вводится в действие с 1.01.04 г. Это объясняется неготовностью российского ИТ сообщества не медленно перейти к использованию концепции и методики оценки безопасности ИТ, устанавлива емых этим стандартом. Потребуется приложить немало усилий для того, чтобы схема проведения оценки безопасности ИТ, основанная на подходе, предложенном в «Общих критериях», заработала и позволила бы получить реальные результаты. К настоящему времени на основе «Общих критери ев» уже подготовлены проекты Профилей защи ты для МЭ и других средств защиты информации. Для обеспечения преемственности результатов работ в области анализа защищенности АС, вы полненных по ныне действующим нормативным документам, также необходимо разработать ти повые стандартизированные профили защиты, соответствующие классам защищенности, уста навливаемым существующими РД Гостехкомис сии России. Несмотря на отсутствие каких либо стан дартизированных методик анализа защищеннос ти АС, типовую методику предложить все таки можно. Она включает в себя изучение исходных данных; анализ рисков и оценку политики безо пасности организации; анализ конфигурацион ных файлов маршрутизаторов, МЭ и прокси сер веров, почтовых и DNS серверов, а также других критических элементов сетевой инфраструкту ры; сканирование ЛВС снаружи и изнутри; ана лиз конфигурации серверов и рабочих станций ЛВС при помощи специализированных про граммных средств. Перечисленные методы исследования предполагают использование как активного, так и пассивного тестирования системы защиты, про изводимого вручную либо с применением специ ализированных программных средств. Арсенал программных средств, используе мых для анализа защищенности АС, достаточно широк. Причем во многих случаях свободно рас пространяемые программные продукты ничем не уступают коммерческим. Достаточно сравнить не коммерческий сканер NESSUS с его коммерчески ми аналогами. Однако на практике, при проведе нии достаточно глубоких исследований защищен
ности АС, полностью обойтись без коммерческих программных продуктов такого уровня как, напри мер, Symantec ESM и NetRecon, было бы непросто. Подводя итог всему вышесказанному, от метим, что в настоящее время вопросы анализа защищенности корпоративных АС являются хо рошо проработанными. Имеется богатый арсе нал средств и методов для проведения подобных работ. Отработанные методики проведения об следования (аудита) безопасности АС в соответ ствии с проверенными критериями, утвержден ными в качестве международных стандартов, де лают возможным получение исчерпывающей ин формации о свойствах АС, имеющих отношение к безопасности. На практике анализ защищенно сти АС проводится при помощи мощного про граммного инструментария, в достаточном объе ме представленного на рынке средств защиты информации. 1. Русский перевод стандарта BS7799 (Part II) можно прочитать в JetInfo On Line http://www.jetinfo.ru/annexes/16/ annex 16.html. 2. Официальный Web сайт Гостехкомиссии России – www.infotecs.ru/gtc. 3. Утилита MS Network Security Hotfix Checker (HFNetCheck) – http://www.microsoft.com/technet/treeview/d efault.asp?url=/technet/security/tools/ hfnetchk.asp 4. Microsoft Security Bulletin Search Web сайт: (http://www.microsoft.com/technet/tree view/default.asp?url=/technet/security/ Default.asp). 5. Комания St. Bernard Software (www.stbernard.com) – разработчик про граммы мониторинга установки программ ных коррекций UpdateExpert. 6. Symantec Security Response Team Web сайт – http://securityresponse.symantec.com/. Ссылки на WebKресурсы
Россия, 103006, Москва, Краснопролетарская, 6 тел. (095) 972 11 82, 972 13 32 факс (095) 972 07 91 email: JetInfo@jet.msk.su http://www.jetinfo.ru Главный редактор: Дмитриев В.Ю. (vlad@jet.msk.su)
ИНФОРМАЦИОННЫЙ БЮЛЛЕТЕНЬ
Издается с 1995 года
Издатель: компанияДжетИнфоПаблишер Полное или частичное воспроизведениематериалов, содержащихся в настоящемиздании, допускается только по согласованиюс издателем 32555 Подписной индекс по каталогу Роспечати
Made with FlippingBook - Online Brochure Maker