كيفية فتح 

قائمة وتوقيت التحكم TZI. مراقبة حالة أمن المعلومات. توثيق نتائج السيطرة. متطلبات ضوابط أمن المعلومات

رصد حالة حماية المعلومات(المشار إليها فيما بعد بالتحكم) بهدف الكشف في الوقت المناسب ومنع تسرب المعلومات من خلال القنوات التقنية، والوصول غير المصرح به إليها، والتأثيرات المتعمدة للبرامج والأجهزة على المعلومات.

تتكون المراقبة من التحقق من تنفيذ القوانين التشريعية الاتحاد الروسيبشأن قضايا حماية المعلومات، وقرارات FSTEC في روسيا، وكذلك في تقييم صحة وفعالية تدابير الحماية المتخذة لضمان الامتثال للمتطلبات والمعايير المعتمدة لحماية المعلومات.

يتم تنظيم السيطرة الخدمة الفيدراليةللرقابة الفنية ومراقبة الصادرات، جهاز الأمن الفيدرالي في الاتحاد الروسي، ووزارة الشؤون الداخلية في الاتحاد الروسي، ووزارة الدفاع في الاتحاد الروسي، وجهاز المخابرات الخارجية في الاتحاد الروسي، وجهاز الأمن الفيدرالي في الاتحاد الروسي الاتحاد والأقسام الهيكلية والمشتركة بين القطاعات للهيئات الحكومية المدرجة في نظام حماية المعلومات الحكومي والمؤسسات وفقًا لاختصاصاتها.

يتم إرسال أعمال التفتيش على المؤسسات من قبل مديريها إلى الهيئة التي أجرت التفتيش وإلى الهيئة الحكومية حسب تبعية المؤسسة.

تنظم FSTEC في روسيا الرقابة من خلال المكتب المركزي وإدارات FSTEC في روسيا في المقاطعات الفيدرالية. ويجوز إشراك وحدات حماية المعلومات التابعة للسلطات الحكومية لهذه الأغراض.

يمارس الجهاز المركزي لـ FSTEC في روسيا، ضمن اختصاصه، الرقابة في الهيئات والمؤسسات الحكومية، ويوفر التوجيه المنهجي لأعمال المراقبة (باستثناء الأشياء والوسائل التقنية، التي تقع حمايتها ضمن اختصاص FSB في روسيا). ، وزارة الشؤون الداخلية الروسية، وزارة الدفاع الروسية، جهاز المخابرات الخارجية الروسي، FSO روسيا).

تمارس إدارات FSTEC في روسيا في المناطق الفيدرالية، ضمن اختصاصها، الرقابة على الهيئات والمؤسسات الحكومية الموجودة في المناطق الخاضعة لمسؤولية هذه المراكز.

تنظم سلطات الدولة وتمارس الرقابة على المؤسسات التابعة لها من خلال وحدات حماية المعلومات الخاصة بها. يتم إجراء المراقبة اليومية لحالة أمن المعلومات في المؤسسات من قبل أقسام أمن المعلومات الخاصة بها.

تتم المراقبة في مؤسسات القطاع غير الحكومي عند أداء العمل باستخدام المعلومات المصنفة على أنها أسرار حكومية أو رسمية من قبل الهيئات الحكومية، FSTEC في روسيا، FSB في روسيا، وعميل العمل وفقًا لاختصاصها.

تعتبر حماية المعلومات فعالة إذا كانت التدابير المتخذة متوافقة مع المتطلبات أو المعايير المعمول بها.

يعد عدم الامتثال للمتطلبات أو المعايير المعمول بها لحماية المعلومات بمثابة انتهاك. وتنقسم الانتهاكات إلى ثلاث فئات حسب خطورتها:

    الأول هو عدم الالتزام بمتطلبات أو معايير حماية المعلومات، مما أدى إلى وجود احتمال حقيقي لتسربها عبر القنوات التقنية؛

    والثاني هو عدم الامتثال لمتطلبات حماية المعلومات، ونتيجة لذلك يتم إنشاء شروط مسبقة لتسربها عبر القنوات التقنية؛

    والثالث هو عدم الامتثال لمتطلبات حماية المعلومات الأخرى.

في حالة ضبط مخالفات الفئة الأولى، يلتزم رؤساء الهيئات والمؤسسات الحكومية بما يلي:

    التوقف فوراً عن العمل في الموقع (مكان العمل) الذي توجد فيه المخالفات واتخاذ الإجراءات اللازمة للقضاء عليها؛

    - تنظيم التحقيق بالطريقة المقررة في أسباب وظروف الانتهاكات لمنع حدوثها في المستقبل وتقديم مرتكبيها إلى العدالة؛

    إبلاغ FSTEC في روسيا، وFSB في روسيا، وقيادة السلطة الحكومية والعميل بالانتهاكات المكتشفة والتدابير المتخذة.

يُسمح باستئناف العمل بعد إزالة الانتهاكات والتحقق من كفاية وفعالية التدابير المتخذة من قبل FSTEC في روسيا أو بناءً على تعليماتها من قبل وحدات حماية المعلومات التابعة للوكالات الحكومية.

في حالة اكتشاف مخالفات الفئتين الثانية والثالثة، يلتزم رؤساء الجهات والمؤسسات الحكومية التي تم التفتيش عليها باتخاذ الإجراءات اللازمة لإزالتها خلال الإطار الزمني المتفق عليه مع الجهة التي أجرت التفتيش أو العميل (ممثل العميل). . تتم مراقبة القضاء على هذه الانتهاكات من قبل وحدات حماية المعلومات التابعة لهذه الهيئات والمؤسسات الحكومية.

1. تنظيم العمل على حماية المعلومات التقنية:

1.1 تنظيم الحماية الفنية للمعلومات المصنفة ضمن أسرار الدولة والأسرار الرسمية من العاملين الهندسيين ومن التسرب عبر القنوات الفنية:

  • توافر المبادئ التوجيهية والوثائق التنظيمية والتقنية بشأن قضايا أمن المعلومات التقنية؛
  • توافر الوثائق المنظمة لأنشطة الوحدات الهيكلية لحماية المعلومات الفنية (المهام، المسؤوليات الوظيفيةإلخ.)؛
  • تحليل وتقييم الخطر الحقيقي لتسرب المعلومات عبر القنوات التقنية، واكتمال وصحة تحديد القنوات التقنية المحتملة لتسرب المعلومات التي يجب حمايتها؛
  • اكتمال وجودة وصلاحية تطوير التدابير التنظيمية والفنية لحماية المعلومات وإجراءات تنفيذها ؛
  • إجراءات تنظيم ومراقبة حالة أمن المعلومات التقنية وفعاليتها؛
  • التوقيت المناسب واكتمال الامتثال لمتطلبات الوثائق الحاكمة، وقرارات اللجنة الفنية الحكومية لروسيا، والوثائق التنظيمية والتقنية والمنهجية بشأن حماية المعلومات التقنية.

1.2. دراسة وتحليل أنشطة الوحدات الهيكلية (المسؤولة المسؤولين) ، لضمان أمن المعلومات المراد حمايتها والمهام التي تحلها والمسؤوليات الوظيفية.

1.3. تحليل المواد التي تميز وصول المخابرات إلى المعلومات المتداولة فيها الانقسامات الهيكلية. الكشف عن التواجد في منطقة 1000 متر البعثات الأجنبية، والتمتع بالحق خارج الحدود الإقليمية وأماكن إقامة المتخصصين الأجانب.

1.4 دراسة وتحليل قائمة المعلومات الخاضعة للحماية:

  • توافر قائمة المعلومات الخاضعة للحماية منها الوسائل التقنيةالاستخبارات والتسريب عبر القنوات التقنية:
  • اكتمال وصحة تعريف علامات الكشف التي تكشف هذه المعلومات؛

1.5 توفر نظام أمن المعلومات:

  • وجود مهام الحماية الفنية للمعلومات في الوثائق التنظيمية والإدارية التي تنظم أنشطة المنظمات والإدارات التي تشكل جزءًا من نظام موحد للهيئات تسيطر عليها الحكومةفي الاتحاد الروسي؛
  • تنظيم وتنفيذ العمل المتعلق بالحماية التقنية للمعلومات في المكتب المركزي للوزارة (الإدارة) وفي المؤسسات والمنظمات والمؤسسات التابعة لها؛
  • التفاعل بشأن قضايا أمن المعلومات التقنية مع الوزارات (الإدارات) الأخرى والمنظمات الخارجية الأخرى؛
  • ضمان الرقابة على فعالية حماية المعلومات التي تشكل أسرار الدولة والأسرار الرسمية في جميع المنشآت والمؤسسات والمنظمات التابعة والتابعة للوزارة (الإدارة) التي تعمل معها.

1.6 تحليل القنوات الفنية المحتملة لتسريب المعلومات حول المعلومات المصنفة ضمن أسرار الدولة أثناء أنشطة الوزارة (الإدارة) والمؤسسات والمنظمات والمؤسسات التابعة لها.

1.7 تحليل تدفقات المعلومات أثناء عمل الأقسام الهيكلية.

1.8 تحليل تكوين الأجهزة والبرامج المشاركة في معالجة المعلومات وموقعها وتكنولوجيا معالجة المعلومات وحالة حمايتها:

  • الحالة المحاسبية لجميع الأجهزة والبرامج ذات الإنتاج المحلي والمستورد المشاركة في معالجة المعلومات الخاضعة للحماية؛
  • وضع المعدات الإلكترونية، TSPI (بالإشارة إلى المباني التي تم تركيبها فيها)، وطرق وضع الدوائر المعلوماتية وغير المعلوماتية الممتدة خارج المنطقة الخاضعة للرقابة.

1.9 إجراء تحليل لمدى توفر المعلومات المعالجة في أنظمة التحكم الآلي وأجهزة الكمبيوتر والوسائل التقنية الأخرى.

1.10 دراسة التنظيم والحالة الفعلية لوصول موظفي الصيانة والتشغيل إلى موارد المعلومات.

2. مراقبة حالة أمن المعلومات:

تنظيم أمن المعلومات في أنظمة ووسائل المعلومات والاتصالات:

  • إجراء التصديق على أنظمة ووسائل الأتمتة والاتصالات التي تشارك في معالجة المعلومات المصنفة على أنها أسرار حكومية ورسمية؛
  • إجراء عمليات تفتيش خاصة لتحديد الأجهزة المدمجة؛
  • أنشطة الوحدات الهيكلية المسؤولة عن أتمتة عمليات معالجة المعلومات والمحاسبة والتخزين والوصول إلى الوسائط المغناطيسية، مسؤوليات الأشخاصالمسؤولون عن أمن المعلومات؛
  • التوقيت المناسب والتنفيذ الصحيح لنظام أمن المعلومات، والحصول على إذن لمعالجة المعلومات السرية؛
  • التنسيب الصحيح واستخدام الوسائل التقنية وعناصرها الفردية؛
  • التدابير المطبقة لحماية المعلومات من التسرب بسبب الإشعاع الكهرومغناطيسي الجانبي والتداخل والتحولات الكهروصوتية؛
  • التدابير المتخذة لمنع الوصول غير المصرح به إلى المعلومات، فضلا عن اعتراض المعلومات الصوتية من المباني والأشياء المحمية بالوسائل التقنية.

2.1 من الوصول غير المصرح به (NAD)

عند التحقق من حالة حماية البرامج وموارد المعلومات من الوصول غير المصرح به، فمن المستحسن تنفيذ التدابير التالية:

2.1.1 تحديد فئة النظام الآلي المستخدم نظام التشغيلوأنظمة الحماية ضد الوصول غير المصرح به والبرامج الأخرى. 2.1.2 التحقق من تنفيذ التدابير التنظيمية والفنية للحماية الفنية للمعلومات المتداولة في AS أو SVT. 2.1.3 التحقق من توفر وجودة التثبيت وإجراءات التشغيل الخاصة بأدوات حماية البرامج والأجهزة. 2.1.4 إعداد وإجراء اختبار التحكم لوسائل أمن المعلومات التي تتم معالجتها بواسطة AS وSVT، وإنشاء تقارير اختبار الآلة وتحليلها. 2.1.5 تحليل نتائج الاختبار وتحديد الخصائص الفعلية لمعدات الحماية ومدى مطابقتها للمؤشرات الأمنية النظام الآلي. 2.1.6 إجراء مسح لدعم البرامج والمعلومات لجهاز كمبيوتر واحد أو أكثر (منفصل أو جزء من شبكات الكمبيوتر المحلية) لعدم وجود تأثير برمجي خاص:

  • تحليل المعلومات حول العلامات المباشرة وغير المباشرة لإصابة برامج الكمبيوتر والمعلومات "بفيروسات" الكمبيوتر؛
  • تحليل الدوائر التقنية والبرمجيات والأجهزة والحلول التنظيمية وغيرها من الحلول لتنظيم حماية المعلومات من تأثيرات البرامج الخاصة، وطرق الحصول على منتج برمجي وإجراءات استخدامه من أجل تحديد قنوات اختراق "الفيروسات" أو إدخالها من قبل المهاجمين برامج خاصةفي التيار المتردد أو SVT.
  • مراقبة سلامة دعم البرامج والمعلومات والبرامج على مستوى النظام والبرامج التطبيقية والبحث عن آليات البرامج المخفية لتشويه (تدمير) المعلومات.

2.2 ضد تسرب المعلومات بسبب الإشعاع الكهرومغناطيسي الجانبي والتداخل (PEMIN)

2.2.1 تحليل قابلية تطبيق برامج الاختبار الحالية أو تطوير برامج جديدة للأداة التقنية المعينة التي يتم اختبارها.
2.2.2 بناءً على المعلومات الأولية، حدد الوسائل التقنية لنقل وتخزين ومعالجة المعلومات للتحكم الآلي.
2.2.3 إجراء مراقبة فعالة لفعالية الحماية ضد تسرب المعدات التقنية المحمية من PEMIN.

2.3 من تسرب معلومات الكلام المتداولة في الغرف المخصصة بسبب التداخل والمجال الصوتي

عند التحقق من حالة حماية معلومات الكلام المتداولة في الأماكن المخصصة، فمن المستحسن القيام بما يلي:

2.3.1 تحليل مدى توفر معلومات الكلام المتداولة في مباني مكاتب موظفي الإدارة، وكذلك المباني التي تجري فيها المفاوضات السرية أو يتم تركيب الوسائل التقنية لمعالجة المعلومات السرية.

  • دراسة شروط وضع المباني المخصصة والمباني الرئيسية (OTSS) والمباني المساعدة المثبتة فيها الأنظمة التقنيةوالوسائل (VTSS) ومخططات تحديد موقعها وطرق وضع خطوط الاتصال ؛
  • تحديد الخطوط التي تتجاوز حدود المنطقة الخاضعة للسيطرة (GKZ)؛
  • توضيح موقف الاستطلاع وتحديد اتجاهات الاستطلاع الخطيرة والمواقع المحتملة لمعدات الاستطلاع الصوتي؛
  • التحقق من توافر وجودة وثائق العمل المتعلقة بحماية معلومات الكلام؛

2.3.2 التحقق من تنفيذ التدابير التنظيمية والفنية لحماية معلومات الكلام المتداولة في الأماكن المخصصة. في هذه الحالة، يُنصح بتنفيذ مجموعة التدابير التالية:
  • التحقق من الامتثال لمتطلبات تعليمات التشغيل وإجراءات التشغيل للوسائل التقنية لنقل وتخزين ومعالجة معلومات TSPI (تجاوز جميع المباني المخصصة)؛
  • التحقق من توقيت وصحة تصنيف المباني المخصصة، وإجراءات التصديق عليها أثناء التكليف وإصدار الإذن بالحق في إجراء أحداث سرية وإجراء مفاوضات سرية؛
  • التحقق من توافر وجودة التثبيت وإجراءات التشغيل لوسائل حماية معلومات الكلام من التسرب عبر القنوات التقنية؛
  • التحقق من الامتثال لمتطلبات إجراء عمليات تفتيش خاصة للمعدات التقنية (في حالة عدم وجود أجهزة انبعاث خاصة)؛

2.3.3 إجراء مراقبة فعالة لأمن المعلومات الصوتية المتداولة في أماكن مخصصة، ومعالجتها ونقلها بواسطة TSPI، من أجل تحديد قنوات التسرب الفني المحتملة:

. مراقبة الامتثال لمتطلبات قانون الاتحاد الروسي "بشأن أسرار الدولة"

إجراءات قبول المواطنين الأجانب والامتثال للمتطلبات الوثائق التنظيمية. تقييم تدابير أمن المعلومات المطبقة عند زيارة الممثلين الأجانب للمنظمات (المؤسسات). مشاركة المتخصصين في مكافحة التجسس في تحليل القنوات المحتملة لتسرب المعلومات وإصدار الشهادات وعمليات التفتيش الخاصة للمباني قبل وبعد استقبال المتخصصين الأجانب. توافر برامج القبول، والتنسيق مع سلطات FSB. تطوير وتنفيذ (إذا لزم الأمر) تدابير إضافية للحماية التقنية للمعلومات.
3.1 التحقق من توافر الوحدات الهيكلية والموظفين ومستوى تدريبهم ومؤهلاتهم التي تقدم حلولاً للقضايا المتعلقة بأسرار الدولة. 3.2 التحقق من توفر ترخيص للحق في القيام بالأعمال المتعلقة بتنفيذ قانون الاتحاد الروسي "بشأن أسرار الدولة"، سواء في الوحدات الهيكلية العادية أو في المنظمات الخارجية التي تؤدي العمل (تقديم الخدمات) بشأن الحماية الفنية المعلومات التي تخدم مصالح الوزارة (الإدارة) وتابعيها من مؤسسات وهيئات ومؤسسات. 3.3 التحقق من توفر الوثائق التوجيهية ومحتواها بشأن مسألة الحماية التقنية للمعلومات (قانون الاتحاد الروسي "بشأن أسرار الدولة"، قائمة المعلومات الخاضعة للحماية... إلخ). 3.4 التحقق من حالة نظام السرية في الإدارات ودرجة امتثالها للوثائق الحاكمة لحفظ السجلات (معدات المباني، وتسجيل وتخزين الوثائق السرية، والوصول إلى حفظ السجلات والوثائق السرية). 3.5 التحقق من توقيت وصحة إبلاغ موظفي الإدارات بمتطلبات الوثائق الحاكمة لحماية المعلومات الفنية ومعرفة الموظفين بها. 3.6 التحقق من صحة تصنيف المعلومات حسب درجة السرية وإجراءات تسجيلها وتخزينها عند استخدام الوسائل التقنية (الإلكترونيات، TSPI، المعدات المكتبية، إلخ). 3.7 التحقق من صحة طباعة (استنساخ) الوثائق السرية وتسجيلها وإجراءات إبلاغها لفناني الأداء. 3.8 التحقق من إجراءات قبول الموظفين للعمل بمعلومات سرية. 3.9 التحقق من تنظيم العمل لتقليل درجة السرية (رفع السرية) عن الوثائق وتوصيل المعلومات لفناني الأداء. 3.10 التحقق من توفر "شهادات المطابقة" للمباني المخصصة والوسائل الفنية المشاركة في معالجة المعلومات المراد حمايتها، ووثائق الاعتماد لوسائل الحماية الفنية للمعلومات ومراقبة فعاليتها.

4. الأمور التي يجب مراعاتها عند فحص المرخص لهم

4.1 تم الفحص:
  • توفر ترخيص (تصريح) للحق في تنفيذ العمل المتعلق بالحماية التقنية للمعلومات، والتحقق من صلاحية الترخيص للمواعيد النهائية المحددة والامتثال للعمل الذي يؤديه المرخص له عمليًا (1.5)*؛
  • توافر الوثائق من المرخص له تسجيل الدولة النشاط الرياديوميثاق المؤسسة (1.7)*؛
  • حالة قاعدة الإنتاج والاختبار، وتوافر الوثائق التنظيمية والمنهجية لتنفيذ العمل على أنواع الأنشطة المعلنة (1.6)*؛
  • التوظيف مع الكوادر العلمية والهندسية والفنية للقيام بالعمل على أنواع الأنشطة المعلنة. مستوى جاهزية المتخصصين للقيام بالعمل (1.6)*؛
  • تدريب احترافيرئيس المؤسسة المرخص لها و(أو) الأشخاص المرخص لهم بإدارة الأنشطة المرخصة (1.7)*؛
  • الامتثال للالتزامات التعاقدية لضمان سلامة السرية و الأصول الماديةالجسدية و الكيانات القانونيةمن استخدم خدمات المرخص له (2.4)*؛
  • التوقيت واكتمال التقديم وكالة حكوميةللترخيص أو إلى مركز الترخيص للحصول على معلومات حول العمل المنجز في أنواع محددة من الأنشطة المحددة في الترخيص وفقًا لمتطلبات اللجنة الفنية الحكومية لروسيا (2.4)*؛
  • جودة الخدمات المقدمة من قبل المرخص له (تقييم فعالية التدابير التي اتخذها المرخص لهم للحماية التقنية للمعلومات في 1-3 مؤسسات استهلاكية استخدمت خدمات المرخص له (3.2)*.

4.2 تنعكس نتائج التفتيش على المرخص لهم في شكل قسم منفصل من القانون أو الشهادة الصادرة بناءً على النتائج التفتيش المقررالوزارات (الإدارات) والمؤسسات والمنظمات والمؤسسات التابعة لها. وبناء على النتائج التي تم الحصول عليها، يتم التوصل إلى نتيجة حول امتثال المرخص له للمتطلبات المحددة وإمكانية مواصلة العمل في المجالات المذكورة.

ملحوظة: *) تمت الإشارة إلى الأقسام "اللوائح المتعلقة بترخيص الدولة للأنشطة في مجال أمن المعلومات" بين قوسين.

نظرًا لأن إجراءات التحكم/التحليل الخاصة بأمان البيانات الشخصية مدرجة في المجموعات الأساسية لتدابير الحماية بدءًا من UZ4 - UZ3، فقد حصل معظم مشغلي البيانات الشخصية على ماسحات ضوئية أمنية. أحيانًا أواجه الأسئلة التالية: هل من الضروري تشغيل هذا الماسح الضوئي على الإطلاق، وإذا كان الأمر كذلك، فكم مرة وما الذي يجب التحقق منه بالضبط.

دعونا نحاول معرفة ذلك:
· يتم استخدام الماسحات الضوئية لتنفيذ مجموعة من التدابير للتحكم (تحليل) أمان البيانات الشخصية (APD) الإلزامية وفقًا لأمر FSTEC في روسيا رقم 21 بتاريخ 18 فبراير 2013.
دعونا نرى ما إذا كانت الإجراءات القانونية التنظيمية للاتحاد الروسي تتضمن أي متطلبات إلزامية لإجراء أو تكرار الفحص الأمني:

وسام FSTEC لروسيا رقم 21
"8.8. يجب أن تضمن تدابير التحكم (تحليل) أمان البيانات الشخصية التحكم في مستوى أمان البيانات الشخصية التي تتم معالجتها نظام معلوماتوذلك من خلال القيام بأنشطة منهجية لتحليل أمان نظام المعلومات واختبار أداء نظام حماية البيانات الشخصية.
ANZ.1 تحديد وتحليل نقاط الضعف في نظام المعلومات والقضاء الفوري على نقاط الضعف التي تم تحديدها حديثًا
ANZ.2 مراقبة تثبيت تحديثات البرامج، بما في ذلك تحديث برامج أمن المعلومات
ANZ.3 مراقبة الأداء والإعدادات والأداء الصحيح للبرامج وأدوات أمن المعلومات
ANZ.4 التحكم في تكوين الأجهزة والبرامج ووسائل أمن المعلومات"

غوست آر 51583-2014الإجراء لإنشاء مكبرات الصوت المحمية

ولم يكن من الممكن العثور على مزيد من اللوائح التي تحتوي على متطلبات التحليل الأمني

وهذا يعني أنه في الأفعال القانونية للاتحاد الروسي لا يحتوي على متطلبات النظام والتكرارإجراء عمليات الفحص الأمني، وإعدادات مسح الملفات الشخصية، وتكرار تحليل الثغرات الأمنية يحددها المشغل بشكل مستقل
فكيف يمكنه تحديد هذا الترتيب والتكرار؟

· على الأرجح أنه من الضروري الانطلاق من ميزات وأهمية نظام المعلومات، وتكوين البرنامج المستخدم والقواعد الداخلية لتحديث البرنامج؛

· عليك أيضًا أن تفهم أنه بناءً على نتائج المسح، فإنه يُنشئ تقريرًا عن نقاط الضعف، والتي لا تزال بحاجة إلى العمل عليها - لإزالة نقاط الضعف وتثبيت التحديثات المفقودة. ليس هناك أي فائدة من إجراء عمليات الفحص في كثير من الأحيان حيث يتوفر لدى الأشخاص المسؤولين الوقت الكافي لمعالجة التقرير وإصلاح نقاط الضعف. تكرار الفحص > متوسط ​​الوقت اللازم لمعالجة تقرير الثغرات الأمنية

· عند تحديد ترتيب وتكرار المسح، يمكن لمشغل نظام المعلومات الاسترشاد بخبرته الخاصة في هذا المجال أمن المعلوماتوالخبرة في إجراء أنشطة التحليل الأمني، والتوصيات المقدمة من الخبراء الخارجيين والمرخصين من FSTEC، بالإضافة إلى المستندات ذات الحالة "موصى بها" أو "أفضل الممارسات"

· يجب أن يؤخذ في الاعتبار أن إجراءات التحليل الأمني ​​يجب أن تكون منهجي(البند 8.8 من أمر FSTEC رقم 21) ويجب أن يكون كذلك كافٍلتحييد التهديدات الحالية (البند 2 من المرسوم الحكومي رقم 1119)

دعونا نرى ما هو موجود في أفضل الوثائق المنهجية وأفضل الممارسات:

غوست آر آيزو/آي إي سي 27002-2012
“12.6 إدارة الثغرات الفنية
الهدف: تقليل المخاطر الناتجة عن استغلال الثغرات التقنية المنشورة.

ينبغي أن تتم إدارة الثغرات التقنية بطريقة فعالة ومنهجية وقابلة للتكرار، مع إجراء قياسات للتأكد من فعاليتها. يجب أن تنطبق هذه الاعتبارات على الأنظمة التي يتم تشغيلها وأي برامج تطبيقية أخرى يتم استخدامها.
12.6.1 إدارة نقاط الضعف التقنية

قياس ووسائل الرقابة والإدارة

ومن الضروري الحصول على معلومات في الوقت المناسب حول نقاط الضعف التقنية في أنظمة المعلومات المستخدمة، وتقييم مدى تعرض المنظمة لمثل هذه الثغرات واتخاذ التدابير المناسبة لمعالجة المخاطر المرتبطة بها.

يعد جرد الأصول الكامل والمحدث باستمرار (انظر 7.1) شرطًا أساسيًا لإدارة الثغرات الفنية الفعالة. تتضمن المعلومات المحددة اللازمة لدعم إدارة الثغرات التقنية معلومات حول بائع البرنامج وأرقام الإصدارات الوضع الحاليالنشر (على سبيل المثال، البرامج التي تم تثبيتها على الأنظمة) والشخص (الأشخاص) المسؤول عن البرنامج في المؤسسة.

وبالمثل، ينبغي اتخاذ الإجراءات في الوقت المناسب استجابةً لتحديد نقاط الضعف التقنية المحتملة. لإنشاء عملية إدارة فعالة لنقاط الضعف التقنية، ينبغي اتباع التوصيات التالية:
أ) يجب على المنظمة تحديد وإنشاء الأدوار والمسؤوليات المرتبطة بإدارة الثغرات الفنية، بما في ذلك مراقبة الثغرات الأمنية، وتقييم مخاطر الثغرات الأمنية، وتصحيح البرامج، وتتبع الأصول، وأي وظائف تنسيق أخرى؛
ب) موارد المعلوماتالتي سيتم استخدامها لتحديد نقاط الضعف التقنية الهامة وتوفير الوعي بها والتي ينبغي تحديدها للبرامج والتكنولوجيا الأخرى بناءً على قائمة جرد الأصول (انظر 7.1.1)؛ يجب تحديث موارد المعلومات هذه عند إجراء تغييرات على المخزون أو عند حدوث تغييرات جديدة أو موارد مفيدة;
ج) من الضروري تحديد توقيت الاستجابة للإخطارات المتعلقة بنقاط الضعف التقنية المحتملة؛
د) بمجرد تحديد ثغرة تقنية محتملة، يجب على المنظمة تحديد المخاطر المرتبطة بها والإجراءات التي يتعين اتخاذها؛ قد تتضمن هذه الإجراءات تصحيح الأنظمة المتأثرة و/أو تنفيذ ضوابط وضوابط أخرى؛
هـ) اعتمادًا على مدى الحاجة الملحة لمعالجة الثغرة التقنية، يجب تنفيذ الإجراء المتخذ وفقًا للضوابط المرتبطة بإدارة التغيير (انظر 12.5.1) أو اتباع إجراءات الاستجابة لحوادث أمن المعلومات (انظر 13.2)؛
و) إذا كان من الممكن تثبيت التصحيح، فيجب تقييم المخاطر المرتبطة بتثبيته (يجب مقارنة المخاطر التي تشكلها الثغرة الأمنية بمخاطر تثبيت التصحيح)؛
ز) قبل التثبيت، ينبغي اختبار وتقييم التصحيحات للتأكد من فعاليتها ولا تؤدي إلى آثار جانبية لا ينبغي التسامح معها؛ إذا لم يكن من الممكن تثبيت التصحيح، فيجب مراعاة الضوابط والضوابط الأخرى، على سبيل المثال:
1) تعطيل الخدمات المرتبطة بالثغرة الأمنية؛
2) تكييف أو إضافة ضوابط الوصول، مثل جدران الحماية عند حدود الشبكة (انظر 11.4.5)؛
3) تعزيز المراقبة للكشف عن الهجمات الفعلية أو منعها؛
4) زيادة الوعي بنقاط الضعف؛
ح) يجب أن يسجل مسار المراجعة جميع الإجراءات المتخذة؛
ط) ينبغي رصد وتقييم عملية إدارة الثغرات التقنية بانتظام لتوفير الثقة في فعاليتها وكفاءتها؛
ي) أولا وقبل كل شيء، ينبغي إيلاء الاهتمام للأنظمة ذات مستوى عالمخاطرة.

معلومات إضافية

يعد الأداء السليم لعملية إدارة الثغرات التقنية أمرًا مهمًا للعديد من المنظمات ويجب مراقبة العملية بانتظام. يعد الجرد الدقيق أمرًا مهمًا لضمان تحديد نقاط الضعف الفنية المحتملة.

يمكن اعتبار إدارة الثغرات التقنية وظيفة فرعية لإدارة التغيير، وعلى هذا النحو، يمكن أن تستفيد من عمليات وإجراءات إدارة التغيير (انظر 10.1.2 و12.5.1).

غالبًا ما يواجه البائعون ضغوطًا كبيرة لإصدار التصحيحات في أسرع وقت ممكن. لذلك، قد لا يحل التصحيح المشكلة بشكل كافٍ وقد يكون له آثار جانبية. بالإضافة إلى ذلك، في بعض الحالات، بمجرد تطبيق التصحيح، قد لا يكون من السهل إلغاء التثبيت.

إذا لم يكن من الممكن إجراء اختبار مناسب للتصحيحات، على سبيل المثال بسبب التكلفة أو نقص الموارد، فقد يؤخذ في الاعتبار تأخير تنفيذ التغييرات لتقييم المخاطر المرتبطة بها بناءً على تجربة المستخدمين الآخرين.

RS BR IBBS-2.6-2014
"10. مرحلة التشغيل
10.1. المهام الرئيسية في المرحلة التشغيلية فيما يتعلق بتوفير أمن المعلومات هي:
- التقييم الدوري لأمن ABS (تنفيذ تدابير لتحديد نقاط الضعف النموذجية لمكونات برامج ABS، واختبار الاختراق)؛
10.2. يتم تحديد وتيرة أعمال التقييم الأمني ​​من خلال القرار
منظمات RF BS. للأنظمة المصرفية الأساسية المستخدمة لتنفيذ تكنولوجيا الدفع المصرفي
عملية غير منطقية، فمن المستحسن القيام بها تقييم شامللا أمان
أقل من مرة واحدة في السنة"

الوثيقة المنهجية لـ FSTEC في روسيا "تدابير حماية المعلومات في أنظمة المعلومات الحكومية"، والتي يمكن استخدامها أيضًا لضمان أمان البيانات الشخصية وفقًا لتقدير المشغل
"ANZ.1 تحديد نقاط الضعف في نظام المعلومات وتحليلها والقضاء عليها
يجب أن يتم تحديد (البحث) وتحليل نقاط الضعف والقضاء عليها في مراحل إنشاء وتشغيل نظام المعلومات. في المرحلة التشغيلية، يتم البحث عن نقاط الضعف وتحليلها على فترات يحددها المشغل. وفي الوقت نفسه، فهو إلزامي لنقاط الضعف الحرجةيتم إجراء البحث وتحليل نقاط الضعف في حالة النشر في المصادر المتاحة للجمهورمعلومات حول نقاط الضعف الجديدة في أدوات أمن المعلومات والوسائل التقنية و برمجةالمستخدمة في نظام المعلومات.
متطلبات تعزيز ANZ.1:
2) يجب على المشغل تحديث قائمة الثغرات التي تم فحصها في نظام المعلومات بالتكرار الذي يحدده، وكذلك بعد ظهور معلومات حول نقاط الضعف الجديدة؛"

· الاسترشاد بالوثيقة المنهجية FSTEC - يجب إجراء التحليل الأمني ​​دون فشل بعد نشر معلومات حول الثغرات الأمنية الحرجة أو التحديث؛

· بالنسبة لنظام التشغيل Windows تظهر مثل هذه الثغرات الأمنية في المتوسط شهريا;

· في رأيي، لضمان تحييد التهديدات الحالية، يجب على الأقل إجراء التحليل الأمني ​​باستخدام الماسحات الضوئية ربعي

· كنقطة بداية عند تحديد ما يجب التحقق منه وكيفية التحقق منه، يمكنك استخدام توصيات الملحق 3 لإجراء تقييمات أمنية إلى RS BR IBBS-2.6-2014 - القسم 2 "تحديد نقاط الضعف المعروفة"

يتضمن التحقق من أمان المعلومات من المعلومات غير التمييزية التحقق مما إذا كانت فعالية تدابير حماية المعلومات تلبي المتطلبات أو المعايير المعمول بها لأمن المعلومات. يتم اختبار جميع مجموعات وسائل الحماية من NSD التي ناقشناها في المحاضرات السابقة.

يتم فحص الامتثالالأوصاف العملية التكنولوجيةمعالجة وتخزين المعلومات المحمية للعملية الحقيقية.

يتم تقييم الفرصةنقل معلومات ذات مستوى أعلى من السرية إلى حامل معلومات ذو مستوى أدنى.

التحليل قيد التقدمالاتصالات المسموح بها والمحظورة بين الأشخاص وأشياء الوصول فيما يتعلق بموظفين محددين في OTSS والموظفين.

يتم تقييم الامتثالالاتصالات المسموح بها والمحظورة لنظام السماح للموظفين بالوصول إلى الموارد المحمية في جميع مراحل المعالجة.

يتم إجراء التحقق، كقاعدة عامة، باستخدام أدوات التحكم في أمان البرامج والأجهزة. على سبيل المثال، خذ بعين الاعتبار منتجات شركة واحدة، Information Security Center LLC.

تم تصميم أداة التحكم الأمني ​​من NSD "Inspector 2 XP" للتحكم في أذونات الوصول إلى موارد المعلومات.

  • عرض جميع المعلومات الواردة في PRD (العرض فقط ممكن)؛
  • مقارنة هيكل موارد AWS الموصوفة في تصريح العمل بالهيكل الفعلي للموارد؛
  • إنشاء تقرير بناءً على نتائج المقارنة؛
  • وبناء خطة اختبار لكائنات مكان العمل الآلية؛
  • التحقق من حقوق وصول المستخدم الحقيقي للوصول إلى الكائنات؛
  • إنشاء تقرير عن نتائج الاختبار.

تم تصميم ماسح الشبكة "Network Inspector" الإصدار 3.0 لاكتشاف الثغرات الأمنية في برامج وأجهزة الشبكة المثبتة التي تستخدم بروتوكولات مكدس TCP/IP. النظام لديه فرص وافرة، أحدها هو البحث عن الثغرات الأمنية الموجودة في قاعدة بيانات FSTEC للتهديدات ونقاط الضعف التي ناقشناها سابقًا. بالإضافة إلى ذلك، يقوم البرنامج بالبحث عن نقاط الضعف الموجودة في cve.mitre. أورغ، ovaldb.altx-soft.ru، مايكروسوفت. كوم وبعض المصادر الأخرى.

وسائل لتحديد ومراقبة الحالة الأولية حزمة البرامجيهدف "FIX" إلى التحكم في نظام التكامل الفرعي. الملامح الرئيسية للبرنامج:

  • تحديد الحالة الأولية لحزمة البرامج؛
  • مراقبة الحالة الأولية لحزمة البرامج؛
  • تثبيت ومراقبة الدلائل؛
  • السيطرة على الاختلافات في الملفات المحددة (الدلائل)؛
  • القدرة على العمل مع أسماء الملفات الطويلة والأسماء التي تحتوي على أحرف السيريلية.

يتيح لك برنامج البحث عن المعلومات وتدميرها المضمون على أقراص "TERRIER" التحكم في تدمير المعلومات. للتحقق، تحتاج إلى إنشاء ملف باستخدام مجموعة تحكم من الأحرف على قرص منطقي سري، وتحديد موقع القطاعات باستخدام "TERRIER"، وحذف الملف باستخدام الأدوات القياسية والتحكم في حذفه باستخدام TERRIER.

18.4. توثيق نتائج السيطرة. متطلبات ضوابط أمن المعلومات

تجدر الإشارة إلى أنه يتم فرض متطلبات صارمة إلى حد ما على وسائل مراقبة فعالية تدابير أمن المعلومات، وكذلك على الشركات المصنعة لهذه الوسائل. وفقًا لـ "اللوائح المتعلقة بأنشطة الترخيص لتطوير وإنتاج وسائل حماية المعلومات السرية"، المعتمدة بموجب المرسوم الحكومي رقم 171 بتاريخ 3 مارس 2012، تم تطوير وإنتاج وسائل تقنية لمراقبة فعالية تدابير حماية المعلومات يخضع للترخيص. ويجب أن تكون هناك وسائل متطورة ومنتجة لرصد فعالية التدابير الوقائية نفسها شهادة المطابقة FSTEC وفقًا لمتطلبات مرسوم حكومة الاتحاد الروسي الصادر في 26 يونيو 1995 N 608 "بشأن شهادة وسائل أمن المعلومات".

تنتهي مراقبة فعالية الحماية بإصدار نتيجة تقييم موجزامتثال كائن المعلوماتية فيما يتعلق بأمن المعلومات، توصيات محددة للقضاء على الانتهاكات، وجعل نظام حماية كائن المعلوماتية متوافقًا مع المتطلبات المحددة، وتحسين هذا النظام، وتوصيات لمراقبة عمل كائن المعلوماتية. يتم إرفاق تقارير الاختبار بالاستنتاج، مما يؤكد النتائج التي تم الحصول عليها أثناء الاختبارات ويبرر الاستنتاج الوارد في الاستنتاج.