Главная / Инструментальная проверка объектов информатизации «электронного правительства» на наличие уязвимостей
Инструментальная проверка объектов информатизации «электронного правительства» на наличие уязвимостей
Инструментальная проверка объектов информатизации «электронного правительства» на наличие уязвимостей включает в себя анализ исходного кода и сканирование информационных систем ГО для поиска уязвимостей.
1. Анализ исходного кода для выявления программных ошибок, которые могут привести к реализации угроз ИБ, включает в себя:
• проверку предоставленных исходных кодов с помощью анализатора исходного кода;
• анализ выявленных уязвимостей на наличие «ложных» срабатываний;
• формирование и выдачу рекомендаций по устранению выявленных уязвимостей
2. Сканирование информационных систем ГО с использованием специализированного программного обеспечения для поиска уязвимостей в режимах тестирование на проникновение, аудит, режим контроля соответствия. По результатам сканирования осуществляется выдача рекомендаций по устранению выявленных уязвимостей
1) Тестирование на проникновение включает в себя:
• поиск уязвимостей по базам уязвимостей;
• проверка парольной защиты;
• «фаззинг» (передача случайных данных вместо данных, ожидаемых системой),
• «брутфорс» (подбор пароля методом «грубой силы» или иначе перебором);
2) Аудит включает в себя:
• контроль обновлений;
• инвентаризационная проверка;
• получение дополнительной информации о системе;
• сбор конфигурационных параметров;
• выявление ошибок конфигурации;
3) режим контроля соответствия включает в себя:
• проверка на соответствие требованиям стандартов.