도시 

정보 보안 상태를 모니터링합니다. TKZ 상태 모니터링 제어 결과 문서화. 정보 보안 통제 요구 사항

1. 기술정보 보호 업무 조직:

1.1.기술조직 정보 보호, 엔지니어링 인력 및 기술 채널을 통한 유출로부터 국가 및 공식 비밀로 분류됩니다.

  • 기술 정보 보안 문제에 관한 지침과 규제 및 기술 문서의 가용성
  • 기술 정보 보호를 위한 구조 단위의 활동을 규제하는 문서의 가용성(작업, 기능적 책임등.);
  • 기술 채널을 통한 정보 유출의 실제 위험에 대한 분석 및 평가, 보호해야 할 정보 유출의 가능한 기술 채널 식별에 대한 완전성 및 정확성
  • 정보 보호를 위한 조직적, 기술적 조치 개발의 완전성, 품질 및 타당성, 구현 절차
  • 기술 정보 보안 상태와 그 효율성을 구성하고 모니터링하는 절차
  • 관리 문서, 러시아 국가 기술위원회의 결정, 기술 정보 보호에 관한 규제, 기술 및 방법론 문서의 요구 사항 준수의 적시성 및 완전성.

1.2. 구조 단위의 활동 연구 및 분석 (책임 공무원), 보호할 정보의 보안을 보장하기 위해 해결하는 작업 및 기능적 책임을 다합니다.

1.3. 순환하는 정보에 대한 지능적 접근을 특징짓는 자료 분석 구조적 구분. 1000m 구역 내 존재 감지 외국 사절단, 치외법권권, 외국 전문가의 거주지 권리를 누리고 있습니다.

1.4 보호 대상 정보 목록의 연구 및 분석:

  • 기술 정보 수단 및 기술 채널을 통한 유출로부터 보호 대상인 정보 목록의 가용성:
  • 이 정보를 드러내는 마스크 해제 표시 정의의 완전성과 정확성;

1.5 정보 보안 시스템의 가용성:

  • 통일된 기관 시스템의 일부인 조직 및 부서의 활동을 규제하는 조직 및 행정 문서의 정보 기술 보호를 위한 작업 존재 정부가 통제하는러시아 연방에서는;
  • 부처(부서) 중앙 사무소와 산하 기업, 조직 및 기관의 정보 기술 보호에 관한 작업의 조직 및 실행
  • 다른 부처(부서) 및 기타 제3자 조직과의 기술 정보 보안 문제에 대한 상호 작용
  • 함께 일하는 부처(부서) 산하의 모든 기업, 기관 및 조직에서 국가 및 공적 비밀을 구성하는 정보 보호의 효율성에 대한 통제를 보장합니다.

1.6 부처(부처) 및 산하 기업, 조직, 기관의 활동 중 국가기밀로 분류된 정보가 유출될 수 있는 기술적 경로 분석.

1.7 구조적 분할 기능 중 정보 흐름 분석.

1.8 정보 처리와 관련된 하드웨어 및 소프트웨어 구성, 위치, 정보 처리 기술 및 보호 상태 분석:

  • 보호 대상 정보 처리와 관련된 국내 및 수입 생산의 모든 하드웨어 및 소프트웨어에 대한 회계 상태
  • 전자 장비의 배치, TSPI(설치된 장소와 관련하여), 정보 배치 경로 및 통제 영역을 넘어 확장되는 비정보 회로.

1.9 자동 제어 시스템, 컴퓨터 및 기타 기술적 수단에서 처리되는 정보의 가용성 분석을 수행합니다.

1.10 정보 자원에 대한 유지 관리 및 운영 인력의 접근 조직 및 실제 상태에 대한 연구.

2. 정보보안 현황 모니터링:

정보 및 통신 시스템 및 수단의 정보 보안 조직:

  • 국가 및 공무 비밀로 분류된 정보 처리와 관련된 자동화, 통신 시스템 및 수단에 대한 인증을 수행합니다.
  • 내장된 장치를 식별하기 위한 특별 검사 수행
  • 정보 처리 프로세스 자동화, 회계, 저장, 자기 미디어 액세스를 담당하는 구조 단위의 활동, 사람의 책임정보 보안 책임자;
  • 정보 보안 시스템의 적시성과 올바른 구현, 기밀 정보 처리 권한 획득
  • 기술적 수단과 개별 요소의 올바른 배치 및 사용;
  • 측면 전자기 복사 및 간섭, 전기 음향 변환으로 인한 정보 누출로부터 정보를 보호하기 위한 조치를 적용했습니다.
  • 정보에 대한 무단 접근을 방지하고 기술적 수단을 통해 구내 및 보호 대상에서 음성 정보를 가로채는 것을 방지하기 위해 취한 조치입니다.

2.1 무단 액세스(NAD)로부터

무단 액세스로부터 소프트웨어 및 정보 자원의 보호 상태를 확인할 때 다음 조치를 수행하는 것이 좋습니다.

2.1.1 사용되는 자동화 시스템의 등급 결정 운영 체제, 무단 액세스 및 기타 소프트웨어로부터 보호 시스템. 2.1.2 AS 또는 SVT에 유통되는 정보의 기술적 보호를 위한 조직적, 기술적 조치의 이행을 확인합니다. 2.1.3 소프트웨어 및 하드웨어 보호 도구의 가용성, 설치 품질, 운영 절차를 확인합니다. 2.1.4 AS 및 SVT가 처리하는 정보 보안 수단의 제어 테스트를 준비 및 수행하고, 기계 테스트 보고서를 생성하고 분석합니다. 2.1.5 테스트 결과를 분석하고 보호 장비의 실제 특성과 보안 지표 준수 여부를 설정합니다. 자동화 시스템. 2.1.6 특별한 소프트웨어 영향이 없는지 확인하기 위해 하나 이상의 PC(별도 또는 로컬 컴퓨터 네트워크의 일부)의 소프트웨어 및 정보 지원에 대한 조사를 수행합니다.

  • 컴퓨터 소프트웨어 감염의 간접적 및 직접적인 징후에 대한 정보 및 컴퓨터 "바이러스"에 대한 정보 분석
  • 특별한 소프트웨어 영향으로부터 정보를 보호하기 위한 회로 기술, 소프트웨어 하드웨어, 조직 및 기타 솔루션 분석, "바이러스" 침투 채널을 식별하기 위해 소프트웨어 제품을 얻는 방법 및 사용 절차 공격자에 의해 특별 프로그램 AC 또는 SVT에서;
  • 소프트웨어 및 정보 지원, 시스템 전체 및 응용 프로그램 소프트웨어의 무결성을 모니터링하고 정보를 왜곡(파괴)하기 위한 숨겨진 소프트웨어 메커니즘을 검색합니다.

2.2 측면 전자파 방사 및 간섭으로 인한 정보 유출 방지(PEMIN)

2.2.1 기존 테스트 프로그램의 적용 가능성을 분석하거나 테스트 중인 특정 기술 도구에 대한 새로운 프로그램을 개발합니다.
2.2.2 초기 정보를 기반으로 기기 제어를 위한 정보를 전송, 저장 및 처리하는 기술적 수단을 선택합니다.
2.2.3 PEMIN으로 보호되는 기술 장비의 누출 방지 효과에 대한 기기 모니터링을 수행합니다.

2.3 간섭 및 음장으로 인해 전용실에 유통되는 음성정보의 유출로부터

지정된 장소에서 유통되는 음성 정보의 보호 상태를 확인할 때 다음을 수행하는 것이 좋습니다.

2.3.1 관리 직원의 사무실 건물과 기밀 협상이 수행되거나 기밀 정보 처리를 위한 기술적 수단이 설치된 건물에서 순환하는 음성 정보의 가용성을 분석합니다.

  • 할당된 건물과 그 안에 설치된 주(OTSS) 및 보조 건물 배치 조건을 연구합니다. 기술 시스템연결선을 배치하기 위한 수단(VTSS), 배치 다이어그램 및 경로;
  • 통제 구역(GKZ)의 경계를 넘어서는 선을 식별합니다.
  • 정찰 상황을 명확히 하고, 위험한 정찰 방향과 음향 정찰 장비의 가능한 위치를 결정합니다.
  • 음성 정보 보호에 관한 작업 문서의 가용성과 품질을 확인합니다.

2.3.2 지정된 장소에서 유통되는 음성정보를 보호하기 위한 조직적, 기술적 조치의 이행을 점검합니다. 이 경우 다음과 같은 조치를 취하는 것이 좋습니다.
  • TSPI 정보를 전송, 저장 및 처리하는 기술적 수단에 대한 운영 지침 및 운영 절차의 요구 사항을 준수하는지 확인합니다(지정된 모든 장소 우회).
  • 할당된 건물 분류의 적시성과 정확성, 시운전 중 인증 절차, 기밀 행사 수행 및 기밀 협상 수행 권리에 대한 허가 발급을 확인합니다.
  • 기술 채널을 통한 음성 정보 유출 방지 수단의 가용성, 설치 품질 및 운영 절차를 확인합니다.
  • 기술 장비의 특별 검사 수행 요구 사항 준수 여부 확인(특수 방출 장치가 없는 경우)

2.3.3 가능한 기술적 유출 경로를 식별하기 위해 TSPI가 처리하고 전송하는 전용 공간에서 순환하는 음성 정보의 보안에 대한 도구적 모니터링을 수행합니다.

. 러시아 연방 "국가 비밀"법의 요구 사항 준수 모니터링

외국인 수용 절차 및 요건 준수 규제 문서. 외국 대표가 기관(기업)을 방문할 때 적용되는 정보 보안 조치를 평가합니다. 외국 전문가 수용 전후 정보 유출, 인증 및 건물 특별 검사의 가능한 경로 분석에 방첩 전문가 참여. 입학 프로그램의 가용성, FSB 당국과의 조정. 정보의 기술적 보호를 위한 추가 조치의 개발 및 구현(필요한 경우)
3.1 국가 비밀과 관련된 문제에 대한 해결책을 제공하는 구조 단위, 직원, 교육 수준, 자격의 가용성을 확인합니다. 3.2 일반 구조 단위와 기술 보호에 관한 작업(서비스 제공)을 수행하는 외부 조직 모두에서 러시아 연방 "국가 비밀"법 시행과 관련된 작업을 수행할 권리에 대한 라이센스 가용성 확인 부처(부서) 및 그 부하 기업, 조직 및 기관의 이익을 위한 정보. 3.3 정보 기술 보호 문제에 관한 지침 문서 및 내용의 가용성 확인(RF 법률 "국가 비밀", 보호 대상 정보 목록 등). 3.4 부서의 기밀 유지 체제 상태와 기록 보관에 관한 관리 문서(시설 장비, 기밀 문서 기록 및 보관, 기록 보관 및 기밀 문서에 대한 접근) 준수 정도를 확인합니다. 3.5 기술 정보 보호에 관한 관리 문서의 요구 사항을 부서 직원에게 전달하는 적시성과 정확성, 직원의 지식을 확인합니다. 3.6 기술적 수단(전자제품, TSPI, 사무기기 등)을 사용할 때 기밀 수준에 따른 정보 분류의 정확성, 기록 및 저장 절차를 확인합니다. 3.7 기밀 문서의 인쇄(복제), 기록 및 이를 공연자에게 전달하는 절차의 정확성을 확인합니다. 3.8 직원이 기밀 정보를 취급하도록 허용하는 절차를 확인합니다. 3.9 문서의 기밀성(기밀해제) 정도를 낮추기 위해 업무 구성을 점검하고 수행자에게 정보를 전달합니다. 3.10 보호할 정보 처리와 관련된 기술적 수단과 할당된 시설에 대한 "적합성 인증서"의 가용성을 확인하고, 정보의 기술적 보호 수단에 대한 인증 문서를 확인하고 그 효과를 모니터링합니다.

4. 사업자 확인 시 고려해야 할 사항

4.1 확인됨:
  • 정보의 기술적 보호에 관한 작업을 수행할 권리에 대한 라이센스(허가) 가용성, 설정된 기한에 대한 라이센스의 유효성 확인 및 라이센스 사용자가 실제로 수행한 작업 준수 여부(1.5)*
  • 면허 소지자의 문서 가용성 주정부 등록 기업가 활동기업 정관(1.7)*
  • 생산 및 테스트 기반의 상태, 선언된 활동 유형에 대한 작업을 수행하기 위한 규제 및 방법론적 문서의 가용성(1.6)*
  • 선언된 유형의 활동에 대한 작업을 수행하기 위해 과학, 엔지니어링 및 기술 인력을 채용합니다. 업무 수행을 위한 전문가의 준비 수준(1.6)*
  • 전문적인 훈련라이센스를 받은 기업의 대표 및/또는 라이센스를 받은 활동을 관리하도록 권한을 부여받은 사람(1.7)*
  • 기밀 및 정보의 안전을 보장하기 위한 계약상의 의무 준수 물질적 자산육체적이고 법인라이센스 보유자의 서비스를 사용한 사람(2.4)*
  • 제출의 적시성과 완전성 정부 기관러시아 국가 기술위원회(2.4)*의 요구 사항에 따라 라이센스에 지정된 특정 유형의 활동에 대해 수행된 작업에 대한 정보를 라이센스 또는 라이센스 센터에 제공합니다.
  • 라이센스 사용자가 제공하는 서비스 품질(라이센스 사용자의 서비스를 사용한 1~3개 소비자 기업의 정보 기술 보호를 위해 라이센스 사용자가 취한 조치의 효율성 평가(3.2)*.

4.2 면허 소지자에 대한 검사 결과는 해당 결과에 따라 발급된 법령 또는 증명서의 별도 섹션 형태로 반영됩니다. 예정된 검사부처(부처)와 그 산하 기업, 조직, 기관. 얻은 결과를 바탕으로 면허 소지자가 확립된 요구 사항을 준수하는지와 명시된 영역에서 추가 작업을 수행할 수 있는지에 대한 결론이 내려집니다.

참고: *) "정보 보안 분야 활동에 대한 국가 허가에 관한 규정" 섹션은 괄호 안에 표시되어 있습니다.
통제는 나중에 보장 프로세스를 포함하여 프로세스를 개선하는 데 사용할 수 있는 정보를 수집할 수 있는 메커니즘입니다. 정보 보안.

정보보호 효율성- 정보보호 목적에 따른 정보보호 결과의 준수 정도.

정보보안 현황 모니터링- 정보 보호 분야에서 확립된 요구 사항 및/또는 표준에 대한 조직의 준수 여부와 정보 보호의 효율성을 확인합니다.

STR-K에 따라 제공된 정보 보호 조치의 효과에 대한 방법론적 지침 및 통제가 조직의 정보 보호 부서장에게 할당됩니다.

아래에 제어 방법보호 효과 모니터링 문제를 해결할 때 계산 및 측정 작업을 사용하는 절차와 규칙을 이해합니다.

수행되는 작업 유형에 따라 기술적 제어 방법은 다음과 같이 나뉩니다.

  • 제어 지표가 제어 및 측정 장비의 측정 결과로부터 직접 결정되는 경우 도구적입니다.
  • 제어된 지표가 부분적으로 계산에 의해 결정되고 부분적으로는 하드웨어에 의해 물리적 필드의 일부 매개변수 값을 측정하여 결정되는 도구 계산;
  • 계산된 지표는 지침 문헌에 포함된 방법에 따라 제어 지표가 계산됩니다.

17.3. TZKI 상태 모니터링을 위한 문서 시스템

증명 기술적 통제 TKUI에 따른 정보 유출 방지는 FSTEC이 특별히 개발한 프로그램 및 제어 방법에 따라 수행됩니다. "기술적 채널을 통한 유출로부터 기밀 정보의 보안을 평가하기 위한 임시 방법 모음"이 있으며 "공식 용도"로 표시되어 있습니다. 여기에는 다음 문서가 포함됩니다.

  1. 통신 회선을 통해 기밀 정보를 처리, 저장 및/또는 전송하기 위한 기본 기술 수단 및 시스템의 보안을 평가하기 위한 임시 방법론입니다. 2001년 11월 8일 러시아 국가기술위원회 제1부위원장의 승인을 받았습니다.
  2. 보조 기술 수단 및 시스템과 그 통신의 간섭으로 인한 누출로부터 주요 기술 수단 및 시스템으로 처리된 기밀 정보의 보안을 평가하기 위한 임시 방법론입니다. 2001년 11월 8일 러시아 국가기술위원회 제1부위원장의 승인을 받았습니다.
  3. 음향 및 진동음향 채널을 통한 기밀 음성 정보 유출에 대비하여 구내 보안을 평가하기 위한 임시 방법론입니다. 2001년 11월 8일 러시아 국가기술위원회 제1부위원장의 승인을 받았습니다.
  4. 보조 기술 수단 및 시스템의 전기 음향 변환 채널을 통해 기밀 음성 정보 누출에 대해 건물을 평가하기 위한 임시 방법론입니다. 2001년 11월 8일 러시아 국가기술위원회 제1부위원장의 승인을 받았습니다.

STR-K나 러시아의 FSTEC 명령 번호 21은 성능 평가 형식, 평가 결과로 개발된 문서의 형식 및 내용을 설정하지 않는다는 점에 유의해야 합니다. 따라서 이 문제에 대한 결정은 정보 보안을 보장하기 위해 구현된 조치의 효과를 평가하기 위해 조직의 장 및/또는 관련자와의 합의에 따라 결정됩니다.

2013년 7월 15일자 정보 메시지 No. 240/22/2637에서 FSTEC은 구현된 조치의 효과를 평가한다고 말합니다. 수행될 수 있다국가 표준 GOST RO 0043-003-2012에 따른 개인 데이터 정보 시스템 인증 작업의 일환으로 " 데이터 보호. 정보화객체 인증. 일반 조항." 우리 얘기 중이야처리되는 GIS에 대해 개인 정보, 개인 데이터의 보안을 보장하기 위해 취해진 조치의 효과에 대한 평가는 기술 및 수출을 위한 연방 서비스 명령에 의해 승인된 요구 사항에 따라 정보 보호 요구 사항에 대한 국가 정보 시스템의 필수 인증 프레임워크 내에서 수행됩니다. 2013년 2월 11일자 러시아 통제 No. 17, 국가 표준 GOST RO 0043-003-2012 및 GOST RO 0043-004-2013 “정보 보호의 효율성 모니터링은 다음을 제공합니다.

  • 이 시설의 기술 여권에 따라 정보화 시설의 기본 기술 수단 및 시스템의 구성 및 배치를 확인합니다.
  • 이 시설의 기술 여권에 따라 정보화 시설의 보조 기술 수단 및 시스템의 구성 및 배치를 확인합니다.
  • 정보화 대상의 올바른 분류, 자동화 시스템의 분류;
  • 기술 유출 경로를 통한 정보 유출을 방지하기 위한 활동 및 작업 상태를 모니터링합니다.
  • 정보화 시설의 정보 보안 도구의 기능을 확인합니다. 운영 문서에 따라 운영되도록 통제합니다.
  • 조직 및 관리 문서의 가용성 및 품질;
  • 러시아 FSTEC의 규제, 방법론 및 지침 문서 요구 사항에 대한 지식 수준 및 준수 여부를 확인합니다.
  • 회계 로그 유지 지침 및 절차 준수 여부를 확인합니다.
  • 선택적 기술 통제의 결과를 기반으로 정보를 보호하기 위해 취해진 조치의 효율성 평가.

개인 데이터 보안을 위한 통제/분석 조치가 UZ4 - UZ3부터 시작하는 기본 보호 조치 세트에 포함되어 있기 때문에 대부분의 개인 데이터 운영자는 보안 스캐너를 취득했습니다. 때때로 나는 다음과 같은 질문을 접하게 됩니다: 이 스캐너를 실행해야 하는가, 그렇다면 얼마나 자주, 무엇을 정확히 확인해야 하는지.

그것을 알아 내려고합시다 :
· 스캐너는 2013년 2월 18일 러시아 FSTEC 제21호 명령에 따라 의무적으로 개인 데이터 보안(APD)을 통제(분석)하기 위한 일련의 조치를 구현하는 데 사용됩니다.
러시아 연방의 규제 법률에 보안 검색 절차 또는 빈도에 대한 필수 요구 사항이 있는지 살펴보겠습니다.

러시아 FSTEC 명령 제21호
“8.8. 개인 데이터의 보안을 통제(분석)하기 위한 조치는 처리되는 개인 데이터의 보안 수준에 대한 통제를 보장해야 합니다. 정보 시스템, 정보시스템의 보안성을 분석하고 개인정보 보호시스템의 성능을 테스트하는 체계적인 활동을 수행합니다.
ANZ.1 정보 시스템 취약점의 식별, 분석 및 새로 식별된 취약점의 신속한 제거
ANZ.2 정보 보안 소프트웨어 업데이트를 포함한 소프트웨어 업데이트 설치 모니터링
ANZ.3 소프트웨어 및 정보 보안 도구의 성능, 설정 및 올바른 기능 모니터링
ANZ.4 하드웨어, 소프트웨어 및 정보 보안 수단의 구성 제어”

GOST R 51583-2014보호되는 스피커를 만드는 절차

보안 분석에 대한 요구 사항을 포함하는 추가 규정을 찾을 수 없습니다.

이는 러시아 연방의 법적 행위에서 주문 및 빈도에 대한 요구 사항이 포함되어 있지 않습니다.보안 검사 수행, 각각 검사 프로필 설정, 취약점 분석 빈도 운영자가 독립적으로 결정
그는 이 순서와 빈도를 어떻게 결정할 수 있습니까?

· 정보 시스템의 기능과 중요성, 사용된 소프트웨어의 구성, 소프트웨어 업데이트를 위한 내부 규칙부터 진행해야 할 가능성이 높습니다.

· 또한 스캔 결과를 기반으로 취약점에 대한 보고서를 생성하며, 취약점을 제거하고 누락된 업데이트를 설치하려면 여전히 해결해야 한다는 점을 이해해야 합니다. 책임자가 보고서를 처리하고 취약점을 수정할 시간을 갖는 것보다 더 자주 스캔을 수행하는 것은 의미가 없습니다. 스캔 빈도 > 취약점 보고서를 처리하는 데 걸리는 평균 시간

· 스캔 절차 및 빈도를 결정할 때 정보 시스템 운영자는 정보 보안 분야에 대한 자신의 전문 지식, 보안 분석 활동 수행 경험, 외부 전문가 및 FSTEC 라이선스 사용자의 추천 및 상태가 포함된 문서를 바탕으로 안내받을 수 있습니다. '권장' 또는 '모범 사례'

· 보안 분석 조치가 반드시 이루어져야 한다는 점을 고려해야 합니다. 체계적인(FSTEC 주문 번호 21의 8.8항) 다음과 같아야 합니다. 충분한현재의 위협을 무력화하기 위해(정부 법령 제1119호 제2항)

최고의 방법론적 문서와 모범 사례에 무엇이 포함되어 있는지 살펴보겠습니다.

GOST R ISO/IEC 27002-2012
“12.6 기술적 취약점 관리
목표: 공개된 기술 취약점 악용으로 인한 위험을 줄입니다.

기술적 취약점 관리는 효과적이고 체계적이며 반복 가능한 방식으로 수행되어야 하며, 그 효과를 확인하기 위한 측정도 수행되어야 합니다. 이러한 고려 사항은 작동 중인 시스템과 사용 중인 기타 응용 프로그램에 적용되어야 합니다.
12.6.1 기술적 취약점 관리

통제 및 관리의 척도와 수단

사용된 정보 시스템의 기술적 취약성에 대한 시기적절한 정보를 얻고, 그러한 취약성에 대한 조직의 노출을 평가하고, 이와 관련된 위험을 해결하기 위한 적절한 조치를 취하는 것이 필요합니다.

지속적으로 업데이트되고 완전한 자산 목록(7.1 참조)은 효과적인 기술 취약성 관리를 위한 전제 조건입니다. 기술적 취약점 관리를 지원하는 데 필요한 특정 정보에는 소프트웨어 공급업체, 버전 번호, 현재 상태배포(예: 어떤 소프트웨어가 어떤 시스템에 설치되어 있는지) 및 조직의 소프트웨어를 담당하는 사람.

마찬가지로, 잠재적인 기술적 취약점이 식별되면 적시에 조치를 취해야 합니다. 기술적 취약점에 대한 효과적인 관리 프로세스를 만들려면 다음 권장 사항을 따라야 합니다.
a) 조직은 취약성 모니터링, 취약성 위험 평가, 소프트웨어 패치, 자산 추적 및 기타 조정 기능을 포함하여 기술적 취약성 관리와 관련된 역할과 책임을 정의하고 확립해야 합니다.
비) 정보 자원심각한 기술적 취약성을 식별하고 인식하는 데 사용될 내용은 자산 목록 목록(7.1.1 참조)을 기반으로 소프트웨어 및 기타 기술에 대해 결정되어야 합니다. 이러한 정보 자원은 목록이 변경되거나 다른 새로운 내용이 있을 때 업데이트되어야 합니다. 유용한 리소스;
c) 잠재적으로 심각한 기술적 취약점에 대한 통지에 대한 대응 시기를 결정하는 것이 필요합니다.
d) 잠재적인 기술적 취약성이 식별되면, 조직은 이와 관련된 위험과 취해야 할 조치를 결정해야 합니다. 이러한 조치에는 영향을 받는 시스템에 대한 패치 적용 및/또는 기타 제어 및 제어 구현이 포함될 수 있습니다.
e) 기술적 취약성을 얼마나 긴급하게 해결해야 하는지에 따라 변경 관리(12.5.1 참조)와 관련된 통제 또는 정보 보안 사고 대응 절차(13.2 참조)에 따라 취해지는 조치를 수행해야 합니다.
f) 패치 설치가 가능하다면, 패치 설치와 관련된 위험을 평가해야 합니다(취약성으로 인한 위험은 패치 설치 위험과 비교되어야 합니다).
g) 설치 전에 패치를 테스트하고 평가하여 해당 패치가 효과적이고 용인되어서는 안 되는 부작용을 초래하지 않는지 확인해야 합니다. 패치를 설치할 수 없는 경우 다음과 같은 다른 통제 및 통제를 고려해야 합니다.
1) 취약점과 관련된 서비스를 비활성화합니다.
2) 네트워크 경계의 방화벽과 같은 접근 제어를 조정하거나 추가합니다(11.4.5 참조).
3) 실제 공격을 탐지하거나 예방하기 위한 향상된 모니터링;
4) 취약성에 대한 인식 증가;
h) 감사 추적은 수행된 모든 절차를 기록해야 합니다.
i) 기술적 취약성 관리 프로세스는 효율성과 효율성에 대한 확신을 제공하기 위해 정기적으로 모니터링되고 평가되어야 합니다.
j) 우선, 다음과 같은 시스템에 주의를 기울여야 합니다. 높은 레벨위험.

추가 정보

기술적 취약성 관리 프로세스의 적절한 기능은 많은 조직에 중요하며 프로세스를 정기적으로 모니터링해야 합니다. 잠재적으로 심각한 기술적 취약점을 식별하려면 정확한 인벤토리가 중요합니다.

기술적 취약성 관리는 변경 관리의 하위 기능으로 간주될 수 있으므로 변경 관리 프로세스 및 절차의 이점을 누릴 수 있습니다(10.1.2 및 12.5.1 참조).

공급업체는 가능한 한 빨리 패치를 출시해야 한다는 상당한 압력을 받는 경우가 많습니다. 따라서 패치를 적용해도 문제가 제대로 해결되지 않을 수 있으며 부작용이 발생할 수 있습니다. 또한 어떤 경우에는 패치가 적용된 후 제거가 쉽지 않을 수 있습니다.

예를 들어 비용이나 리소스 부족으로 인해 패치에 대한 적절한 테스트를 수행할 수 없는 경우 다른 사용자의 경험을 바탕으로 관련 위험을 평가하기 위해 변경 구현 지연을 고려할 수 있습니다."

RS BR IBBS-2.6-2014
"10. 운영단계
10.1. 정보 보안 제공 측면에서 운영 단계의 주요 작업은 다음과 같습니다.
- ABS 보안에 대한 주기적인 평가(ABS 소프트웨어 구성 요소의 일반적인 취약성을 식별하기 위한 조치 수행, 침투 테스트)
10.2. 보안 평가 작업의 빈도는 결정에 따라 결정됩니다.
RF BS 조직. 뱅킹 결제 기술을 구현하는 데 사용되는 코어 뱅킹 시스템용
비논리적인 절차를 수행하는 것이 좋습니다. 종합평가보안 없음
1년에 한 번도 안 돼"

러시아 FSTEC의 방법론 문서 "국가 정보 시스템의 정보 보호 조치", 이는 운영자의 재량에 따라 개인 데이터의 보안을 보장하는 데 사용될 수도 있습니다.
“ANZ.1 정보 시스템 취약점의 식별, 분석 및 제거
취약점의 식별(검색), 분석, 제거는 정보시스템을 구축하고 운영하는 단계에서 이루어져야 한다. 운영 단계에서는 운영자가 설정한 간격으로 취약점 검색 및 분석이 수행됩니다. 동시에 필수사항입니다. 심각한 취약점에 대한취약점 검색 및 분석이 수행됩니다. 공개적으로 이용 가능한 소스에 출판된 경우정보 보안 도구, 기술적 수단 및 소프트웨어정보시스템에 사용됩니다.
ANZ.1 강화를 위한 요구 사항:
2) 운영자는 자신이 정한 빈도와 새로운 취약점에 대한 정보가 나타난 후에 정보 시스템에서 검색된 취약점 목록을 업데이트해야 합니다.

· FSTEC 방법론 문서에 따라 보안 분석은 중요한 취약점이나 업데이트에 대한 정보가 게시된 후 반드시 수행되어야 합니다.

· Windows OS의 경우 이러한 취약점은 평균적으로 나타납니다. 월간 간행물;

· 제 생각에는 현재의 위협을 무력화하기 위해서는 최소한 스캐너를 이용한 보안 분석이 수행되어야 한다고 생각합니다. 계간지

· 확인할 내용과 방법을 결정할 때 시작점으로 RS BR IBBS-2.6-2014에 대한 보안 평가 수행을 위한 부록 3 권장 사항 - 섹션 2 "알려진 취약성 식별"을 사용할 수 있습니다.

비차별적인 정보로부터 정보의 보안을 확인하는 것은 정보 보호 조치의 효과가 정보 보안에 대해 확립된 요구 사항이나 표준을 충족하는지 확인하는 것을 포함합니다. 이전 강의에서 논의한 모든 NSD 보호 수단 그룹이 테스트되었습니다.

규정 준수 여부가 확인되었습니다.설명 기술적 과정보호된 정보를 실제 프로세스에 맞게 처리하고 저장합니다.

기회가 평가되고 있습니다더 높은 수준의 기밀 정보를 낮은 수준의 정보매체에 전달하는 것.

분석 진행 중특정 OTSS 및 직원과 관련하여 접근 주체와 객체 간의 연결이 허용되거나 금지됩니다.

규정 준수 여부가 평가됩니다.처리의 모든 단계에서 보호 자원에 대한 직원의 접근을 허용하는 시스템에 대한 연결을 허용 및 금지합니다.

검증은 원칙적으로 소프트웨어 및 하드웨어-소프트웨어 보안 제어 도구를 사용하여 수행됩니다. 예를 들어, Information Security Center LLC라는 한 회사의 제품을 생각해 보십시오.

NSD "Inspector 2 XP"의 보안 제어 도구는 정보 자원에 대한 액세스 권한을 제어하도록 설계되었습니다.

  • PRD에 포함된 모든 정보 표시(보기만 가능)
  • 작업 허가서에 설명된 AWS 리소스의 구조와 실제 리소스 구조의 비교
  • 비교 결과를 바탕으로 보고서를 작성하는 단계;
  • 자동화된 작업장 개체에 대한 테스트 계획을 수립합니다.
  • 객체에 접근하기 위한 실제 사용자 접근 권한을 확인합니다.
  • 테스트 결과에 대한 보고서를 작성합니다.

네트워크 스캐너 "Network Inspector" 버전 3.0은 TCP/IP 스택 프로토콜을 사용하는 설치된 네트워크 소프트웨어 및 하드웨어의 취약점을 감지하도록 설계되었습니다. 시스템은 충분한 기회, 그 중 하나는 앞서 논의한 위협 및 취약점에 대한 FSTEC 데이터베이스에 포함된 취약점을 검색하는 것입니다. 또한 프로그램은 cve.mitre에 포함된 취약점을 검색합니다. org, ovaldb.altx-soft.ru, 마이크로소프트. com 및 기타 소스.

초기 상태를 수정하고 모니터링하는 수단 소프트웨어 패키지"FIX"는 무결성 하위 시스템을 제어하기 위한 것입니다. 프로그램의 주요 기능:

  • 소프트웨어 패키지의 초기 상태를 수정합니다.
  • 소프트웨어 패키지의 초기 상태를 모니터링합니다.
  • 디렉토리 고정 및 제어;
  • 지정된 파일(디렉토리)의 차이점 제어
  • 긴 파일 이름과 키릴 문자가 포함된 이름으로 작업하는 기능.

"TERRIER" 디스크에 있는 정보를 검색하고 파기를 보장하는 프로그램을 사용하면 정보 파기를 제어할 수 있습니다. 확인하려면 기밀 논리 디스크에 문자 조합을 제어하는 ​​파일을 생성하고 "TERRIER"를 사용하여 섹터를 찾은 다음 표준 도구를 사용하여 파일을 삭제하고 TERRIER를 사용하여 삭제를 제어해야 합니다.

18.4. 통제 결과의 문서화. 정보 보안 통제 요구 사항

정보 보안 조치의 효율성을 모니터링하는 수단과 해당 수단의 제조업체에 대해 다소 엄격한 요구 사항이 부과된다는 점에 유의해야 합니다. 2012년 3월 3일 정부 시행령 제171호로 승인된 "기밀 정보 보호 수단의 개발 및 생산을 위한 라이센스 활동에 관한 규정"에 따라 정보 보호 조치의 효율성을 모니터링하는 기술적 수단의 개발 및 생산이 이루어졌습니다. 라이센스가 적용됩니다. 그리고 보호 조치 자체의 효과를 모니터링하기 위해 개발 및 생산된 수단은 다음과 같아야 합니다. 적합성 증명서 1995년 6월 26일 러시아 연방 정부 법령 N 608 "정보 보안 수단 인증에 관한" 요구 사항에 따라 FSTEC.

보호 효과 모니터링은 다음과 같은 결론을 발표하는 것으로 끝납니다. 간략한 평가정보 보안과 관련된 정보화 개체의 준수, 위반 제거를 위한 구체적인 권장 사항, 정보화 개체의 보호 시스템을 확립된 요구 사항에 맞게 가져오기, 이 시스템 개선, 정보화 개체의 기능 모니터링을 위한 권장 사항. 테스트 보고서는 결론에 첨부되어 테스트 중에 얻은 결과를 확인하고 결론에 제공된 결론을 정당화합니다.

TKI의 효과성을 모니터링하는 것은 TKI 조치의 효과성에 대한 질적 및 양적 지표가 TKI의 요구 사항 또는 성과 표준에 부합하는지 확인하는 것으로 구성됩니다.

TZI의 효율성 모니터링에는 다음이 포함됩니다.

기술 정보의 효율성에 대한 기술적 통제 - 기술적 통제 수단을 사용하여 수행되는 기술 정보의 효율성에 대한 통제입니다.

TKI의 효율성에 대한 조직적 통제 - TKI 분야의 지침 및 규범적 및 방법론적 문서의 요구 사항에 따라 TKI에 대한 조치의 완전성과 타당성을 준수하는지 확인합니다.

(우리가 고려하고 있는) 기술 정보의 효율성에 대한 기술적 통제는 기술적 통제 수단을 사용하여 수행되는 기술 정보의 효율성에 대한 통제입니다.

제어의 목표와 목표, 검사 대상의 특성에 따라 기술 정보의 효율성에 대한 기술적 제어는 다음과 같습니다.

기술 정보의 구성 및 상태를 통제된 기술적 수단(정보화 개체)의 특징인 모든 가능한 기술 채널을 통한 유출, 정보에 대한 무단 접근 또는 정보에 대한 특별한 영향에 대해 종합적으로 점검할 때

정보 유출의 가능한 기술적 채널 중 하나를 통해 점검이 수행되는 경우, 보호된 매개변수가 있거나 보호된 정보가 유통되는 통제된 기술 수단의 특성을 대상으로 합니다.

선택적, 시설의 전체 기술적 수단 구성 중에서 예비 평가 결과에 따라 보호된 정보 유출을 위한 기술적 채널을 가질 가능성이 가장 높은 항목을 선택합니다.

기술 제어의 특정 조건에 따라 다음 방법을 사용하여 효율성 제어를 수행할 수 있습니다.

제어 중에 기술 측정 장비를 사용하고 정찰 기술 장비의 실제 작동 조건을 모델링하는 도구 방법;

제어 대상의 바로 근처에서 측정을 수행한 후 측정 결과를 정찰 기술 수단의 예상 위치(조건)로 다시 계산하는 기기 계산 방법.

계산 방법은 정찰 기술 수단의 실제 배치 조건 및 성능과 제어 대상의 알려진 특성을 기반으로 계산을 통해 기술 정보의 유효성을 평가하는 경우입니다.

기술적 통제 조치의 본질은 다음으로 인해 발생하는 기술적 채널을 통한 유출로부터 정보 보호의 효과에 대한 도구적(도구적 및 계산적) 검사를 수행하는 것입니다.

1) 정보화 대상의 기본 기술 장비 및 시스템(OTSS) 작동 중 측면 전자기 복사(PEMR)

3) OTSS PEMI의 적용 범위에 위치한 VTSS 연결 회선의 정보 신호 간섭;

4) OTSS 전원 공급 네트워크의 전류 소비가 고르지 않습니다.

5) 전용 건물에 설치된 VTSS를 통해 음성 정보를 가로채는 방법으로 선형 고주파 부과 및 전기 음향 변환이 있습니다.

기기 제어는 인증 및 인증 기관이 승인한 표준 프로그램 및 표준 방법에 따라 수행됩니다. 모든 측정 장비는 규정된 방식으로 도량형 기관의 인증을 받았습니다.

문제의 대상에 대한 기술적 통제 활동을 규제하는 주요 규범 및 방법론 문서는 다음과 같습니다.

2. GOST 29339-92. 정보 기술. 컴퓨터 기술에 의한 처리 중 측면 전자기 복사 및 간섭으로 인한 정보 누출로부터 정보를 보호합니다. 일반 기술 요구 사항

3. 컴퓨터 기술로 처리된 보호 정보를 전자파 방사 및 간섭으로 인한 누출로부터 모니터링하는 방법론적 문서 수집(PEMIN). 승인됨 2002년 11월 19일자 391호 러시아 국가 기술 위원회의 명령에 따라.

4. 주문 연방 서비스 2013년 2월 11일자 기술 및 수출 통제(러시아 FSTEK) N 17 모스크바

5. 2013년 2월 18일자 러시아 FSTEC 명령. 21호 "개인 데이터 정보 시스템에서 개인 데이터를 처리하는 동안 개인 데이터의 보안을 보장하기 위한 조직적, 기술적 조치의 구성 및 내용 승인."

기술 정보 상태 확인 보고서에는 다음 섹션이 포함되어야 합니다.

1. 통제대상에 관한 일반정보

2. 시설의 기술 및 기술 정보 정리에 관한 일반적인 문제

3. 정보화대상의 조직 및 보호상태

4. 정보화 개체의 보호 및 인증에 관해 러시아 FSTEC 허가권자가 수행하는 작업의 완전성과 품질

수단, 복합체, 물건 및 정보 처리 시스템에 대한 정보를 숨깁니다. 이러한 작업은 기술적인 작업과 조직적인 작업으로 나눌 수 있습니다.

개체에 대한 정보를 은폐하는 조직 작업의 목적은 직원이 정보를 공개하고 정보 채널을 통해 정보가 유출되는 것을 방지하는 것입니다.

기술 작업은 보호 대상의 기술적 마스킹 해제 징후와 이에 대한 정보 유출을 위한 기술 채널을 제거하거나 약화시키는 것을 목표로 합니다. 이 경우 은폐는 전자기적, 시간적, 구조적 및 기능 접근성을 줄이고 수단, 복합체, 객체, 정보 처리 및 제어 시스템 기능의 구조, 토폴로지 및 성격 간의 적절성을 약화시켜 수행됩니다.

이 문제에 대한 해결책은 수단, 단지 및 정보 처리 시스템에 대한 기본 요구 사항(정보 보안)의 충족을 보장하고 주요 목표 중 하나인 제거 또는 제거를 목표로 하는 일련의 조직적, 기술적 조치 및 조치의 구현을 나타냅니다. 기술 정찰 검색, 위치 결정, 무선 방출원의 무선 감시, 식별된 마스킹 해제 기능을 기반으로 한 기술 지능에 의한 물체 분류 및 식별을 상당히 복잡하게 만듭니다.

전자기 접근성을 줄이는 문제를 해결하면 에너지 감지와 무선 방출원이 있는 지역의 좌표 결정이 복잡해지고, 마스킹 해제 표시를 식별하는 시간이 늘어나고 무선 방출 수단의 매개변수 및 신호 측정 정확도가 감소합니다.

무선 방출 수단의 임시 가용성을 줄이는 것은 정보를 전송할 때 방사선을 위해 작동하는 시간을 줄이고 정보 처리 세션 간의 일시 중지 기간을 늘리는 것을 의미합니다. 정보 처리 도구, 단지 및 시스템의 구조적 및 특성적 접근성을 줄이기 위해 마스킹 해제 표시를 약화시키고 소위 "회색 배경"을 생성하는 조직적 및 기술적 조치가 구현됩니다.

클래스 1.2. 적의 잘못된 정보.

이 수업에는 일부 물건 및 제품의 실제 목적, 일부 정부 활동 영역의 실제 상태, 기업의 상황 등에 관해 고의적으로 허위 정보를 유포하는 작업이 포함됩니다.

허위 정보는 일반적으로 다양한 채널을 통해 허위 정보를 유포하고, 보호 대상의 개별 요소의 표시 및 속성을 시뮬레이션 또는 왜곡하고, ​​상대방이 관심 있는 대상과 외관 또는 표현이 유사한 허위 개체를 생성하는 등의 방식으로 수행됩니다.

대첩보 분야의 전문가인 A.F. Viviani는 허위 정보의 역할을 강조했습니다. 엄청난 양의 정보가 우리에게 떨어지고, 쏟아지고 있습니다. 가짜일 수도 있지만 믿을만해 보입니다. 사실일 수도 있지만 실제로는 거짓이라는 인상을 주기 위해 교묘하게 재구성되었습니다. 부분적으로는 거짓이고 부분적으로는 사실이다. 그것은 모두 소위 허위 정보라는 선택된 방법에 달려 있으며, 그 목적은 어떤 이유로든 우리에게 영향을 미칠 필요가 있는 사람들에게 유익한 방향으로 당신이 믿게 하고, 욕망하고, 생각하고, 결정을 내리게 만드는 것입니다...

국방 시설의 기술적 허위 정보는 정보 처리 시스템의 실제 목표, 군대의 그룹화 및 활동, 지휘 및 통제 기관의 의도와 관련하여 기술 정보를 오도하기 위한 조직적 조치와 기술적 조치의 복합체를 나타냅니다.

이 문제에 대한 해결책은 보호 대상의 기술적 마스킹 해제 기능을 왜곡하거나 허위 객체의 기술적 마스킹 해제 기능을 시뮬레이션함으로써 잘 알려진 작전용 무선 위장 프레임워크 내에서 수행됩니다.

기술적 허위정보의 구체적인 목적은 다음과 같습니다.

허위 객체의 기호에 해당하는 실제 객체 및 시스템의 마스크 해제 기호를 왜곡합니다.

실제 사물, 시스템 구조, 상황, 행동, 기능 등의 가려지지 않은 표시를 재현하여 잘못된 환경, 사물, 시스템, 복합체를 생성(모방)합니다.

허위정보를 처리시스템에 전송, 처리, 저장하는 행위

잘못된 통제 지점에서 수단, 복합체 및 정보 처리 시스템의 전투 활동 모방

잘못된 방향으로 실증적 행동에 힘과 수단을 참여시키는 행위

적에게 도청될 것이라는 기대를 가지고 허위 정보(무선 허위 정보)를 전송하는 것 등입니다.

일반적으로 이러한 작업은 라디오 모방, 라디오 허위 정보 및 실증 작업의 특정 작업으로 그룹화될 수 있습니다.