МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ
НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ ЯДЕРНЫЙ УНИВЕРСИТЕТ «МИФИ»
В.С. Горбатов, С.В. Дворянкин, А.П. Дураковский, Р.С. Енгалычев, Т.А. Кондратьева, В.С. Лаврентьев, В.А. Петров, В.Р. Петров
АТТЕСТАЦИОННЫЕ ИСПЫТАНИЯ АВТОМАТИЗИРОВАННЫХ СИСТЕМ
ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА ПО ТРЕБОВАНИЯМ
БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Под общей редакцией Ю.Н. Лаврухина
Допущено УМО по образованию в области информационной безопасности в качестве учебного пособия для студентов высших учебных заведений,
обучающихся по направлениям подготовки и специальностям укрупненной группы 10.00.00 (090000)
«Информационная безопасность»
Москва 2014
УДК 004.056.53(075.8) ББК 32.973-018.297 А92
Аттестационные испытания автоматизированных систем от несанкционированного доступа по требованиям безопасности информации:
Учебное пособие / В.С. Горбатов, С.В. Дворянкин, А.П. Дураковский, Р.С. Енгалычев, Т.А. Кондратьева, В.С. Лаврентьев, В.А. Петров, В.Р. Петров; под общ. ред. Ю.Н. Лаврухина. – М.: НИЯУ МИФИ, 2014. – 560 с.: илл.
Учебное пособие разработано по заданию Федеральной службы по техническому и экспортному контролю (ФСТЭК России) и посвящено получению практических навыков проведения аттестациионных испытаний автоматизированных систем по требованиям безопасности информации в части защищенности от несанкционированного доступа. Большую помощь в разработке оказали такие известные в области информационной безопасности организации, как ГНИИИ ПТЗИ ФСТЭК России (г. Воронеж); Центр безопасности информации МАСКОМ (г. Москва); Центр безопасности информации (г. Юбилейный).
Представленный в учебном пособии материал соответствует программам подготовки бакалавров и магистров по направлению подготовки 090900 «Информационная безопасность и специалистов» по специальностям: 090301 «Компьютерная безопасность», 090302 «Информационная безопасность телекоммуникационных систем», 090303 «Информационная безопасность автоматизированных систем» и 090201 «Противодействие техническим разведкам». Пособие может быть использовано преподавателями при проведении практических занятий, а также при реализации программ курсов повышения квалификации и переподготовки кадров.
Рецензент д-р техн. наук, проф. А.А. Тарасов
ISBN 978-5-7262-1917-2 |
Горбатов В.С., Дворянкин С.В., |
|
Дураковский А.П., Енгалычев Р.С., Кондратьева Т.А., |
|
Лаврентьев В.С, Петров В.А., Петров В.Р., 2014 |
|
Национальный исследовательский |
|
ядерный университет «МИФИ», 2014 |
СОДЕРЖАНИЕ |
|
Введение ....................................................................................................... |
5 |
Аттестация объекта информатизации (ОИ) |
|
по требованиям безопасности информации ...................................... |
5 |
Учебно-лабораторное обеспечение ...................................................... |
11 |
Состав и краткие аннотации лабораторных работ .............................. |
13 |
Учебно-методические рекомендации по выполнению |
|
лабораторных работ .......................................................................... |
20 |
Работа 1. Организация аттестации АС |
|
по требованиям безопасности информации в части защиты |
|
от НСД. Проверка документации ......................................................... |
22 |
Работа 2. Инвентаризация актуального состава |
|
технических и программных средств объекта информатизации |
|
с использованием штатных средств операционной системы |
|
и программного обеспечения ............................................................... |
35 |
Работа 3. Поиск отличий реально полученной |
|
информации от информации, заявленной в исходных данных |
|
на объекте информатизации.................................................................. |
80 |
Поиск уязвимостей в составе и настройках системного |
|
и прикладного программного обеспечения ..................................... |
85 |
Работа 4. Контроль уязвимостей на уровне сети ................................... |
85 |
Работа 5. Контроль уязвимостей на уровне |
|
операционных систем и прикладного ПО ......................................... |
116 |
Работа 6. Контроль уязвимостей на уровне |
|
системы управления базами данных .................................................. |
122 |
Работа 7. Контроль настроек механизмов |
|
обновления системного и прикладного ПО ...................................... |
166 |
Работа 8. Контроль механизмов идентификации |
|
и аутентификации пользователей» при работе со средствами |
|
защиты информации (СЗИ) от НСД «Аккорд» и «Соболь», |
|
и программными продуктами «НКВД 2.2» и «НКВД 2.3»............... |
172 |
Контроль прав доступа субъектов к объектам ................................. |
206 |
Работа 9. Проверка организации контроля доступа |
|
к объекту с использованием специализированных средств |
|
доверенной загрузки ............................................................................ |
207 |
Работа 10. Проверка настроек разрешительной |
|
системы доступа к файловым системам с использованием |
|
специализированных тестирующих средств и штатных средств |
|
из состава ОС ....................................................................................... |
245 |
3 |
|
Работа 11. Проверка организации контроля доступа |
|
клиент-серверных приложений к объектам баз данных. |
|
Разграничение полномочий пользователей с использованием |
|
ролей и привилегий ............................................................................. |
292 |
Работа 12. Детальный контроль доступа пользователей |
|
к базам данных ..................................................................................... |
308 |
Работа 13. Мандатный контроль доступа пользователей |
|
к информации в базе данных............................................................... |
322 |
Работа 14. Проверка настроек механизмов контроля доступа |
|
специализированных средств защиты информации от НСД |
|
сетевых средств и ПЭВМ..................................................................... |
342 |
Контроль подсистем аудита (регистрации и учета действий |
|
пользователей) .................................................................................... |
390 |
Работа 15. Контроль аудита действий пользователей средствами |
|
разработчика, встроенными средствами СУБД Oracle, аудит |
|
действий пользователя с привилегией «sysdba» ................................ |
390 |
Работа 16. Контроль детального аудита действий пользователей |
|
в СУБД Oracle ....................................................................................... |
411 |
Контроль подсистемы обеспечения целостности ............................. |
431 |
Работа 17. Настройка средств контроля целостности на основе |
|
операций контрольного суммирования .............................................. |
431 |
Работа 18. Контроль настроек и работы антивирусных средств......... |
451 |
Работа 19. Контроль восстановления базы данных при разных |
|
сценариях потери/повреждения файлов, физического |
|
копирования и архивирования данных ............................................... |
468 |
Работа 20. Контроль восстановления базы данных методами |
|
логического копирования..................................................................... |
486 |
Ответы к тестовым заданиям ................................................................... |
504 |
Приложения. Образцы типовых форм отчетной документации |
|
по аттестационным испытаниям автоматизированных систем |
|
в части защиты от несанкционированного доступа .......................... |
509 |
Приложение 1. Протокол испытаний АС на соответствие |
|
требованиям по защите информации от несанкционированного |
|
доступа .............................................................................................. |
509 |
Приложение 2. Результаты тестирования АС ................................... |
515 |
Приложение 3. Инструкция по проведению антивирусного |
|
контроля АС ..................................................................................... |
522 |
Приложение 4. Инструкция пользователю автоматизированной |
|
системы по работе с секретной информацией .............................. |
524 |
Приложение 5. Инструкция администратору защиты АС ............... |
529 |
Приложение 6. Скрипт для лабораторных работ 11–13 и 15 ........... |
534 |
Список литературы .............................................................................. |
553 |
4 |
|
ВВЕДЕНИЕ
АТТЕСТАЦИЯ ОБЪЕКТА ИНФОРМАТИЗАЦИИ (ОИ) ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа ‒ «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Федеральной службой по техническому и экпортному контролю (ФСТЭК) России.
Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в «Аттестате соответствия».
Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.
Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.
При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при
5