Положение о сканировании уязвимостей

• Порт — идентифицируемый номером системный ресурс, выделяемый приложению, выполняемому на некотором узле сети, для связи с приложениями, выполняемыми на других узлах сети (в том числе с другими приложениями на этом же узле сети).
• IP-адрес (ай-пи адрес, сокращение от англ. Internet Protocol Address) — сетевой адрес узла в сети, построенной по протоколу IP.
• Средство защиты информации – техническое, программное средство, вещество и(или) материал, предназначенные или используемые для защиты информации.
• Уязвимость — недостаток в программном обеспечении или средстве защиты информации используя который, возможно нарушить работоспособность данного программного обеспечения или средства защиты информации, либо выполнить какие-либо несанкционированные действия в обход установленных разрешений в программном обеспечении и(или) в средстве защиты информации.
• Сканирование уязвимостей — полностью или частично автоматизированный процесс сбора информации о доступности сетевого узла информационной сети (персональные компьютеры, серверы, телекоммуникационное оборудование), сетевых службах и приложениях используемых на данном узле и их идентификации, используемых данными службами и приложениями портах, с целью определения существующих или возможных уязвимостей.
• Сканирование портов — полностью или частично автоматизированный процесс сбора информации о доступности сетевого узла информационной сети (персональные компьютеры, серверы, телекоммуникационное оборудование), сетевых службах и приложениях используемых на данном узле, их идентификации и используемых ими портах.
• Сканер уязвимостей — программное обеспечение выполняющее сбор информации об узлах информационной сети и, при помощи различных методик анализа, определение уязвимостей в сетевых службах и приложениях, содержащихся в базе данных сканера уязвимостей. Сканер уязвимости включает в себя функционал сканера портови (сканера сети).
• Сканер сети (Сканер портов) — программное обеспечение выполняющее сбор информации об узлах информационной сети (IP-адрес, открытые порты) и идентификацию сетевых служб и приложений использующихся на данном узле.

Настоящее Положение определяет цели и порядок проведения сканирования уязвимостей (далее – сканирование) в информационной сети Организации, ответственных за проведение сканирования, а также действия, предпринимаемые по результатам сканирования.

Настоящее положение водится приказом руководства Организации и действует бессрочно до замены его новым положением.

Все изменения в настоящее положение вносятся приказом.

Сканирование информационной сети Организации производится с целью сбора информации об активных узлах информационной сети Организации, сетевых службах и приложениях выполняющихся на данных узлах, используемых ими портах, а также обнаружения уязвимостей данных сетевых служб и приложений.

Сканирование является внутренним аудитом информационной сети Организации на предмет выявления несанкционированно подключенных к информационной сети сетевых узлов, корректности настроек, в части обеспечения безопасности, сетевых служб и приложений, обнаружения несанкционированно установленного, либо вредоносного программного обеспечения, осуществляющего сетевое взаимодействие.

Сканированию подлежат все внутренние узлы информационной сети Организации, а также внутренние узлы доступные из внешней сети (сеть связи общего пользования – Интернет). Сканирование внутренних узлов производится из внутренней сети по всем существующим диапазонам IP-адресов использующихся в Организации, сканирование узлов, доступных из внешней сети, производится из сети Интернет по диапазону(списку) IP-адресов выданных внешним узлам.

Сканирование уязвимостей производится с использованием специализированного программного обеспечения – сканеров уязвимостей.

Программное обеспечение сканера уязвимости приобретается за счет средств Организации и передается отделу информационной безопасности для проведения сканирования информационной сети Организации.

Разработчиком программного обеспечения сканера уязвимостей должна предоставляться техническая поддержка (по телефону и(или) электронной почте со сроком реакции не более 2-х суток), а также регулярные, не реже двух раз в месяц, обновления баз данных уязвимостей. Лицензионная политика разработчика программного обеспечения сканера уязвимостей должна обеспечивать возможность увеличения количества сканируемых IP-адресов и изменения их значений.

Для проведения сканирования уязвимостей в используемых в Организации СУБД и (или) Web-сайтов(Web-серверов) а также иных специфических приложений, могут приобретаться специализированные сканеры уязвимостей.

Дополнительно, для проведения сканирования уязвимостей и (или) сканирования портов, допускается использование свободно распространяемого программного обеспечения.

Сканирование уязвимостей узлов информационной сети Организации проводится один раз в квартал.

Внеплановому сканированию подлежат:

• новые узлы, впервые подключаемые к информационной сети Организации;
• существующие узлы, на которых была произведена переустановка операционной системы, либо установлены комплексные обновления ОС и(или) прикладного программного обеспечения осуществляющего сетевое взаимодействие;
• существующие узлы, на которых была произведена смена версии прикладного программного обеспечения осуществляющего сетевое взаимодействие;
• узлы (группы узлов) на которых была обнаружена или заподозрена вирусная активность;
• узлы (группы узлов) подвергшиеся хакерской атаке (взлому);
• узлы, использующие программное обеспечение для которого в общедоступных источниках была опубликована критическая уязвимость.

Для новых узлов, при типовом наборе программного обеспечения данного узла (для данного набора программного обеспечения уже проводилось сканирование уязвимостей), либо существующих узлов при установке версии операционной системы и версий и (или) обновлений программного обеспечения для которых ранее проводилось плановое сканирование, возможно проведение сканирования без определения уязвимостей – сканирование портов.

Проведение сканирования нового узла должно производиться до момента его подключения в информационную сеть Организации.

Отдел информационной безопасности производит анализ обнаруженных в ходе сканирования уязвимостей, на предмет степени критичности данной уязвимости для функционирования информационной системы и возможных последствий при использовании данной уязвимости злоумышленником. Анализ проводится как на основании информации предоставляемой разработчиком сканера уязвимости (в том числе описание уязвимости, содержащееся в базе данных сканера уязвимостей), так и на основании информации содержащейся в общедоступных источниках (Интернет).

На основании результатов анализа отделом информационной безопасности производится дополнительная проверка выявленных уязвимостей и в случае подтверждения результатов полученных в ходе сканирования, установка обновлений исправляющих данную уязвимость, в случае их наличия у разработчика, либо передача информации об уязвимости разработчику программного обеспечения в котором данная уязвимость была обнаружена.

После установки обновления устраняющего найденную уязвимость, необходимо проведение повторного, внепланового, сканирования данного узла.

В случае отсутствия у разработчика программного обеспечения необходимого обновления, устраняющего найденную критическую уязвимость, отделом информационной безопасности разрабатываются мероприятия снижающие риск использования данной критической уязвимости. В том числе возможно проведение попыток практической реализации атаки использующей найденную уязвимость.

В качестве дополнительной проверки возможности практического использования злоумышленником найденных критических уязвимостей, для которых не существует обновлений устраняющих их, может привлекаться специализированная организация, для осуществления тестов на проникновение.

Ответственным за проведение сканирования информационной сети Организации является отдел информационной безопасности.

Отдел информационной безопасности, определяет:

• перечень узлов информационной сети подлежащих сканированию;
• время проведения сканирования для каждого узла (группы узлов) с учетом загрузки данных узлов, каналов связи и критичности данного узла (группы узлов) с точки зрения основных бизнес процессов Организации;
• место расположения сканера в информационной сети Организации, с целью минимизации загрузки каналов связи в моменты проведения сканирования.

Перечень узлов подлежащих сканированию и время его проведения оформляется в виде «Плана сканирования», согласуется с начальником управления информационных технологий и заинтересованными руководителями других отделов и передается в отдел информационной безопасности.

Сотрудники отдела информационной безопасности, ответственные за проведение сканирования, обязаны отслеживать появление информации о новых уязвимостях в общедоступных источниках информации (например, подписка на получение рассылок или уведомлений со специализированных сайтов).

По результатам сканирования отделом информационной безопасности формируется отчет, в котором отражаются обнаруженные критические уязвимости, программное обеспечение в котором данная уязвимость была найдена, а так же действия, предпринятые для ее устранения (снижению риска ее использования злоумышленником).

Отчетность по результатам сканирования передается начальнику управления информационных технологий и руководству Организации.

Лог файлы, отчеты формируемые сканером уязвимости, отчеты о результатах сканирования должны храниться в электронном виде в течении года.

В целях обеспечения стабильного и бесперебойного функционирования информационной сети при проведении сканирования запрещается одновременное сканирование более 20-ти сетевых узлов, а также применение настроек разрешающих использование найденных уязвимостей и проверок, потенциально способных привести к нарушению работоспособности сканируемого узла. При проведении сканирования с использованием потенциально опасной конфигурации сканера безопасности необходимо уведомить администратора информационной системы и проводить сканирование в моменты присутствия администратора данной информационной системы на рабочем месте.

При проведении сканирования узлов, на которых выполняются критически важные, для осуществления текущей деятельности Организации приложения, необходимо:

• Предварительно проверить безопасность конфигурации сканера уязвимостей, путем проведения сканирования узла на котором функционирует тестовая версия (при наличии) критически важного приложения, и в случае, если настройки сканера приводят к нарушению работоспособности приложения, сканирование узла, на котором функционирует рабочая версия данного критического приложения, с такими настройками, не допускается.
• Перед проведением сканирования, произвести резервное копирование информации необходимой для восстановления работоспособности приложения (узла), а в случае изменения данной информации в режиме реального времени и отсутствия возможностей восстановления информации, проводить сканирование в моменты, когда данная информация изменяется (пополняется) с наименьшей скоростью.
• Проводить сканирование в присутствии администратора данного приложения, для обеспечения возможности максимально быстрого восстановления работоспособности данного приложения.

Лог файлы полученные в ходе проведения сканирования уязвимостей, а также информация об обнаруженных уязвимостях является конфиденциальной информацией. Полный доступ к информации, полученной в ходе сканирования предоставляется сотрудникам отдела информационной безопасности и руководству Организации.

Доступ к информации, полученной в ходе проведения сканирования, может быть предоставлен сотрудникам ответственным за сопровождение прикладных систем, в которых обнаружены уязвимости, но только в части информации имеющей непосредственное отношение к сопровождаемым системам.

Допускается предоставление информации об обнаруженных уязвимостях в программном обеспечении, разработчикам данного программного обеспечения, при этом разработчику предоставляется только та часть информации о уязвимостях, которая имеет непосредственное отношение к данному программному обеспечению.

При привлечении сторонней организации для проведения тестирования на проникновение необходимо заключение договора предусматривающего обязательное соблюдение конфиденциальности информации предоставленной данной Организации, а также информации собранной в ходе выполнения работ и результатов их выполнения.