Государственная техническая служба

Главная / Инструментальная проверка объектов информатизации «электронного правительства» на наличие уязвимостей

Инструментальная проверка объектов информатизации «электронного правительства» на наличие уязвимостей

Инструментальная проверка объектов информатизации «электронного правительства» на наличие уязвимостей включает в себя анализ исходного кода и сканирование информационных систем ГО для поиска уязвимостей.

1. Анализ исходного кода для выявления программных ошибок, которые могут привести к реализации угроз ИБ, включает в себя:

•  проверку предоставленных исходных кодов с помощью анализатора исходного кода;

•  анализ выявленных уязвимостей на наличие «ложных» срабатываний;

•  формирование и выдачу рекомендаций по устранению выявленных уязвимостей

2. Сканирование информационных систем ГО с использованием специализированного программного обеспечения для поиска уязвимостей в режимах тестирование на проникновение, аудит, режим контроля соответствия. По результатам сканирования осуществляется выдача рекомендаций по устранению выявленных уязвимостей

1) Тестирование на проникновение включает в себя:

•  поиск уязвимостей по базам уязвимостей;

•  проверка парольной защиты;

•  «фаззинг» (передача случайных данных вместо данных, ожидаемых системой),

•  «брутфорс» (подбор пароля методом «грубой силы» или иначе перебором);

2) Аудит  включает в себя:

•  контроль обновлений;

•  инвентаризационная проверка;

•  получение дополнительной информации о системе;

•  сбор конфигурационных параметров;

•  выявление ошибок конфигурации;

3) режим контроля соответствия включает в себя:

•  проверка на соответствие требованиям стандартов.