Конференция

Экспертиза

9
февраля
2023 год

Оценка уровня критичности уязвимостей. Исходные данные и основные шаги.

Александр Моисеев
Ведущий консультант по ИБ AKTIV.CONSULTING

Исходными данными для определения критичности уязвимостей являются:

  1. база уязвимостей ПО, содержащаяся в Банке данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru);
  2. официальные информационные ресурсы разработчиков ПО, программно-аппаратных средств и исследователей в области информационной безопасности;
  3. сведения о составе и архитектуре информационных систем, полученные по результатам их инвентаризации и (или) приведенные в документации на информационные системы;
  4. результаты контроля защищенности информационных систем, проведенные оператором.

Указанные исходные данные могут уточняться или дополняться с учетом особенностей области деятельности, в которой функционируют информационные системы.

Оценка уровня критичности уязвимостей программных, программно-аппаратных средств применительно к конкретной информационной системе включает:

  1. определение программных, программно-аппаратных средств, подверженных уязвимостям;
  2. определение в информационной системе места установки программных, программно-аппаратных средств, подверженных уязвимостям (например, на периметре системы, во внутреннем сегменте системы, при реализации критических процессов (бизнес-процессов) и других сегментах информационной системы);
  3. расчет уровня критичности уязвимости.

Точные варианты расчетов для определения степени уязвимости приводятся в документе. В зависимости от уровня критичности уязвимостей оператором принимается решение о необходимости их устранения:

Критический уровень — в течение 24 часов.
Высокий уровень — в течение 7 дней.
Средний уровень — в течение 4 недель.
Низкий уровень — в течение 4 месяцев.

Уязвимости программно-аппаратных средств могут быть устранены путем установки обновления ПО. В случае невозможности получения, установки и тестирования обновлений принимаются компенсирующие меры защиты информации, а именно:

  • изменение конфигурации уязвимых компонентов информационной системы;
  • ограничение по использованию уязвимых программных, программно- аппаратных средств;
  • резервирование компонентов информационной системы;
  • использование сигнатур, решающих правил средств защиты информации, обеспечивающих выявление в информационной системе признаков эксплуатации уязвимостей;
  • мониторинг информационной безопасности и выявление событий безопасности информации в информационной системе, связанных с возможностью эксплуатации уязвимостей.

Ссылка на документ

Источник: AKTIV.CONSULTING


Вернуться к списку экспертиз

Подписаться

Подпишитесь на нашу рассылку, чтобы быть в курсе новостей АБИСС


© 2006-2024 АБИСС. Все права защищены.