В статье рассматривется понятие анализа защищенности информационных ресурсов. Приведен перечень нормативных документов, определяющих необходимость проведения анализа защищенности на жизненных этапах современной информационной системы. Дан обзор различных подходов к проведению анализа защищенности. Проведен обзор методологий анализа защищенности, а именно: рекомендации Банка России РС БР ИББС-2.6-2014, методология NSA IEM агентства национальной безопасности США, техническое руководство по анализу защищенности от национального института стандартов и технологий США NIST SP 800-115, модель тестирования на проникновение от Федерального агентства информационной безопасности Германии. Рассмотрен состав технических проверок, а также классы инструментов, позволяющих их выполнять. Выделены общие элементы структуры фаз проведения методологий анализа защищенности. Представлена программная реализация методологии анализа защищенности.
< ... >
The article deals with the concept of security analysis. The list of normative documents determining the necessity of analyzing the security in the life stages of the modern information system is presented. An overview of different approaches to security analysis is done. Analysis of security analysis methodologies was carried out. The composition of technical inspections, as well as classes of tools that allow them to be performed, is considered. The general elements of the structure of the phases of the methodologies for analyzing security are identified. The software implementation of security analysis methodology is presented.
Keywords:
information security effectiveness control, vulnerability analysis, vulnerability protection, security analysis tools, periodic monitoring, continuous monitoring, vulnerability scanner, network scanner, security scanner
Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»
