Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение 4
Рекомендации
к проведению контроля параметров настроек технических защитных мер (выявление ошибок конфигурации)
1. Выявление ошибок конфигурации направлено на поддержание корректности функционирования подсистемы ИБ АБС. Для этого в составе рабочей документации АБС или в качестве отдельных внутренних документов организации БС РФ разрабатываются и утверждаются стандарты конфигурации программных и аппаратных компонентов АБС. Выявление ошибок конфигурации - исследование, направленное на поиск несоответствий между фактическими значениями параметров технических мер защиты и их эталонными значениями, установленными в стандартах конфигурации.
2. Исследователю должен быть предоставлен доступ к интерфейсам программных компонентов АБС, в том числе к операционной системе, специализированным банковским приложениям или альтернативный способ получения фактических параметров настройки технических мер защиты.
3. Исследование проводится с использованием стратегии белого ящика. Исследование может проводиться вручную или с использованием автоматизированных средств анализа защищенности. Ошибки конфигурации выявляются путем получения фактических значений параметров настроек и сравнения их с эталонными значениями. При этом:
- в случае, если фактическое значение параметра настройки задано явно, производится его сравнение с эталонным значением;
- в случае, если фактическое значение параметра конфигурации не задано или задано неявно, производится вычисление эффективного значения параметра настройки, которое затем сравнивается с эталонным значением.
Если параметр настройки не задан явно, устройство или программа использует значение по умолчанию, которое может зависеть от модели устройства или версии программы. В ряде случаев фактические параметры настройки задаются не явно, а в виде выражений, результаты вычисления которых зависят от фактических значений других параметров, переменных окружения. В этих случаях в ходе исследования должны быть определены эффективные значения параметров настройки с учетом особенностей их определения в рамках исследуемого компонента АБС.
4. Достоинствами данного метода являются:
- высокая достоверность сведений о выявленных несоответствиях стандартам конфигурации;
- высокая степень автоматизации, низкие требования к квалификации исследователя при использовании автоматизированных средств анализа;
- воспроизводимость исследования.
5. Недостатками данного метода являются:
- невозможность в ряде случаев оценить потенциал реализации каких-либо угроз при несоответствии отдельных настроек стандартам конфигурации. Одним из источников разработки стандартов конфигурации являются рекомендации разработчиков программного и аппаратного обеспечения. Как правило, разработчики не раскрывает информацию об угрозах, реализация которых становится возможной при невыполнении этих рекомендаций;
- необходимость предоставления исследователю привилегированного доступа к компонентам АБС;
- высокие требования к квалификации исследователя в случае, когда необходимо вычисление эффективных значений параметров конфигурации, а также в случае проведения исследования без использования автоматизированных средств анализа.
6. По результатам исследования разрабатывается отчет, содержащий перечень исследованных компонентов АБС, перечень выявленных несоответствий стандартам конфигурации и рекомендации по их устранению.
7. В случае если изменение параметров настройки не было вызвано технической необходимостью, рекомендуется проведение оперативной перенастройки компонентов АБС.
Если изменение параметров настройки было вызвано технической необходимостью и возврат к эталонным значениям может повлечь нарушение функционирования АБС, рекомендуется проведение оценки критичности влияния значений параметров настройки на защищенность АБС. В случае отсутствия такого влияния или несущественного увеличения рисков нарушения ИБ рекомендуется внесение соответствующих изменений в эксплуатационную документацию (стандарты конфигурации). В случае существенного увеличения рисков нарушения ИБ рекомендуется проведение модернизации АБС или ее отдельных компонентов.
<< Приложение 3. Рекомендации к проведению оценки защищенности |
||
Содержание Рекомендации в области стандартизации Банка России PC БР ИББС-2.6-2014 "Обеспечение информационной безопасности организаций... |
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.