여는 방법 

TZI 제어 목록 및 타이밍. 정보 보안 상태를 모니터링합니다. 통제 결과의 문서화. 정보 보안 통제 요구 사항

상태 모니터링 정보 보호(이하 통제라고 함)은 기술적 채널을 통한 정보 유출, 정보에 대한 무단 액세스, 정보에 대한 고의적인 소프트웨어 및 하드웨어 영향을 적시에 감지하고 예방하는 것을 목표로 수행됩니다.

통제는 입법 행위의 이행을 확인하는 것으로 구성됩니다. 러시아 연방정보 보호 문제, 러시아 FSTEC의 결정, 정보 보호에 대해 승인된 요구 사항 및 표준 준수를 보장하기 위해 취한 보호 조치의 타당성과 효율성을 평가합니다.

통제가 조직화된다 연방 서비스기술 및 수출 통제를 위해 러시아 연방 보안국, 러시아 연방 내무부, 러시아 연방 국방부, 러시아 연방 해외 정보국 및 러시아 연방 보안국 국가 정보 보호 시스템에 포함된 정부 기관의 연합, 구조 및 부문 간 부서 및 역량에 따른 기업.

기업 검사 행위는 해당 관리자가 검사를 실시한 기관과 기업의 종속에 따라 정부 기관에 전송됩니다.

러시아 FSTEC은 연방 지역에 있는 러시아 FSTEC 중앙 사무소와 부서를 통해 통제를 조직합니다. 이러한 목적을 위해 정부 당국의 정보 보호 부서가 포함될 수 있습니다.

러시아 FSTEC의 중앙 장치는 권한 내에서 정부 기관 및 기업에 대한 통제를 수행하며 통제 작업에 대한 방법론적 지침을 제공합니다(보호가 러시아 FSB의 권한 내에 있는 대상 및 기술적 수단 제외). , 러시아 내무부, 러시아 국방부, 러시아 해외 정보국, FSO 러시아).

연방 지역에 있는 러시아의 FSTEC 부서는 자신의 권한 내에서 이러한 센터의 책임 영역에 위치한 정부 기관 및 기업에 대한 통제권을 행사합니다.

국가 당국은 정보 보호 부서를 통해 산하 기업을 조직하고 통제합니다. 기업의 정보 보안 상태에 대한 일상적인 모니터링은 정보 보안 부서에서 수행됩니다.

국가 또는 공식 비밀로 분류된 정보를 사용하여 작업을 수행할 때 비정부 부문 기업에 대한 통제는 정부 기관, 러시아 FSTEC, 러시아 FSB 및 해당 작업 고객이 역량에 따라 수행합니다.

취해진 조치가 확립된 요구 사항이나 표준을 준수하는 경우 정보 보호가 효과적인 것으로 간주됩니다.

정보 보호를 위해 확립된 요구 사항이나 표준을 준수하지 않는 것은 위반입니다. 위반은 심각도에 따라 세 가지 범주로 나뉩니다.

    첫 번째는 정보 보호에 대한 요구 사항이나 표준을 준수하지 않아 기술 채널을 통해 정보가 유출될 가능성이 있거나 실제로 발생할 가능성이 있는 경우입니다.

    두 번째는 정보 보호 요구 사항을 준수하지 않아 기술 채널을 통한 정보 유출에 대한 전제 조건이 생성되는 것입니다.

    세 번째는 기타 정보 보호 요구 사항을 준수하지 않는 것입니다.

첫 번째 범주의 위반 사항이 적발된 경우 정부 기관 및 기업의 책임자는 다음을 수행할 의무가 있습니다.

    위반사항이 발견된 현장(작업장)에서는 즉시 작업을 중단하고 이를 제거하기 위한 조치를 취합니다.

    향후 위반을 방지하고 가해자를 처벌하기 위해 규정된 방식으로 위반의 원인과 조건에 대한 조사를 조직합니다.

    발견된 위반 사항과 취해진 조치에 대해 러시아 FSTEC, 러시아 FSB, 정부 기관 지도부 및 고객에게 알립니다.

작업 재개는 위반 사항이 제거되고 취해진 조치의 충분성과 효율성이 러시아 FSTEC 또는 정부 기관 정보 보호 부서의 지시에 따라 검증된 후에 허용됩니다.

두 번째 및 세 번째 범주의 위반 사항이 적발된 경우, 감찰을 받은 정부 기관 및 기업의 장은 점검을 수행한 기관 또는 고객(고객 대표)과 합의한 기간 내에 이를 제거하기 위해 필요한 조치를 취할 의무가 있습니다. . 이러한 위반 제거에 대한 통제는 해당 정부 기관 및 기업의 정보 보호 부서에서 수행합니다.

1. 기술정보 보호 업무 조직:

1.1.엔지니어링 인력의 국가 및 공적 비밀로 분류된 정보와 기술 채널을 통한 유출로부터 기술적 보호 조직:

  • 기술 정보 보안 문제에 관한 지침과 규제 및 기술 문서의 가용성
  • 기술 정보 보호를 위한 구조 단위의 활동을 규제하는 문서의 가용성(작업, 기능적 책임등.);
  • 기술 채널을 통한 정보 유출의 실제 위험에 대한 분석 및 평가, 보호해야 할 정보 유출의 가능한 기술 채널 식별에 대한 완전성 및 정확성
  • 정보 보호를 위한 조직적, 기술적 조치 개발의 완전성, 품질 및 타당성, 구현 절차
  • 기술 정보 보안 상태와 그 효율성을 구성하고 모니터링하는 절차
  • 관리 문서, 러시아 국가 기술위원회의 결정, 기술 정보 보호에 관한 규제, 기술 및 방법론 문서의 요구 사항 준수의 적시성 및 완전성.

1.2. 구조 단위의 활동 연구 및 분석 (책임 공무원), 보호할 정보의 보안을 보장하기 위해 해결하는 작업 및 기능적 책임을 다합니다.

1.3. 순환하는 정보에 대한 지능적 접근을 특징짓는 자료 분석 구조적 구분. 1000m 구역 내 존재 감지 외국 사절단, 치외법권권, 외국 전문가의 거주지 권리를 누리고 있습니다.

1.4 보호 대상 정보 목록의 연구 및 분석:

  • 보호 대상 정보 목록의 가용성 기술적 수단기술 채널을 통한 정보 유출:
  • 이 정보를 드러내는 마스크 해제 표시 정의의 완전성과 정확성;

1.5 정보 보안 시스템의 가용성:

  • 통일된 기관 시스템의 일부인 조직 및 부서의 활동을 규제하는 조직 및 행정 문서의 정보 기술 보호를 위한 작업 존재 정부가 통제하는러시아 연방에서는;
  • 부처(부서) 중앙 사무소와 산하 기업, 조직 및 기관의 정보 기술 보호에 관한 작업의 조직 및 실행
  • 다른 부처(부서) 및 기타 제3자 조직과의 기술 정보 보안 문제에 대한 상호 작용
  • 함께 일하는 부처(부서) 산하의 모든 기업, 기관 및 조직에서 국가 및 공적 비밀을 구성하는 정보 보호의 효율성에 대한 통제를 보장합니다.

1.6 부처(부처) 및 산하 기업, 조직, 기관의 활동 중 국가기밀로 분류된 정보가 유출될 수 있는 기술적 경로 분석.

1.7 구조적 분할 기능 중 정보 흐름 분석.

1.8 정보 처리와 관련된 하드웨어 및 소프트웨어 구성, 위치, 정보 처리 기술 및 보호 상태 분석:

  • 보호 대상 정보 처리와 관련된 국내 및 수입 생산의 모든 하드웨어 및 소프트웨어에 대한 회계 상태
  • 전자 장비의 배치, TSPI(설치된 장소와 관련하여), 정보 배치 경로 및 통제 영역을 넘어 확장되는 비정보 회로.

1.9 자동 제어 시스템, 컴퓨터 및 기타 기술적 수단에서 처리되는 정보의 가용성 분석을 수행합니다.

1.10 정보 자원에 대한 유지 관리 및 운영 인력의 접근 조직 및 실제 상태에 대한 연구.

2. 정보보안 현황 모니터링:

정보 및 통신 시스템 및 수단의 정보 보안 조직:

  • 국가 및 공무 비밀로 분류된 정보 처리와 관련된 자동화, 통신 시스템 및 수단에 대한 인증을 수행합니다.
  • 내장된 장치를 식별하기 위한 특별 검사 수행
  • 정보 처리 프로세스 자동화, 회계, 저장, 자기 미디어 액세스를 담당하는 구조 단위의 활동, 사람의 책임정보 보안 책임자;
  • 정보 보안 시스템의 적시성과 올바른 구현, 기밀 정보 처리 권한 획득
  • 기술적 수단과 개별 요소의 올바른 배치 및 사용;
  • 측면 전자기 복사 및 간섭, 전기 음향 변환으로 인한 정보 누출로부터 정보를 보호하기 위한 조치를 적용했습니다.
  • 정보에 대한 무단 접근을 방지하고 기술적 수단을 통해 구내 및 보호 대상에서 음성 정보를 가로채는 것을 방지하기 위해 취한 조치입니다.

2.1 무단 액세스(NAD)로부터

무단 액세스로부터 소프트웨어 및 정보 자원의 보호 상태를 확인할 때 다음 조치를 수행하는 것이 좋습니다.

2.1.1 사용되는 자동화 시스템의 등급 결정 운영 체제, 무단 액세스 및 기타 소프트웨어로부터 보호 시스템. 2.1.2 AS 또는 SVT에 유통되는 정보의 기술적 보호를 위한 조직적, 기술적 조치의 이행을 확인합니다. 2.1.3 소프트웨어 및 하드웨어 보호 도구의 가용성, 설치 품질, 운영 절차를 확인합니다. 2.1.4 AS 및 SVT가 처리하는 정보 보안 수단의 제어 테스트를 준비 및 수행하고, 기계 테스트 보고서를 생성하고 분석합니다. 2.1.5 테스트 결과를 분석하고 보호 장비의 실제 특성과 보안 지표 준수 여부를 설정합니다. 자동화 시스템. 2.1.6 특별한 소프트웨어 영향이 없는지 확인하기 위해 하나 이상의 PC(별도 또는 로컬 컴퓨터 네트워크의 일부)의 소프트웨어 및 정보 지원에 대한 조사를 수행합니다.

  • 컴퓨터 소프트웨어 감염의 간접적 및 직접적인 징후에 대한 정보 및 컴퓨터 "바이러스"에 대한 정보 분석
  • 특별한 소프트웨어 영향으로부터 정보를 보호하기 위한 회로 기술, 소프트웨어 하드웨어, 조직 및 기타 솔루션 분석, "바이러스" 침투 채널을 식별하기 위해 소프트웨어 제품을 얻는 방법 및 사용 절차 공격자에 의해 특별 프로그램 AC 또는 SVT에서;
  • 소프트웨어 및 정보 지원, 시스템 전체 및 응용 프로그램 소프트웨어의 무결성을 모니터링하고 정보를 왜곡(파괴)하기 위한 숨겨진 소프트웨어 메커니즘을 검색합니다.

2.2 측면 전자파 방사 및 간섭으로 인한 정보 유출 방지(PEMIN)

2.2.1 기존 테스트 프로그램의 적용 가능성을 분석하거나 테스트 중인 특정 기술 도구에 대한 새로운 프로그램을 개발합니다.
2.2.2 초기 정보를 기반으로 기기 제어를 위한 정보를 전송, 저장 및 처리하는 기술적 수단을 선택합니다.
2.2.3 PEMIN으로 보호되는 기술 장비의 누출 방지 효과에 대한 기기 모니터링을 수행합니다.

2.3 간섭 및 음장으로 인해 전용실에 유통되는 음성정보의 유출로부터

지정된 장소에서 유통되는 음성 정보의 보호 상태를 확인할 때 다음을 수행하는 것이 좋습니다.

2.3.1 관리 직원의 사무실 건물과 기밀 협상이 수행되거나 기밀 정보 처리를 위한 기술적 수단이 설치된 건물에서 순환하는 음성 정보의 가용성을 분석합니다.

  • 할당된 건물과 그 안에 설치된 주(OTSS) 및 보조 건물 배치 조건을 연구합니다. 기술 시스템연결선을 배치하기 위한 수단(VTSS), 배치 다이어그램 및 경로;
  • 통제 구역(GKZ)의 경계를 넘어서는 선을 식별합니다.
  • 정찰 상황을 명확히 하고, 위험한 정찰 방향과 음향 정찰 장비의 가능한 위치를 결정합니다.
  • 음성 정보 보호에 관한 작업 문서의 가용성과 품질을 확인합니다.

2.3.2 지정된 장소에서 유통되는 음성정보를 보호하기 위한 조직적, 기술적 조치의 이행을 점검합니다. 이 경우 다음과 같은 조치를 취하는 것이 좋습니다.
  • TSPI 정보를 전송, 저장 및 처리하는 기술적 수단에 대한 운영 지침 및 운영 절차의 요구 사항을 준수하는지 확인합니다(지정된 모든 장소 우회).
  • 할당된 건물 분류의 적시성과 정확성, 시운전 중 인증 절차, 기밀 행사 수행 및 기밀 협상 수행 권리에 대한 허가 발급을 확인합니다.
  • 기술 채널을 통한 음성 정보 유출 방지 수단의 가용성, 설치 품질 및 운영 절차를 확인합니다.
  • 기술 장비의 특별 검사 수행 요구 사항 준수 여부 확인(특수 방출 장치가 없는 경우)

2.3.3 가능한 기술적 유출 경로를 식별하기 위해 TSPI가 처리하고 전송하는 전용 공간에서 순환하는 음성 정보의 보안에 대한 도구적 모니터링을 수행합니다.

. 러시아 연방 "국가 비밀"법의 요구 사항 준수 모니터링

외국인 수용 절차 및 요건 준수 규제 문서. 외국 대표가 기관(기업)을 방문할 때 적용되는 정보 보안 조치를 평가합니다. 외국 전문가 수용 전후 정보 유출, 인증 및 건물 특별 검사의 가능한 경로 분석에 방첩 전문가 참여. 입학 프로그램의 가용성, FSB 당국과의 조정. 정보의 기술적 보호를 위한 추가 조치의 개발 및 구현(필요한 경우)
3.1 국가 비밀과 관련된 문제에 대한 해결책을 제공하는 구조 단위, 직원, 교육 수준, 자격의 가용성을 확인합니다. 3.2 일반 구조 단위와 기술 보호에 관한 작업(서비스 제공)을 수행하는 외부 조직 모두에서 러시아 연방 "국가 비밀"법 시행과 관련된 작업을 수행할 권리에 대한 라이센스 가용성 확인 부처(부서) 및 그 부하 기업, 조직 및 기관의 이익을 위한 정보. 3.3 정보 기술 보호 문제에 관한 지침 문서 및 내용의 가용성 확인(RF 법률 "국가 비밀", 보호 대상 정보 목록 등). 3.4 부서의 기밀 유지 체제 상태와 기록 보관에 관한 관리 문서(시설 장비, 기밀 문서 기록 및 보관, 기록 보관 및 기밀 문서에 대한 접근) 준수 정도를 확인합니다. 3.5 기술 정보 보호에 관한 관리 문서의 요구 사항을 부서 직원에게 전달하는 적시성과 정확성, 직원의 지식을 확인합니다. 3.6 기술적 수단(전자제품, TSPI, 사무기기 등)을 사용할 때 기밀 수준에 따른 정보 분류의 정확성, 기록 및 저장 절차를 확인합니다. 3.7 기밀 문서의 인쇄(복제), 기록 및 이를 공연자에게 전달하는 절차의 정확성을 확인합니다. 3.8 직원이 기밀 정보를 취급하도록 허용하는 절차를 확인합니다. 3.9 문서의 기밀성(기밀해제) 정도를 낮추기 위해 업무 구성을 점검하고 수행자에게 정보를 전달합니다. 3.10 보호할 정보 처리와 관련된 기술적 수단과 할당된 시설에 대한 "적합성 인증서"의 가용성을 확인하고, 정보의 기술적 보호 수단에 대한 인증 문서를 확인하고 그 효과를 모니터링합니다.

4. 사업자 확인 시 고려해야 할 사항

4.1 확인됨:
  • 정보의 기술적 보호에 관한 작업을 수행할 권리에 대한 라이센스(허가) 가용성, 설정된 기한에 대한 라이센스의 유효성 확인 및 라이센스 사용자가 실제로 수행한 작업 준수 여부(1.5)*
  • 면허 소지자의 문서 가용성 주정부 등록 기업가 활동기업 정관(1.7)*
  • 생산 및 테스트 기반의 상태, 선언된 활동 유형에 대한 작업을 수행하기 위한 규제 및 방법론적 문서의 가용성(1.6)*
  • 선언된 유형의 활동에 대한 작업을 수행하기 위해 과학, 엔지니어링 및 기술 인력을 채용합니다. 업무 수행을 위한 전문가의 준비 수준(1.6)*
  • 전문적인 훈련라이센스를 받은 기업의 대표 및/또는 라이센스를 받은 활동을 관리하도록 권한을 부여받은 사람(1.7)*
  • 기밀 및 정보의 안전을 보장하기 위한 계약상의 의무 준수 물질적 자산육체적이고 법인라이센스 보유자의 서비스를 사용한 사람(2.4)*
  • 제출의 적시성과 완전성 정부 기관러시아 국가 기술위원회(2.4)*의 요구 사항에 따라 라이센스에 지정된 특정 유형의 활동에 대해 수행된 작업에 대한 정보를 라이센스 또는 라이센스 센터에 제공합니다.
  • 라이센스 사용자가 제공하는 서비스 품질(라이센스 사용자의 서비스를 사용한 1~3개 소비자 기업의 정보 기술 보호를 위해 라이센스 사용자가 취한 조치의 효율성 평가(3.2)*.

4.2 면허 소지자에 대한 검사 결과는 해당 결과에 따라 발급된 법령 또는 증명서의 별도 섹션 형태로 반영됩니다. 예정된 검사부처(부처)와 그 산하 기업, 조직, 기관. 얻은 결과를 바탕으로 면허 소지자가 확립된 요구 사항을 준수하는지와 명시된 영역에서 추가 작업을 수행할 수 있는지에 대한 결론이 내려집니다.

참고: *) "정보 보안 분야 활동에 대한 국가 허가에 관한 규정" 섹션은 괄호 안에 표시되어 있습니다.

개인 데이터 보안을 위한 통제/분석 조치가 UZ4 - UZ3부터 시작하는 기본 보호 조치 세트에 포함되어 있기 때문에 대부분의 개인 데이터 운영자는 보안 스캐너를 취득했습니다. 때때로 나는 다음과 같은 질문을 접하게 됩니다: 이 스캐너를 실행해야 하는가, 그렇다면 얼마나 자주, 무엇을 정확히 확인해야 하는지.

그것을 알아 내려고합시다 :
· 스캐너는 2013년 2월 18일 러시아 FSTEC 제21호 명령에 따라 의무적으로 개인 데이터 보안(APD)을 통제(분석)하기 위한 일련의 조치를 구현하는 데 사용됩니다.
러시아 연방의 규제 법률에 보안 검색 절차 또는 빈도에 대한 필수 요구 사항이 있는지 살펴보겠습니다.

러시아 FSTEC 명령 제21호
“8.8. 개인 데이터의 보안을 통제(분석)하기 위한 조치는 처리되는 개인 데이터의 보안 수준에 대한 통제를 보장해야 합니다. 정보 시스템, 정보시스템의 보안성을 분석하고 개인정보 보호시스템의 성능을 테스트하는 체계적인 활동을 수행합니다.
ANZ.1 정보 시스템 취약점의 식별, 분석 및 새로 식별된 취약점의 신속한 제거
ANZ.2 정보 보안 소프트웨어 업데이트를 포함한 소프트웨어 업데이트 설치 모니터링
ANZ.3 소프트웨어 및 정보 보안 도구의 성능, 설정 및 올바른 기능 모니터링
ANZ.4 하드웨어, 소프트웨어 및 정보 보안 수단의 구성 제어”

GOST R 51583-2014보호되는 스피커를 만드는 절차

보안 분석에 대한 요구 사항을 포함하는 추가 규정을 찾을 수 없습니다.

이는 러시아 연방의 법적 행위에서 주문 및 빈도에 대한 요구 사항이 포함되어 있지 않습니다.보안 검사 수행, 각각 검사 프로필 설정, 취약점 분석 빈도 운영자가 독립적으로 결정
그는 이 순서와 빈도를 어떻게 결정할 수 있습니까?

· 정보 시스템의 기능과 중요성, 사용된 소프트웨어의 구성, 소프트웨어 업데이트를 위한 내부 규칙부터 진행해야 할 가능성이 높습니다.

· 또한 스캔 결과를 기반으로 취약점에 대한 보고서를 생성하며, 취약점을 제거하고 누락된 업데이트를 설치하려면 여전히 해결해야 한다는 점을 이해해야 합니다. 책임자가 보고서를 처리하고 취약점을 수정할 시간을 갖는 것보다 더 자주 스캔을 수행하는 것은 의미가 없습니다. 스캔 빈도 > 취약점 보고서를 처리하는 데 걸리는 평균 시간

· 스캔 순서와 빈도를 결정할 때 정보 시스템 운영자는 해당 분야의 전문 지식을 바탕으로 안내받을 수 있습니다. 정보 보안, 보안 분석 활동 수행 경험, 외부 전문가 및 FSTEC 라이선스 사용자의 권장 사항, "권장" 또는 "모범 사례" 상태의 문서

· 보안 분석 조치가 반드시 이루어져야 한다는 점을 고려해야 합니다. 체계적인(FSTEC 주문 번호 21의 8.8항) 다음과 같아야 합니다. 충분한현재의 위협을 무력화하기 위해(정부 법령 제1119호 제2항)

최고의 방법론적 문서와 모범 사례에 무엇이 포함되어 있는지 살펴보겠습니다.

GOST R ISO/IEC 27002-2012
“12.6 기술적 취약점 관리
목표: 공개된 기술 취약점 악용으로 인한 위험을 줄입니다.

기술적 취약점 관리는 효과적이고 체계적이며 반복 가능한 방식으로 수행되어야 하며, 그 효과를 확인하기 위한 측정도 수행되어야 합니다. 이러한 고려 사항은 작동 중인 시스템과 사용 중인 기타 응용 프로그램에 적용되어야 합니다.
12.6.1 기술적 취약점 관리

통제 및 관리의 척도와 수단

사용된 정보 시스템의 기술적 취약성에 대한 시기적절한 정보를 얻고, 그러한 취약성에 대한 조직의 노출을 평가하고, 이와 관련된 위험을 해결하기 위한 적절한 조치를 취하는 것이 필요합니다.

지속적으로 업데이트되고 완전한 자산 목록(7.1 참조)은 효과적인 기술 취약성 관리를 위한 전제 조건입니다. 기술적 취약점 관리를 지원하는 데 필요한 특정 정보에는 소프트웨어 공급업체, 버전 번호, 현재 상태배포(예: 어떤 소프트웨어가 어떤 시스템에 설치되어 있는지) 및 조직의 소프트웨어를 담당하는 사람.

마찬가지로, 잠재적인 기술적 취약점이 식별되면 적시에 조치를 취해야 합니다. 기술적 취약점에 대한 효과적인 관리 프로세스를 만들려면 다음 권장 사항을 따라야 합니다.
a) 조직은 취약성 모니터링, 취약성 위험 평가, 소프트웨어 패치, 자산 추적 및 기타 조정 기능을 포함하여 기술적 취약성 관리와 관련된 역할과 책임을 정의하고 확립해야 합니다.
비) 정보 자원심각한 기술적 취약성을 식별하고 인식하는 데 사용될 내용은 자산 목록 목록(7.1.1 참조)을 기반으로 소프트웨어 및 기타 기술에 대해 결정되어야 합니다. 이러한 정보 자원은 목록이 변경되거나 다른 새로운 내용이 있을 때 업데이트되어야 합니다. 유용한 리소스;
c) 잠재적으로 심각한 기술적 취약점에 대한 통지에 대한 대응 시기를 결정하는 것이 필요합니다.
d) 잠재적인 기술적 취약성이 식별되면, 조직은 이와 관련된 위험과 취해야 할 조치를 결정해야 합니다. 이러한 조치에는 영향을 받는 시스템에 대한 패치 적용 및/또는 기타 제어 및 제어 구현이 포함될 수 있습니다.
e) 기술적 취약성을 얼마나 긴급하게 해결해야 하는지에 따라 변경 관리(12.5.1 참조)와 관련된 통제 또는 정보 보안 사고 대응 절차(13.2 참조)에 따라 취해지는 조치를 수행해야 합니다.
f) 패치 설치가 가능하다면, 패치 설치와 관련된 위험을 평가해야 합니다(취약성으로 인한 위험은 패치 설치 위험과 비교되어야 합니다).
g) 설치 전에 패치를 테스트하고 평가하여 해당 패치가 효과적이고 용인되어서는 안 되는 부작용을 초래하지 않는지 확인해야 합니다. 패치를 설치할 수 없는 경우 다음과 같은 다른 통제 및 통제를 고려해야 합니다.
1) 취약점과 관련된 서비스를 비활성화합니다.
2) 네트워크 경계의 방화벽과 같은 접근 제어를 조정하거나 추가합니다(11.4.5 참조).
3) 실제 공격을 탐지하거나 예방하기 위한 향상된 모니터링;
4) 취약성에 대한 인식 증가;
h) 감사 추적은 수행된 모든 절차를 기록해야 합니다.
i) 기술적 취약성 관리 프로세스는 효율성과 효율성에 대한 확신을 제공하기 위해 정기적으로 모니터링되고 평가되어야 합니다.
j) 우선, 다음과 같은 시스템에 주의를 기울여야 합니다. 높은 레벨위험.

추가 정보

기술적 취약성 관리 프로세스의 적절한 기능은 많은 조직에 중요하며 프로세스를 정기적으로 모니터링해야 합니다. 잠재적으로 심각한 기술적 취약점을 식별하려면 정확한 인벤토리가 중요합니다.

기술적 취약성 관리는 변경 관리의 하위 기능으로 간주될 수 있으므로 변경 관리 프로세스 및 절차의 이점을 누릴 수 있습니다(10.1.2 및 12.5.1 참조).

공급업체는 가능한 한 빨리 패치를 출시해야 한다는 상당한 압력을 받는 경우가 많습니다. 따라서 패치를 적용해도 문제가 제대로 해결되지 않을 수 있으며 부작용이 발생할 수 있습니다. 또한 어떤 경우에는 패치가 적용된 후 제거가 쉽지 않을 수 있습니다.

예를 들어 비용이나 리소스 부족으로 인해 패치에 대한 적절한 테스트를 수행할 수 없는 경우 다른 사용자의 경험을 바탕으로 관련 위험을 평가하기 위해 변경 구현 지연을 고려할 수 있습니다."

RS BR IBBS-2.6-2014
"10. 운영단계
10.1. 정보 보안 제공 측면에서 운영 단계의 주요 작업은 다음과 같습니다.
- ABS 보안에 대한 주기적인 평가(ABS 소프트웨어 구성 요소의 일반적인 취약성을 식별하기 위한 조치 수행, 침투 테스트)
10.2. 보안 평가 작업의 빈도는 결정에 따라 결정됩니다.
RF BS 조직. 뱅킹 결제 기술을 구현하는 데 사용되는 코어 뱅킹 시스템용
비논리적인 절차를 수행하는 것이 좋습니다. 종합평가보안 없음
1년에 한 번도 안 돼"

러시아 FSTEC의 방법론 문서 "국가 정보 시스템의 정보 보호 조치", 이는 운영자의 재량에 따라 개인 데이터의 보안을 보장하는 데 사용될 수도 있습니다.
“ANZ.1 정보 시스템 취약점의 식별, 분석 및 제거
취약점의 식별(검색), 분석, 제거는 정보시스템을 구축하고 운영하는 단계에서 이루어져야 한다. 운영 단계에서는 운영자가 설정한 간격으로 취약점 검색 및 분석이 수행됩니다. 동시에 필수사항입니다. 심각한 취약점에 대한취약점 검색 및 분석이 수행됩니다. 공개적으로 이용 가능한 소스에 출판된 경우정보 보안 도구, 기술적 수단 및 소프트웨어정보시스템에 사용됩니다.
ANZ.1 강화를 위한 요구 사항:
2) 운영자는 자신이 정한 빈도와 새로운 취약점에 대한 정보가 나타난 후에 정보 시스템에서 검색된 취약점 목록을 업데이트해야 합니다.

· FSTEC 방법론 문서에 따라 보안 분석은 중요한 취약점이나 업데이트에 대한 정보가 게시된 후 반드시 수행되어야 합니다.

· Windows OS의 경우 이러한 취약점은 평균적으로 나타납니다. 월간 간행물;

· 제 생각에는 현재의 위협을 무력화하기 위해서는 최소한 스캐너를 이용한 보안 분석이 수행되어야 한다고 생각합니다. 계간지

· 확인할 내용과 방법을 결정할 때 시작점으로 RS BR IBBS-2.6-2014에 대한 보안 평가 수행을 위한 부록 3 권장 사항 - 섹션 2 "알려진 취약성 식별"을 사용할 수 있습니다.

비차별적인 정보로부터 정보의 보안을 확인하는 것은 정보 보호 조치의 효과가 정보 보안에 대해 확립된 요구 사항이나 표준을 충족하는지 확인하는 것을 포함합니다. 이전 강의에서 논의한 모든 NSD 보호 수단 그룹이 테스트되었습니다.

규정 준수 여부가 확인되었습니다.설명 기술적 과정보호된 정보를 실제 프로세스에 맞게 처리하고 저장합니다.

기회가 평가되고 있습니다더 높은 수준의 기밀 정보를 낮은 수준의 정보매체에 전달하는 것.

분석 진행 중특정 OTSS 및 직원과 관련하여 접근 주체와 객체 간의 연결이 허용되거나 금지됩니다.

규정 준수 여부가 평가됩니다.처리의 모든 단계에서 보호 자원에 대한 직원의 접근을 허용하는 시스템에 대한 연결을 허용 및 금지합니다.

검증은 원칙적으로 소프트웨어 및 하드웨어-소프트웨어 보안 제어 도구를 사용하여 수행됩니다. 예를 들어, Information Security Center LLC라는 한 회사의 제품을 생각해 보십시오.

NSD "Inspector 2 XP"의 보안 제어 도구는 정보 자원에 대한 액세스 권한을 제어하도록 설계되었습니다.

  • PRD에 포함된 모든 정보 표시(보기만 가능)
  • 작업 허가서에 설명된 AWS 리소스의 구조와 실제 리소스 구조의 비교
  • 비교 결과를 바탕으로 보고서를 작성하는 단계;
  • 자동화된 작업장 개체에 대한 테스트 계획을 수립합니다.
  • 객체에 접근하기 위한 실제 사용자 접근 권한을 확인합니다.
  • 테스트 결과에 대한 보고서를 작성합니다.

네트워크 스캐너 "Network Inspector" 버전 3.0은 TCP/IP 스택 프로토콜을 사용하는 설치된 네트워크 소프트웨어 및 하드웨어의 취약점을 감지하도록 설계되었습니다. 시스템은 충분한 기회, 그 중 하나는 앞서 논의한 위협 및 취약점에 대한 FSTEC 데이터베이스에 포함된 취약점을 검색하는 것입니다. 또한 프로그램은 cve.mitre에 포함된 취약점을 검색합니다. org, ovaldb.altx-soft.ru, 마이크로소프트. com 및 기타 소스.

초기 상태를 수정하고 모니터링하는 수단 소프트웨어 패키지"FIX"는 무결성 하위 시스템을 제어하기 위한 것입니다. 프로그램의 주요 기능:

  • 소프트웨어 패키지의 초기 상태를 수정합니다.
  • 소프트웨어 패키지의 초기 상태를 모니터링합니다.
  • 디렉토리 고정 및 제어;
  • 지정된 파일(디렉토리)의 차이점 제어
  • 긴 파일 이름과 키릴 문자가 포함된 이름으로 작업하는 기능.

"TERRIER" 디스크에 있는 정보를 검색하고 파기를 보장하는 프로그램을 사용하면 정보 파기를 제어할 수 있습니다. 확인하려면 기밀 논리 디스크에 문자 조합을 제어하는 ​​파일을 생성하고 "TERRIER"를 사용하여 섹터를 찾은 다음 표준 도구를 사용하여 파일을 삭제하고 TERRIER를 사용하여 삭제를 제어해야 합니다.

18.4. 통제 결과의 문서화. 정보 보안 통제 요구 사항

정보 보안 조치의 효율성을 모니터링하는 수단과 해당 수단의 제조업체에 대해 다소 엄격한 요구 사항이 부과된다는 점에 유의해야 합니다. 2012년 3월 3일 정부 시행령 제171호로 승인된 "기밀 정보 보호 수단의 개발 및 생산을 위한 라이센스 활동에 관한 규정"에 따라 정보 보호 조치의 효율성을 모니터링하는 기술적 수단의 개발 및 생산이 이루어졌습니다. 라이센스가 적용됩니다. 그리고 보호 조치 자체의 효과를 모니터링하기 위해 개발 및 생산된 수단은 다음과 같아야 합니다. 적합성 증명서 1995년 6월 26일 러시아 연방 정부 법령 N 608 "정보 보안 수단 인증에 관한" 요구 사항에 따라 FSTEC.

보호 효과 모니터링은 다음과 같은 결론을 발표하는 것으로 끝납니다. 간략한 평가정보 보안과 관련된 정보화 개체의 준수, 위반 제거를 위한 구체적인 권장 사항, 정보화 개체의 보호 시스템을 확립된 요구 사항에 맞게 가져오기, 이 시스템 개선, 정보화 개체의 기능 모니터링을 위한 권장 사항. 테스트 보고서는 결론에 첨부되어 테스트 중에 얻은 결과를 확인하고 결론에 제공된 결론을 정당화합니다.