ГОСТ 33897-2016; Страница 21

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р ИСО 26162-2016 Системы управления терминологией, базами знаний и контентом. Проектирование, внедрение и поддержка систем управления терминологией (Настоящий стандарт устанавливает критерии проектирования, внедрения и поддержания систем управления терминологией (TMSs). Настоящий стандарт предоставляет информацию о содержании обоснования использования TMS, типах и потребностях пользователей системы, разработки и внедрения TMS, а также о задачах по организации и управлению терминологическим сбором данных (TDC). Настоящий стандарт содержит рекомендации по выбору и использованию категорий данных для управления терминологией в различных средах. Настоящий стандарт предназначен для терминологов, разработчиков программного обеспечения и других лиц, которые вовлечены в процесс разработки или приобретения TMS) ГОСТ Р ИСО 22274-2016 Системы управления терминологией, базами знаний и контентом. Концептуальные аспекты разработки и интернационализации систем классификации (Настоящий стандарт устанавливает основные принципы и требования к разработке систем классификации, позволяющие обеспечить их применимость в международном масштабе благодаря учету таких аспектов как культурологическое и лингвистическое разнообразие и конкретные требования рынка информационных продуктов. Применительно к принципам терминологической работы в данном стандарте излагаются конкретные рекомендации (руководящие указания) по созданию, отработке и использованию классификационных систем для интернациональных сообществ) ГОСТ Р ИСО 24615-2016 Управление языковыми ресурсами. Система синтаксического аннотирования (SynAF) (В настоящем стандарте описывается система синтаксического аннотирования SynAF, являющаяся высокоуровневой моделью для представления синтаксической аннотации лингвистических данных с целью обеспечения возможности работы со всеми языковыми ресурсами или компонентами обработки языковых данных. Настоящий стандарт является дополнением ИСО 2461, тесно связан с ним в части схемы морфосинтаксического аннотирования MAF (morpho-syntactic annotation framework) и предоставляет метамодель для синтаксических представлений, равно как и эталонные категории данных для представления информации по составляющим элементам и отношениям зависимости в сложных предложениях или других сопоставимых высказываниях и сегментах)

Страница 21

Страница 1

Untitled document

ГОСТ 33897—2016

Испытание на внутреннее проникновение в сеть аналогично случаю внешнего проникновения

(внешней атаки) за исключением того, что испытатели находятся во внутренней сети (позади межсете

вых экранов) и им предоставлен определенный уровень доступа к сети (в общем случае — как поль

зователю). Далее делают попытки получения более высокого уровня доступа к сети через повышение

привилегий.

Испытанно на проникновение состоит из четырех этапов, приведенных на рисунке 1.

Д П Я Д 1 Ц И »

о б ш д и н м

П /ш иро— н е

ОВтя/яхтю

Ат*И

Гфодмпашммаа

СТРИГ!

ести

Рисунок 1— Методика испытаний четырехэтапного проникновения в сеть

На этапе планирования определяют правила проведения испытания, которые должны быть ут

верждены руководством, ставят цели испытания. Никакого фактического испытания на этапе планиро

вания не проводят.

Этап обнаружения включает фактическое испытание. Сканирование сети (сканирование порта)

используют для определения потенциальных целей для проникновения. В дополнение к сканированию

портов также обычно используют другие методы сбора информации об испытуемой сети:

- опрос DNS1*;

- поиск целевых серверов организации для получения необходимой информации;

- захват пакета (обычно только в течение испытаний на предмет внутреннего проникновения);

- нумерацию NetBIOS2* (обычно только в течение испытаний на предмет внутреннего проникно

вения);

- сетевую информационную систему (NIS3>) (обычно только в течение испытаний на предмет вну

треннего проникновения);

- захват баннеров.

Вторая часть этапа обнаружения включает в себя анализ уязвимости. В течение этого этапа ус

луги, приложения и операционные системы отсканированных СВТ сравнивают с базами данных уяз

вимостей (для сканеров уязвимостей этот процесс является автоматическим). Обычно испытатели ис

пользуют свою собственную базу данных или общедоступные базы данных, чтобы идентифицировать

уязвимость вручную.

В основе любого испытания на проникновение лежит осуществление атаки. Это происходит на

тех ресурсах сети, где предварительно идентифицированы потенциальные уязвимости. Если атака яв

ляется успешной, проверяют данную уязвимость и идентифицируют меры защиты, чтобы уменьшить

подверженность опасности. Часто программное обеспечение, которое выполняется в процессе атаки,

не получает максимального уровеня доступа к ресурсам. Поэтому для определения истинного уровня

риска нарушения безопасности сети требуется проведение дополнительного анализа и испытаний. Это

представлено в петле обратной связи на рисунке 2 между этапом атаки и этапом обнаружения в про

цессе испытания на проникновение в сеть.

1) DNS (Domain Name System) — служба доменных имен.

2; NetBIOS (Network Basic Input/Output System) — сетевая базовая система ввода-вывода.

3>NIS (Network Information Service) — сетевая информационная служба.