Приложение 4. Рекомендации к проведению контроля параметров настроек технических защитных мер (выявление ошибок конфигурации)
К ПРОВЕДЕНИЮ КОНТРОЛЯ ПАРАМЕТРОВ НАСТРОЕК ТЕХНИЧЕСКИХ
ЗАЩИТНЫХ МЕР (ВЫЯВЛЕНИЕ ОШИБОК КОНФИГУРАЦИИ)
1. Выявление ошибок конфигурации направлено на поддержание корректности функционирования подсистемы ИБ АБС. Для этого в составе рабочей документации АБС или в качестве отдельных внутренних документов организации БС РФ разрабатываются и утверждаются стандарты конфигурации программных и аппаратных компонентов АБС. Выявление ошибок конфигурации - исследование, направленное на поиск несоответствий между фактическими значениями параметров технических мер защиты и их эталонными значениями, установленными в стандартах конфигурации.
2. Исследователю должен быть предоставлен доступ к интерфейсам программных компонентов АБС, в том числе к операционной системе, специализированным банковским приложениям или альтернативный способ получения фактических параметров настройки технических мер защиты.
3. Исследование проводится с использованием стратегии белого ящика. Исследование может проводиться вручную или с использованием автоматизированных средств анализа защищенности. Ошибки конфигурации выявляются путем получения фактических значений параметров настроек и сравнения их с эталонными значениями. При этом:
- в случае, если фактическое значение параметра настройки задано явно, производится его сравнение с эталонным значением;
- в случае, если фактическое значение параметра конфигурации не задано или задано неявно, производится вычисление эффективного значения параметра настройки, которое затем сравнивается с эталонным значением.
Если параметр настройки не задан явно, устройство или программа использует значение по умолчанию, которое может зависеть от модели устройства или версии программы. В ряде случаев фактические параметры настройки задаются не явно, а в виде выражений, результаты вычисления которых зависят от фактических значений других параметров, переменных окружения. В этих случаях в ходе исследования должны быть определены эффективные значения параметров настройки с учетом особенностей их определения в рамках исследуемого компонента АБС.
4. Достоинствами данного метода являются:
- высокая достоверность сведений о выявленных несоответствиях стандартам конфигурации;
- высокая степень автоматизации, низкие требования к квалификации исследователя при использовании автоматизированных средств анализа;
- воспроизводимость исследования.
5. Недостатками данного метода являются:
- невозможность в ряде случаев оценить потенциал реализации каких-либо угроз при несоответствии отдельных настроек стандартам конфигурации. Одним из источников разработки стандартов конфигурации являются рекомендации разработчиков программного и аппаратного обеспечения. Как правило, разработчики не раскрывает информацию об угрозах, реализация которых становится возможной при невыполнении этих рекомендаций;
- необходимость предоставления исследователю привилегированного доступа к компонентам АБС;
- высокие требования к квалификации исследователя в случае, когда необходимо вычисление эффективных значений параметров конфигурации, а также в случае проведения исследования без использования автоматизированных средств анализа.
6. По результатам исследования разрабатывается отчет, содержащий перечень исследованных компонентов АБС, перечень выявленных несоответствий стандартам конфигурации и рекомендации по их устранению.
7. В случае если изменение параметров настройки не было вызвано технической необходимостью, рекомендуется проведение оперативной перенастройки компонентов АБС.
Если изменение параметров настройки было вызвано технической необходимостью и возврат к эталонным значениям может повлечь нарушение функционирования АБС, рекомендуется проведение оценки критичности влияния значений параметров настройки на защищенность АБС. В случае отсутствия такого влияния или несущественного увеличения рисков нарушения ИБ рекомендуется внесение соответствующих изменений в эксплуатационную документацию (стандарты конфигурации). В случае существенного увеличения рисков нарушения ИБ рекомендуется проведение модернизации АБС или ее отдельных компонентов.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей