения". Если же речь идет о ГИС, в которых обрабатываются персональные данные , оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации государственной информационной системы по требованиям защиты информации в соответствии с Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17, национальными стандартами ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 "контроль эффективности защиты информации предусматривает:

• проверку состава и размещения основных технических средств и систем на объектах информатизации в соответствии с техническим паспортом на данный объект;
• проверку состава и размещения вспомогательных технических средств и систем на объектах информатизации в соответствии с техническим паспортом на данный объект;
• правильность категорирования объектов информатизации, классификации автоматизированных систем;
• контроль деятельности и состояния работ по противодействию утечки информации по техническим каналам утечки;
• проверку работоспособности средств защиты информации на объекте информатизации; контроль того, что они эксплуатируются в соответствии с эксплуатационной документацией;
• наличие и качество организационно-распорядительных документов;
• проверку уровня знаний и соблюдения требований нормативно-методических и руководящих документов ФСТЭК России;
• проверку соблюдения инструкций, порядка ведения журналов учетов;
• оценку эффективности выполняемых мероприятий по защите информации по результатам проведения выборочного технического контроля.

Проверка защищенности информации от НСД заключается в проверке соответствия эффективности мероприятий по защите информации установленным требованиям или нормам по безопасности информации. Тестируются все группы средств защиты от НСД, рассмотренные нами в предыдущих лекциях.

Проверяется соответствие описания технологического процесса обработки и хранения защищаемой информации реальному процессу.

Оценивается возможность переноса информации большего уровня конфиденциальности на информационный носитель меньшего уровня.

Проводится анализ разрешенных и запрещенных связей между субъектами и объектами доступа с привязкой к конкретным ОТСС и штатному персоналу.

Оценивается соответствие разрешенных и запрещенных связей разрешительной системе доступа персонала к защищаемым ресурсам на всех этапах обработки.

Проверка, как правило, осуществляется с использованием программных и программно-аппаратных средств контроля защищенности. В качестве примера рассмотрим продукты одной фирмы-ООО "Центр безопасности информации".

Средство контроля защищенности от НСД "Ревизор 2 ХР" предназначено для контроля полномочий доступа к информационным ресурсам.

• отображение всей информации, содержащейся в ПРД (возможен только просмотр);
• сравнение структуры ресурсов АРМ, описанной в ПРД, с реальной структурой ресурсов;
• создание отчета по результатам сравнения;
• построение плана тестирования объектов АРМ;
• проверка реальных прав доступа пользователей к объектам доступа;
• создание отчета по результатам тестирования.

Сетевой сканер "Ревизор сети" версия 3.0 предназначен для обнаружения уязвимостей установленного сетевого программного и аппаратного обеспечения, использующего протоколы стека TCP/IP . Система имеет широкие возможности, одной из которых является поиск уязвимостей, содержащихся в базе данных угроз и уязвимостей ФСТЭК, рассмотренных нами ранее. Кроме того программа проводит поиск уязвимостей, содержащихся в cve.mitre. org , ovaldb.altx-soft.ru, microsoft . com и некоторых других источниках.

Средство фиксации и контроля исходного состояния программного комплекса "ФИКС" предназначено для контроля подсистемы обеспечения целостности. Основные возможности программы:

• фиксация исходного состояния программного комплекса;
• контроль исходного состояния программного комплекса;
• фиксация и контроль каталогов;
• контроль различий в заданных файлах (каталогах);
• возможность работы с длинными именами файлов и именами, содержащими символы кириллицы.

Программа поиска и гарантированного уничтожения информации на дисках "TERRIER" позволяет осуществить контроль уничтожения информации. Для проверки необходимо создать на конфиденциальном логическом диске файл с контрольной комбинацией символов, определить местонахождение секторов с помощью "TERRIER", удалить файл с помощью штатных средств и проконтролировать его удаление с помощью TERRIER.

18.4. Документирование результатов контроля. Требования к средствам контроля защищенности информации

Следует отметить, что к средствам контроля эффективности мер защиты информации, как и к производителям таких средств, предъявляются достаточно жесткие требования. В соответствии с "Положением о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации", утвержденным Постановлением Правительства 3 марта 2012 №171, разработка и производство технических средств контроля эффективности мер защиты информации подлежит лицензированию. А сами разрабатываемые и производимые средства контроля эффективности мер защиты должны иметь сертификат соответствия ФСТЭК по требованиям Постановления Правительства РФ от 26 июня 1995 г. N 608 "О сертификации средств защиты информации".

Контроль эффективности защиты завершается оформлением Заключения с краткой оценкой соответствия объекта информатизации по безопасности информации, конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями, совершенствованию этой системы, рекомендациями по контролю функционирования объекта информатизации. К Заключению прилагаются протоколы испытаний, подтверждающие полученные при испытаниях результаты и обосновывающие приведенный в заключении вывод .

В связи с тем, что меры контроля / анализа защищённости персональных данных входят в базовые наборы мер защиты начиная с УЗ4 – УЗ3, большинство операторов персональных данных обзавелось сканерами защищенности. Иногда сталкиваюсь со следующими вопросом: а нужно ли вообще запускать этот сканер, и если да, то с какой периодичностью и что именно проверять.

Давайте попробуем разобраться:
· сканеры используется для реализации группы мер по контролю (анализу) защищенности персональных данных (АНЗ) обязательных в соответствии с приказом ФСТЭК России №21 от 18 февраля 2013 г.
· посмотрим, имеется ли в нормативно-правовых актах РФ какие-то обязательные требования к порядку или периодичности проведения сканирования защищенности:

Приказ ФСТЭК России №21
“8.8. Меры по контролю (анализу) защищенности персональных данных должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных.
АНЗ.1 Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей
АНЗ.2 Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации
АНЗ.3 Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации
АНЗ.4 Контроль состава технических средств, программного обеспечения и средств защиты информации”

ГОСТ Р 51583-2014 порядок создания АС в защищенном исполнении

Больше НПА, содержащих требования к анализу защищенности найти не удалось

Значит в нормативно-правовых актах РФ не содержится требований к порядку и периодичности проведения сканирований защищенности, соответственно параметры настройки профилей сканирования, периодичности анализа уязвимостей определяется оператором самостоятельно
· как же ему определить этот порядок и периодичность?

· скорее всего нужно исходить из особенностей и критичности информационной системы, состава используемого программного обеспечения и внутренних правил обновления программного обеспечения;

· также необходимо понимать, что по результатам сканирования формирует отчет по уязвимостям, который ещё необходимо отработать – устранить уязвимости и установить недостающие обновления. Нет никакого смысла проводить сканирование чаще, чем ответственные лица успевают обработать отчет и устранить уязвимости. Периодичность сканирования > среднего времени на обработку отчета по уязвимостям

· при определении порядка и периодичности сканирования оператор информационной системы может руководствоваться собственной экспертизой в области информационной безопасности, опытом проведения мероприятий по анализу защищенности, рекомендациями внешних экспертов и лицензиатов ФСТЭК, а также документами, носящими статус “рекомендованных” или “лучших практик”

· при этом необходимо учитывать, что меры по анализу защищенности должен быть систематическими (пункт 8.8 приказ ФСТЭК №21) и должны быть достаточными для нейтрализации актуальных угроз (пункт 2 Постановление правительства №1119)

· посмотрим, что есть в лучших методических документах и лучших практиках:

ГОСТ Р ИСО/МЭК 27002-2012
“12.6 Менеджмент технических уязвимостей
Цель: Снизить риски, являющиеся результатом использования опубликованных технических уязвимостей.

Менеджмент технических уязвимостей следует осуществлять эффективным, систематическим и повторяемым способом, с проведением измерений с целью подтверждения его эффективности. Эти соображения должны касаться эксплуатируемых систем и любых других используемых прикладных программ.
12.6.1 Управление техническими уязвимостями

Мера и средство контроля и управления

Необходимо получать своевременную информацию о технических уязвимостях используемых информационных систем, оценивать незащищенность организации в отношении таких уязвимостей и принимать соответствующие меры для рассмотрения связанного с ними риска.

Постоянно обновляемая и полная опись активов (см. 7.1) является предпосылкой эффективного менеджмента технических уязвимостей. Специальная информация, необходимая для поддержки менеджмента технических уязвимостей, включает в себя информацию о поставщике программного обеспечения, номерах версий, текущем состоянии развертывания (например, какое программное обеспечение установлено на каких системах) и специалисте(ах), отвечающем(их) в организации за программное обеспечение.

Аналогично, своевременное действие должно предприниматься в ответ на выявление потенциальных технических уязвимостей. Для создания эффективного процесса менеджмента в отношении технических уязвимостей необходимо выполнять следующие рекомендации:
a) в организации необходимо определять и устанавливать роли и обязанности, связанные с менеджментом технических уязвимостей, включая мониторинг уязвимостей, оценку риска проявления уязвимостей, исправление программ (патчинг), слежение за активами и любые другие координирующие функции;
b) информационные ресурсы, которые будут использоваться для выявления значимых технических уязвимостей и обеспечения осведомленности о них, следует определять для программного обеспечения и другой технологии на основе списка инвентаризации активов (см. 7.1.1); эти информационные ресурсы должны обновляться вслед за изменениями, вносимыми в опись, или когда найдены другие новые или полезные ресурсы;
c) необходимо определить временные параметры реагирования на уведомления о потенциально значимых технических уязвимостях;
d) после выявления потенциальной технической уязвимости организация должна определить связанные с ней риски и действия, которые необходимо предпринять; такие действия могут включать внесение исправлений в уязвимые системы и (или) применение других мер и средств контроля и управления;
e) в зависимости от того, насколько срочно необходимо рассмотреть техническую уязвимость, предпринимаемое действие следует осуществлять в соответствии с мерами и средствами контроля и управления, связанными с менеджментом изменений (см. 12.5.1), или следуя процедурам реагирования на инциденты информационной безопасности (см. 13.2);
f) если имеется возможность установки патча, следует оценить риски, связанные с его установкой (риски, создаваемые уязвимостью, необходимо сравнить с риском установки патча);
g) перед установкой патчи следует тестировать и оценивать для обеспечения уверенности в том, что они являются эффективными и не приводят к побочным эффектам, которые нельзя допускать; если нет возможности установить патч, следует рассмотреть другие меры и средства контроля и управления, например:
1) отключение сервисов, связанных с уязвимостью;
2) адаптацию или добавление средств управления доступом, например, межсетевых экранов на сетевых границах (см. 11.4.5);
3) усиленный мониторинг для обнаружения или предотвращения реальных атак;
4) повышение осведомленности об уязвимостях;
h) в контрольный журнал следует вносить информацию о всех предпринятых процедурах;
i) следует регулярно проводить мониторинг и оценку процесса менеджмента технических уязвимостей в целях обеспечения уверенности в его эффективности и действенности;
j) в первую очередь следует обращать внимание на системы с высоким уровнем риска.

Дополнительная информация

Правильное функционирование процесса менеджмента технических уязвимостей играет важную роль для многих организаций, поэтому процесс должен подвергаться регулярному мониторингу. Для обеспечения уверенности в том, что потенциально значимые технические уязвимости выявлены, важна точная инвентаризация.

Менеджмент технических уязвимостей может рассматриваться как подфункция менеджмента изменений и в качестве таковой может воспользоваться процессами и процедурами менеджмента изменений (см. 10.1.2 и 12.5.1).

Поставщики часто испытывают на себе значительное давление, заключающееся в требовании выпускать патчи в кратчайшие сроки. Поэтому патч не может решить проблему адекватно и может иметь побочные эффекты. К тому же, в некоторых случаях, если патч был однажды применен, деинсталлировать его может быть нелегко.

Если адекватное тестирование патчей провести не удается, например по причине затрат или отсутствия ресурсов, можно рассмотреть задержку в осуществлении внесения изменений, чтобы оценить связанные с этим риски, основанные на опыте других пользователей.”

РС БР ИББС-2.6-2014
“10. Стадия эксплуатации
10.1. Основными задачами на стадии эксплуатации в части обеспечения ИБ являются:
- периодическая оценка защищенности АБС (проведение мероприятий по выявлению типичных уязвимостей программных компонентов АБС, тестирование на проникновение);
10.2. Периодичность проведения работ по оценке защищенности определяется решении
ем организации БС РФ. Для АБС, используемых для реализации банковского платежного тех-
нелогического процесса, рекомендуется проведение комплексной оценки защищенности не
реже одного раза в год”

методический документ ФСТЭК России “Меры защиты информации в государственных информационных системах” , который может применяться и для обеспечения безопасности персональных данных по решению оператора
“АНЗ.1 ВЫЯВЛЕНИЕ, АНАЛИЗ И УСТРАНЕНИЕ УЯЗВИМОСТЕЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ
Выявление (поиск), анализ и устранение уязвимостей должны проводиться на этапах создания и эксплуатации информационной системы. На этапе эксплуатации поиск и анализ уязвимостей проводится с периодичностью, установленной оператором. При этом в обязательном порядке для критических уязвимостей проводится поиск и анализ уязвимостей в случае опубликования в общедоступных источниках информации о новых уязвимостях в средствах защиты информации, технических средствах и программном обеспечении, применяемом в информационной системе.
Требования к усилению АНЗ.1:
2) оператор должен уточнять перечень сканируемых в информационной системе уязвимостей с установленной им периодичностью, а также после появления информации о новых уязвимостях;”

· руководствуясь методическим документом ФСТЭК - анализ защищенности необходимо проводить в обязательном порядке после опубликования информации о критической уязвимости или обновлении;

· для ОС Windows такие уязвимости появляются в среднем ежемесячно ;

· по моему мнению для обеспечения нейтрализации актуальных угроз анализ защищенности с использованием сканеров необходимо проводить не реже чем ежеквартально

· в качестве старта при определении что и как проверять, можно использовать приложение 3 Рекомендации к проведению оценки защищенности к РС БР ИББС-2.6-2014 – раздел 2 “Выявление известных уязвимостей”