ГОСТ Р ИСО/МЭК ТО 13335-5—2006
- сигналы опасности в системе управления с вовлечением защиты (например дублирование
IP-адроса. нарушения в схеме однонаправленного канала передачиданных).
Результаты аудита могут содержать конфиденциальную информацию или сведения, которыми
могут воспользоваться для вторжения в систему через сетевые соединения. Более того, сведения о
результатах аудита могут служитьдоказательством передачи данных по сети в случае появления раз
ногласий. Поэтому результаты аудита особенно необходимы в контексте обеспечения целостности и
подтверждения отправки/приема информации. Следовательно, все результаты аудита следует
защищать надлежащим образом.
13.5 Обнаружение вторжения
С увеличением числа соединений в сети облегчается проникновение в нее по следующим при
чинам:
- увеличиваетсячисло путей проникновения в системы ИТорганизации и сети;
- появляется возможность вскрытия первоначального местадоступа;
- становится возможендоступ через сети и целевые внутренние системы ИТ.
Нарушители становятся более искушенными и применяют более эффективные методы атак, а
средства проникновения все более доступны в Интернете или общедоступной литературе. Многие из
этих средств автоматизированы, могут быть очень эффективными и простыми для применения, в том
числе для лиц с небольшим опытом работы.
Длябольшинстваорганизацийэкономически невозможнопредотвратитьвсепотенциальные втор
жения. Следовательно, некоторые вторжениявозможны. Риски, связанныес большинством вторжений,
могут быть снижены путем реализации надежной идентификации и аутентификации, логического конт
ролядоступа, системы учета и аудита защитных мер вдополнение к возможности обнаружения вторже
ния. Такую возможность обеспечивают те средства, которые позволяют прогнозировать вторжения,
выявлять их в реальном масштабе времени и давать соответствующие сигналы тревоги. Появляется
также возможность локального сбора информации о вторжениях с последующим ее объединением и
анализом, а также изучениесхем нормального поведения/использования ИТорганизации.
Во многих случаях может быть очевидной возможность некоторого несанкционированного или
нежелательного события. На эту возможность может указывать небольшое ухудшение в услугах по
совершенно неопределенным причинам или большое число доступов в несвойственное время, или
отказ предоставления каких-либоспециальныхуслуг. Вбольшинствеслучаев важно какможно быстрее
узнать причину, масштабность и последствия вторжения.
Следует заметить, что упомянутая выше возможность вторжения является более сложной, чем
инструментарий анализа результатов аудита и методы по 13.4 и соответствующему разделу
ИСО/МЭК 13335-4. Более эффективные возможности обнаружения вторжения связаны с применением
специального послеоперационного контроля, при котором применяются правила автоматического ана
лиза прошлых действий, зарегистрированных в результатах аудита и в других контрольных журналах
для того, чтобы прогнозировать вторжения, атакже анализируются результаты ревизий известных при
меров злонамереннойдеятельности или деятельности, не характерной для сложившейся практики.
Более подробноэти вопросы изложены в ИСО/МЭК 15947.
13.6 Предохранение от злонамеренного кода
Пользователям необходимо знать, что злонамеренный код может быть введен в их сетевое окру
жение черезсетевые соединения. Злонамеренный код не можетбытьобнаружендо нанесения ущерба,
если не применять адекватные защитные меры. Злонамеренный код может подорвать защитные меры
обеспечения безопасности (например путем перехвата и раскрытия паролей), привести к непреднаме
ренному раскрытию или изменению информации, уничтожению данных и/или несанкционированному
использованию системных ресурсов.
Некоторые формы злонамеренного кода могутбытьобнаружены и удалены с помощью специаль
ногосканирующего программногообеспечения. Ваппаратно-программныесредства межсетевой защи
ты. серверы файлов, серверы почты ирабочие станциидля защитыотнекоторыхтиповзлонамеренного
кодамогутбытьвключенысканеры. Дляобнаружения новогозлонамеренногокодаважноподдерживать
сканирующее программное обеспечение на должном уровне путем, по меньшей мере, еженедельного
обновления. Однако пользователям иадминистраторам следуетпонимать, что нельзя полагатьсятоль
ко на сканеры для обнаружения всех злонамеренных кодов (или конкретного типа), так как постоянно
появляются новые типы злонамеренных кодов. Как правило, требуются другие защитные меры для
улучшения безопасности, осуществляемые с помощью сканеров (при их наличии).
Пользователям и администраторам систем, использующих сетевые соединения, следует пони
мать. что риски, связанные со злонамеренным программным обеспечением, увеличиваются, если име
ешь дело с внешними сторонами через внешние линии связи. Для пользователей и администраторов
15