Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 21827-2010 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса

     7.5 РА05 - Оценивает уязвимости

7.5.1 Область процесса

7.5.1.1 Краткое описание

Назначением области процесса "Оценка уязвимостей" является идентификация и определение уязвимостей безопасности системы. Эта область процесса включает в себя анализ активов системы, определение специфических характеристик и обеспечение оценки общей уязвимости системы. Термины, связанные с риском безопасности и оценкой уязвимости, используются во многих контекстах по разному. Для данной модели термин "уязвимость" относится к аспекту системы, который можно использовать в целях, отличных от намеченных первоначально, а именно: слабые места, пробелы в безопасности или ошибки при реализации в рамках системы, которые могут быть использованы угрозой. Эти уязвимости не зависят от какой-либо определенной угрозы или атаки. Эта совокупность видов деятельности осуществляется в любое время жизненного цикла системы для поддержки решения о разработке, обслуживании и эксплуатации системы в пределах известной среды.

7.5.1.2 Цели:

- осведомленность об уязвимостях безопасности системы в пределах определенной среды.

7.5.1.3 Перечень базовых практик

BP.05.01 Выбирает методы, технологии и критерии, по которым идентифицируются уязвимости безопасности системы в определенной среде и определяются их характеристики.

BP.05.02 Идентификация уязвимостей безопасности системы.

BP.05.03 Сбор данных, связанных со свойствами уязвимостей.

BP.05.04 Оценка уязвимостей системы и обобщение уязвимостей, являющихся результатом конкретных уязвимостей и их комбинаций.

ВР.05.05 Проведение мониторинга текущих изменений соответствующих уязвимостей и их характеристик.

7.5.1.4 Примечания к данной области процесса

Анализ и практические приемы, связанные с данной областью процессов, часто являются "бумажной работой". Обнаружение уязвимостей системы активными средствами и способами является еще одним методом, который дополняет другие методы анализа уязвимостей, но не подменяет их. Эти активные методы можно рассматривать как специализированный вид анализа уязвимостей. Этот вид анализа может быть полезен при подтверждении уязвимости безопасности системы после ее значительного обновления или идентификации уязвимости системы в случае соединения двух систем. В некоторых случаях активный анализ уязвимости требуется для подтверждения правильности состояния безопасности системы и улучшения осознания и понимания имеющихся уязвимостей безопасности. Активный анализ, иногда называемый испытанием на проникновение, является процессом, посредством которого специалисты по безопасности пытаются обмануть средства защиты системы. Обычно они работают при тех же ограничениях, которые налагаются на обычных пользователей, но имеют всю проектную документацию и документацию по внедрению. Процесс атаки на безопасность не истощает ресурсы, а сдерживается их ограниченностью (время, деньги, персонал и т.д.).

Информация об уязвимостях, полученная от этой области процесса, предназначена для использования в РА03 наряду с информацией об угрозах из РА04 и воздействиях из РА02. Несмотря на то, что действия по сбору информации об угрозах уязвимостях и воздействиях были объединены в отдельные области процесса, они являются взаимозависимыми. Целью является обнаружение комбинаций угрозы, уязвимости и воздействия, которые считаются достаточно рискованными для обоснования действия. Следовательно, поиск уязвимостей должен в определенной степени руководствоваться наличием соответствующих угроз и воздействий.

Вследствие подверженности уязвимостей изменениям они должны периодически контролироваться с целью обеспечения постоянного поддержания осведомленности о них, полученной с помощью этой области процесса.

При отслеживании функционирования этой области процесса анализ тенденций, существующих среди различных общих практических приемов, может указать на удовлетворение аргументу доверия (см. РА06).

7.5.2 ВР.05.01 - Выбирает метод анализа уязвимости

Выбираются методы, технологии и критерии, по которым идентифицируются уязвимости безопасности системы в определенной среде и определяются их характеристики.

7.5.2.1 Описание

Эта базовая практика определяет метод установления уязвимостей безопасности способом, позволяющим их идентифицировать и характеризовать. Это может включать в себя схему категорирования уязвимостей и назначения им приоритетов на основе угроз и их вероятностей, эксплуатационных функций требований безопасности и других проблемных зон (при их наличии). Определение глубины анализа позволяет специалистам по безопасности и заказчику определять целевые системы, предназначенные для использования, и их полноту. Анализ должен проводиться по известной и зафиксированной конфигурации в течение заранее согласованного и заданного периода времени. Методология анализа должна включать в себя ожидаемые результаты. Следует четко формулировать конкретные цели анализа.

7.5.2.2 Примеры результатов деятельности:

- метод анализа уязвимостей - определяет метод обнаружения и изучения уязвимостей безопасности системы, включая анализ, отчетность и процесс отслеживания;

- форматы анализа уязвимостей - описывает формат результатов анализа уязвимостей для обеспечения стандартизированного подхода;

- методология и методика атак - включает цели и метод проведения тестирования атак;

- процедуры атак - подробные этапы проведения тестирования атак;

- планы атак - включает ресурсы атак, график и описание их методологии;

- изучение проникновения - анализ и реализация сценариев атак, направленные на идентификацию неизвестных уязвимостей;

- сценарии атак - описание конкретных атак, которые будут предприниматься.