Главная страница
Навигация по странице:

  • Социальный инжиниринг

  • Тестирование на проникновение

  • Уровень зрелости

  • Методические рекомендации по проведению контроля состояния системы


    Скачать 149.79 Kb.
    НазваниеМетодические рекомендации по проведению контроля состояния системы
    Дата20.10.2021
    Размер149.79 Kb.
    Формат файлаdocx
    Имя файлаprilozhenie-metodicheskie-rekomendatsii-po-provedeniyu-kontrolya.docx
    ТипМетодические рекомендации
    #252177
    страница1 из 11
      1   2   3   4   5   6   7   8   9   10   11

    МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ

    по проведению контроля состояния системы

    защиты информации в учреждениях

    Термины и определения
    Система защиты информации – совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.

    Социальный инжиниринг – совокупность приёмов, методов и технологий создания такого пространства, условий и обстоятельств, максимально эффективно приводящей к конкретному необходимому результату с использованием социологии и психологии.

    Тестирование на проникновение – оценка безопасности информационной системы или компьютерных сетей средствами моделирования (имитации) действий потенциального злоумышленника (нарушителя).

    Уровень зрелости – этап развития организации в соответствии со стандартизованными моделями оценки уровня зрелости управления. Уровни проходятся последовательно и определяются различными характеристиками, включающими миссию, ценности, стратегию, организационную структуру.

    Хост – любое устройство, предоставляющее сервисы формата "клиент– сервер" в режиме сервера по каким–либо интерфейсам и уникально определённое на этих интерфейсах. В более частном случае под хостом могут понимать любой компьютер, сервер, подключённый к локальной или глобальной сети.


    1. Общие сведения




      1. Методические рекомендации по проведению контроля состояния системы защиты информации в организациях и учреждениях, подведомственных органам исполнительной власти края (далее – методические рекомендации) разработаны во исполнение п. 2.3.3 Протокола заседания совета по информационной безопасности при Губернатора края от 11.12.2018 № 69.

      2. Методические рекомендации предназначены для организации работ по защите любой информации, за исключением сведений, составляющих государственную тайну.

      3. Методические рекомендации предназначены для организаций и учреждений, подведомственных органам исполнительной власти края (далее – подведомственные учреждения) и не исключают обязанность исполнения иных требований по защите информации.




    1. Виды контроля состояния системы защиты информации

      1. Контроль состояния системы защиты информации бывает внешним и внутренним.

      2. Внешний инспекционный контроль проводится федеральными органами исполнительной власти, уполномоченными в области защиты информации (далее – регуляторы). Также внешний контроль может проводиться курирующим органом исполнительной власти края.

      3. Внутренний контроль организуется и проводится сотрудниками, ответственными за обеспечение безопасности информации, назначенными правовым актом подведомственного учреждения (далее – ответственный за обеспечение безопасности информации).

      4. Виды внутреннего контроля:

    • выполнение требований действующего законодательства в области защиты информации;

    • оценка состояния защищенности локальной вычислительной сети;

    • оценка уязвимостей;

    • тестирование на проникновение.

      1. Внешний контроль.

        1. Внешний контроль проводится регуляторами по соответствующим планам работ.

        2. За подготовку к внешнему контролю рекомендуется назначать ответственного за обеспечение безопасности информации. Руководители структурных подразделений подведомственного учреждения оказывают всестороннее содействие в работе назначенного сотрудника.

        3. Согласно части 8 статьи 16 Федерального закона от 26.12.2008 № 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" целесообразно вести журнал учета проверок. Типовая форма приведена в приложении № 1.

      2. Внутренний контроль.

        1. Выполнение требований действующего законодательства в области защиты информации.

          1. Выполнение требований действующего законодательства в области защиты информации проводится для процессов, в рамках которых обрабатывается информация ограниченного доступа, а также другая информация, если это установлено действующим законодательством (обработка персональных данных без использования средств автоматизации, служебное делопроизводство документов с пометкой "для служебного пользования", организация работ с средствами криптографической защитой информации, функционирование государственных информационных систем, информационных систем персональных данных, объектов ключевой информационной инфраструктуры и т.п.).

          2. Мероприятия по контролю соблюдения требований действующего законодательства в области защиты информации включают проверку выполнения:

    • организационных мер;

    • технических мер.

          1. Типовой перечень рассматриваемых вопросов приведен в приложении №2. Приложенный типовой перечень не включает вопросы защиты объектов критической информационной инфраструктуры.

          2. Мероприятия по контролю соблюдения требований действующего законодательства рекомендуется проводить ответственному за обеспечение безопасности информации при всестороннем содействии всех сотрудников подведомственного учреждения.

          3. Рекомендуемая периодичность проведения мероприятий – не реже 1 раза в год.

        1. Оценка состояния защищенности локальной вычислительной сети.

          1. Оценка состояния защищенности локальной вычислительной сети может проводиться собственными силами и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.

          2. Оценку состояния защищенности локальной вычислительной сети целесообразно проводить на любом уровне зрелости управления процессами информационной безопасности.

          3. Типовой перечень вопросов, рассматриваемых в ходе контрольных мероприятий приведен в приложении №3.

          4. Рекомендуемая периодичность проведения оценки состояния защищенности локальной вычислительной сети – не реже 1 раза в год.

        2. Тестирование на проникновение.

          1. Тестирование на проникновение могут проводиться собственными силами и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.

          2. Тестирование на проникновение проводится компетентными сотрудниками в области компьютерных атак.

          3. Типы тестирования на проникновение:

            1. Командное взаимодействие при проведении тестирования на проникновение (Red Team). Мероприятия проводятся с одной стороны в режиме проведения реальных компьютерных атак (этичный хакинг) и противодействия атакам со стороны ответственных за обеспечение безопасности информации, с другой стороны. Целью проведения таких мероприятий является проверка эффективности деятельности ответственных за обеспечение безопасности информации, их квалификация, а также выявления "узких" слабых мест в системе защиты информации. Командное взаимодействие целесообразно проводить на наивысшем уровне зрелости управления процессами информационной безопасности.

            2. Тестирование на проникновение без участия ответственных за обеспечение безопасности информации.

          4. Виды тестирования на проникновение:

    • внешнее тестирование на проникновение;

    • внутреннее тестирование на проникновение;

    • тестирование на проникновение с применением методов социального инжиниринга.

          1. Внешнее тестирование на проникновение является имитацией компьютерных атак в отношении внешних информационных ресурсов подведомственного учреждения (информационные ресурсы, доступные со стороны сети Интернет – официальные сайты, внешние IP адреса, почтовые серверы и т.п.).

          2. Внутреннее тестирование на проникновение является имитацией действий злоумышленника после его проникновения в атакуемую локальную вычислительную сеть. Такой вид тестирования подразумевает повышение привилегий на захваченном хосте, разведка окружающих хостов с дальнейшими попытки их взлома.

          3. Целью проведения внешнего и внутреннего тестирования на проникновение является проверка защищенности информационных ресурсов на устойчивость к компьютерным атакам. Такие виды тестирования на проникновение возможно проводить на любом уровне зрелости управления процессами информационной безопасности с соблюдением следующего условия – целесообразно предварительно предупреждать сотрудников и (или) структурные подразделения, ответственные в подведомственном учреждении за информационные технологии.

          4. Тестирование на проникновение с применением методов социального инжиниринга проводится для проверки уровня осведомленности сотрудников подведомственного учреждениях в вопросах информационной безопасности. Это может быть имитация спам–рассылки через электронную почту, подкидывание флеш–накопителей с заранее записанными на них "вредоносными" программами, вытягивание данных учетных записей (имена пользователей и их пароли) путем маскировки под техническую поддержку и иные манипулятивные способы, направленные на психологические слабости, свойственные людям.

          5. Тестирование на проникновение целесообразно проводить по мере необходимости и наличию финансовых средств.

          6. Рекомендуемое содержание отчета по результатам тестирования на проникновение приведено в приложении №4.

        1. Оценка уязвимостей.

          1. Оценка уязвимостей проводится с целью выявления уязвимостей в системном и прикладном программном обеспечении для их дальнейшего устранения.

          2. Оценка уязвимостей может проводиться как собственными силами (оценку проводит ответственный за обеспечение безопасности информации), так с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.

          3. Мероприятия по оценке уязвимостей могут проводиться ручными и инструментальными методами.

          4. Ручная оценка уязвимостей проводится путем проверки состояния созданных сервисов и версий программного обеспечения с дальнейшим изучением наличия в них уязвимостей путем сбора данных с общедоступных источников (банк данных угроз ФСТЭК России https://bdu.fstec.ru, база данных уязвимостей https://www.cvedetails.com, официальные сайты программного обеспечения и т.п.).

          5. Инструментальная оценка уязвимостей осуществляется с помощью специализированного программного обеспечения (сканеры сети, сканеры безопасности и т.п.).

          6. Периодичность проведения оценки уязвимости:

    • для информационных систем, в отношении которых действующим законодательством Российской Федерации установлены требования по защите информации – периодичность определяется в соответствующих правовых и нормативно–правовых актах;

    • для иных информационных систем и (или) локальной вычислительной сети – не реже 1 раза в год.




    1. Порядок проведения внутреннего контроля состояния системы защиты информации




      1. В подведомственном учреждении разрабатывается документ, определяющий регламент проведения внутреннего контроля, предусматривающий особенности функционирования конкретного подведомственного учреждения. В документе определяются ответственные исполнители (сотрудники, организующие и осуществляющие внутренний контроль), сроки проведения внутреннего контроля, виды и типы внутреннего контроля, перечень проверяемых вопросов, формы отчетности, порядок доведения результатов проведенных работ по руководителя подведомственного учреждения, а также порядок устранения выявленных недостатков.

      2. Общие рекомендации по проведению внутреннего контроля.

        1. Мероприятия по внутреннему контролю состояния системы защиты информации включаются в ежегодный план организационно– технических мероприятий, утверждаемый руководителем подведомственного учреждения.

        2. Тип и виды внутреннего контроля, а также необходимость привлечения на договорной основе сторонних организаций, целесообразно выбирать исходя из квалификации ответственных за обеспечение безопасности информации, финансового обеспечения и текущих нужд подведомственного учреждения.

        3. Материалы проверки (справки, отчеты) содержат сведения о системе защиты информации, которым следует присваивать ограничительную пометку "для служебного пользования".

        4. В случае выявления недостатков составляется план по их устранению.

        5. Информацию о выявленных грубых нарушений требований по защите информации, ставшая известной в ходе контрольных мероприятий, рекомендуется доводить до руководителя подведомственных учреждений для принятия управленческих решений.



    ______________

    Приложение №1

    к методическим рекомендациям по проведению контроля состояния системы защиты

    ЖУРНАЛ

    учета проверок юридического лица, индивидуального

    предпринимателя, проводимых органами государственного

    контроля (надзора), органами муниципального контроля

    ______________________________________

    (дата начала ведения журнала)
    __________________________________________________________________________________________

    __________________________________________________________________________________________

    __________________________________________________________________________________________ (наименование юридического лица/фамилия, имя, отчество (в случае, если имеется) индивидуального
    предпринимателя)

    __________________________________________________________________________________________

    __________________________________________________________________________________________

    __________________________________________________________________________________________

    (адрес (место нахождения) постоянно действующего исполнительного органа юридического лица/место
    жительства (место осуществления деятельности (если не совпадает с местом жительства) индивидуального предпринимателя)

    __________________________________________________________________________________________

    __________________________________________________________________________________________

    (государственный регистрационный номер записи о государственной регистрации юридического
    лица/индивидуального предпринимателя, идентификационный номер налогоплательщика (для
    индивидуального предпринимателя); номер реестровой записи и дата включения сведений в реестр
    субъектов малого или среднего предпринимательства (для субъектов малого или среднего
    предпринимательства))
    Ответственное лицо: _______________________________________________________________________

    __________________________________________________________________________________________

    (фамилия, имя, отчество (в случае, если имеется), должность лица (лиц), ответственного за ведение
    журнала учета проверок)
    __________________________________________________________________________________________

    _________________________________________________________________________________________

    (фамилия, имя, отчество (в случае, если имеется) руководителя юридического лица, индивидуального
    предпринимателя)


    Подпись: ____________________________________________________

    М.П.
    Сведения о проводимых проверках


    1

    Дата начала и окончания проверки




    2

    Общее время проведения проверки




    3

    Наименование органа государственного контроля (надзора), наименование органа муниципального контроля




    4

    Дата и номер распоряжения или приказа о проведении проверки




    5

    Цель, задачи и предмет проверки




    6

    Вид проверки (плановая или внеплановая):

    в отношении плановой проверки:

    – со ссылкой на ежегодный план проведения проверок;

    в отношении внеплановой выездной проверки:

    – с указанием на дату и номер решения прокурора о согласовании проведения проверки (в случае, если такое согласование необходимо)




    7

    Дата и номер акта, составленного по результатам проверки, дата его вручения представителю юридического лица




    8

    Выявленные нарушения обязательных требований (указываются содержание выявленного нарушения со ссылкой на положение нормативного правового акта, которым установлено нарушенное требование, допустившее его лицо)




    9

    Дата, номер и содержание выданного предписания об устранении выявленных нарушений




    10

    Фамилия, имя, отчество (в случае, если имеется), должность должностного лица (должностных лиц), проводящего(их) проверку




    11

    Фамилия, имя, отчество (в случае, если имеется), должности экспертов, представителей экспертных организаций, привлеченных к проведению проверки




    12

    Подпись должностного лица (лиц), проводившего проверку




    Приложение №2

    к методическим рекомендациям по проведению контроля состояния системы защиты информации

    ТИПОВОЙ ПЕРЕЧЕНЬ

    вопросов, рассматриваемых в ходе контроля выполнения требований действующего законодательства в области защиты информации

    1.   1   2   3   4   5   6   7   8   9   10   11


    написать администратору сайта