2015-08-21
839
Александр Астахов (CISA)
Введение
При создании информационной инфраструктуры корпоративной автоматизированной системы (АС) на базе современных компьютерных сетей неизбежно возникает вопрос о защищенности этой инфраструктуры от угроз безопасности информации. Насколько адекватны реализованные в АС механизмы безопасности существующим рискам? Можно ли доверять этой АС обработку (хранение, передачу) конфиденциальной информации? Имеются ли в текущей конфигурации АС ошибки, позволяющие потенциальным злоумышленникам обойти механизмы контроля доступа? Содержит ли установленное в АС программное обеспечение (ПО) уязвимости, которые могут быть использованы для взлома защиты? Как оценить уровень защищенности АС и как определить является ли он достаточным в данной среде функционирования? Какие контрмеры позволят реально повысить уровень защищенности АС? На какие критерии оценки защищенности следует ориентироваться и какие показатели защищенности использовать?
Такими вопросами рано или поздно задаются все специалисты ИТ-отделов, отделов защиты информации и других подразделений, отвечающих за эксплуатацию и сопровождение АС. Ответы на эти вопросы далеко неочевидны. Анализ защищенности АС от угроз безопасности информации - работа сложная. Умение оценивать и управлять рисками, знание типовых угроз и уязвимостей, критериев и подходов к анализу защищенности, владение методами анализа и специализированным инструментарием, знание различных программно-аппаратных платформ, используемых в современных компьютерных сетях - вот далеко не полный перечень профессиональных качеств, которыми должны обладать специалисты, проводящие работы по анализу защищенности АС.
|
|
|
Анализ защищенности является основным элементом таких взаимно пересекающихся видов работ как аттестация, аудит и обследование безопасности АС.
В настоящей статье обобщается существующий опыт проведения работ по анализу защищенности, дается обзор наиболее значимых стандартов в этой области, описываются методы анализа и используемый программный инструментарий.
Изложенный здесь подход не претендует ни на уникальность, ни на всеобъемлемость. С одной стороны, описываемые методы и программные средства анализа защищенности являются достаточно распространенными и уже давно с успехом используются на практике. С другой стороны, вполне возможно получение таких же (либо еще более убедительных) результатов с использованием других методов и средств.
