ОТЧЕТ О ПРАКТИЧЕСКОМ ЗАНЯТИИ №1
Тема: Обзор нормативных правовых актов, нормативных методических документов по защите информации, в состав которых входят требования и рекомендации по защите информации программными и программно-аппаратными средствами.
Цель: Изучить комплекс стандартов, устанавливающих классификацию уязвимостей, правила описания уязвимостей, содержание и порядок выполнения работ по выявлению и оценке уязвимостей информационных систем (ИС).
Ход работы
Задание 2: Сопоставить термины и определения, ответ представить в виде пар чисел, где арабская цифра – ключевое понятие, а римская цифра – его определение 1-III, 2-VI и т.д.
1-I, 2-VIII, 3-VII, 4-VI, 5-IV, 6-X, 7-XIV, 8-XII, 9-XI, 10-XIII, 11-II, 12-III, 13-IX, 14-V.
Задание 3: Перечислите какие классификационные признаки используются в основе классификации уязвимостей ИС.
4.1 В основе классификации уязвимостей ИС используются следующие классификационные признаки:
- область происхождения уязвимости;
- типы недостатков ИС;
- место возникновения (проявления) уязвимости ИС.
Задание 4: На какие классы подразделяются уязвимости ИС по области происхождения?
5.1 Уязвимости ИС по области происхождения подразделяются на следующие классы:
- уязвимости кода:
- уязвимости конфигурации:
- уязвимости архитектуры:
- организационные уязвимости:
- многофакторные уязвимости.
Задание 5: Изучить ГОСТ Р 56545-2015. Защита информации. Уязвимости информационных систем. Правила описания уязвимостей.
Изучил ГОСТ Р 56545-2015. Защита информации. Уязвимости информационных систем. Правила описания уязвимостей.
Задание 6: Какие элементы должно включать описание уязвимости для однозначной идентификации?
5.1.2 Для однозначной идентификации уязвимости описание должно включать следующие элементы:
- идентификатор уязвимости;
- наименование уязвимости;
- класс уязвимости;
- наименование программного обеспечения (ПО) и его версия.
Задание 7: Какие элементы должно включать описание уязвимости для обеспечения работ по анализу уязвимостей ИС?
5.1.3 Для обеспечения работ по анализу уязвимостей ИС описание должно включать следующие элементы:
- идентификатор типа недостатка;
- тип недостатка;
- место возникновения (проявления) уязвимости;
- способ (правило) обнаружения уязвимости;
- возможные меры по устранению уязвимости.
Задание 8: Какие элементы должно включать описание уязвимости для обеспечения детальной информации?
5.1.4 Для обеспечения детальной информации об уязвимости описание может включать следующие элементы:
- наименование операционной системы и тип аппаратной платформы;
- язык программирования ПО;
- служба (порт), которую(ый) используют для функционирования ПО;
- степень опасности уязвимости.
- краткое описание уязвимости;
- идентификаторы других систем описаний уязвимостей;
- дата выявления уязвимости;
- автор, опубликовавший информацию о выявленной уязвимости;
- критерии опасности уязвимости.
Задание 9: В банке данных угроз безопасности информации найти уязвимость для ОС iOS, Android, Windows (по одной для каждой) и представить описание в виде паспорта уязвимости. Форма паспорта уязвимости с примером его заполнения представлена в ГОСТ Р 56545-2015. Защита информации. Уязвимости информационных систем. Правила описания уязвимостей.
Таблица 1 – Описание уязвимости для ОС iOS в виде паспорта уязвимости
Элемент описания уязвимости
|
Описание уязвимости
|
Наименование уязвимости
|
Уязвимость операционных систем iPadOS, watchOS, iOS, tvOS, Mac OS, связанная с ошибками в настройках безопасности, позволяющая нарушителю изменять произвольные файлы
|
Идентификатор уязвимости
|
BDU:2022-00575
|
Идентификаторы других систем описаний уязвимостей
|
|
Do'stlaringiz bilan baham: |