Управление рисками обзор употребительных подходов

       

Идентификация уязвимостей


Напомним определение: уязвимость — это дефект или слабое место в системных защитных процедурах, проекте, реализации или внутренних регуляторах безопасности, которые могут проявиться (будучи случайно активизированы или умышленно проэксплуатированы) и привести к нарушению безопасности или отступлению от политики безопасности.

Анализ угроз ИС включает анализ уязвимостей информационной системы и ее окружения. Цель данного шага — получить список рассматриваемых уязвимостей.

Для достижения поставленной цели рекомендуется использовать источники информации об уязвимостях, проводить тестирование защищенности ИС, применять контрольные перечни с требованиями безопасности.

Типы рассматриваемых уязвимостей и методы их выявления зависят от специфики информационной системы и этапа жизненного цикла, на котором она находится.

На стадии проектирования ИС основное внимание уделяется требованиям безопасности, политике безопасности организации, планируемым процедурам, анализу доступных защитных средств.

На этапе реализации привлекается дополнительная, конкретная информация, например, предусмотренные проектом средства безопасности, результаты анализа проекта и т.д.

На этапе эксплуатации производится анализ имеющихся защитных средств, регуляторов безопасности, программно-технических и организационных.

Технические и организационные уязвимости могут быть выявлены посредством применения методов сбора информации о характеристиках информационной системы. Предварительно проведенный обзор источников информации об уязвимостях, таких как сайты производителей и групп реагирования, помогает подготовить вопросники и контрольные перечни, целенаправленно проводить интервью.

Тестирование является проактивным средством безопасности. Тестовый инструментарий включает:

  • автоматические средства сканирования;
  • средства тестирования и оценки;
  • тестирование проникновением.



Содержание раздела