ГОСТ 33897—2016
- обеспечение идентификации и аутентификации персонала, осуществляющего управление обо
рудованием, — путем проверки разрешения входа в систему только с определенными учетными дан
ными и проверки фиксации в системном журнале факта входа в систему;
- обеспечение идентификации оконечного оборудования — путем проверки фиксации в систем
ном журнале идентификационных данных устройства (имени удаленного компьютера),
- использование уникальных параметров аутентификации для каждого сеанса удаленного досту
па — путем проверки того, что выданные имя пользователя и пароль действуют только в течение одно
го сеанса (используются одноразовые пароли).
- защита от несанкционированного доступа пользователей услуг к оборудованию сети железнодо
рожной электросвязи — путем контроля блокирования учетных записей пользователей при доступе к
данному оборудованию.
5.4 2.2 Проверка контроля доступа персонала к сети
Проверку соответствия прав доступа к сети проводят методом контроля учетных записей на сер
вере сети передачи данных. При этом проверяют.
- установлены ли для персонала контроль, регистрация и ограничение его действий;
- отсутствуют ли учетные записи, не имеющие отношения к сотрудникам организации (учетные
записи уволившихся сотрудников и т. п.);
- предоставлены ли полномочия персоналу в минимально необходимом объеме.
5.4.2.3 Проверка обеспечения конфиденциальности информации
Проверку обеспечения конфиденциальности управляющей информации и данных конфигуриро
вания оборудования проводят методом испытания на проникновение в сеть.
Данный метод представляет собой проверку защиты сети, которую пытаются обойти эксперты, ос
новываясь на понимании ее структуры и реализации. Цель испытания на проникновение в сеть состоит в
идентификации способов получения доступа к системе при использовании типовых инструментов и
методов.
Испытание на проникновение в сеть должно выполняться после тщательного изучения сети и
планирования испытания.
Перед проведением испытания на проникновение в сеть необходимо получить соответствующее
разрешение, которое должно включать в себя следующее:
- диапазон IP1’-адресов, который будет подвержен испытаниям;
- СВТ для служебного пользования, которые не будут подвергнуты испытаниям:
- перечень применяемых методик испытаний (социальная инженерия, DoS2»и т. д.) и инструмен
тов (программное обеспечение для подбора пароля, снифферы сети и т. д.);
- указание времени начала и окончания испытаний:
- IP-адреса СВТ, которые будут осуществлять выполнение испытания на проникновение в сеть
(для возможности разделения санкционированного проникновения в сеть при испытаниях и злонаме
ренных атак);
- меры для предотвращения последствий ложных тревог, возникающих в процессе испытания;
- обработку предварительных данных о сети, собранной перед испытанием на проникновение в
сеть.
Испытание на проникновение в сеть может быть открытым или скрытым.
Испытание на проникновение в сеть может проводиться для моделирования внутренних и/или
внешних атак. Если испытание проводят и для внутренней, и для внешней атаки, в первую очередь
следует выполнить испытание для внешней атаки. При моделировании атаки в первую очередь
должны использоваться стандартные протоколы программных приложений; FTP. HTTP, SMTP и
POP33».
При моделировании внешней атаки следует использовать сканеры портов и сканеры уязвимостей
для идентификации требуемых СВТ. После идентификации СВТ в сети делают попытки несанкциони
рованного раскрытия или получения защищенной информации на одном из СВТ.
IP (Internet Protocol) — протокол Интернета.
2»DoS (Denial of Service) — отказ в обслуживании.
3>FTP (File Transfer Protocol) — протокол передачи файлов. HTTP (Hypertext Transfer Protocol) — протокол
передачи гипертекста. SMTP (Simple Mail Transfer Protocol) — упрощенный протокол передачи сообщений (элек
тронной) почты. POP3 (Post Office Protocol, version 3) — протокол (электронной) почты, версия 3.
16