2017 yil iyul kirish eks xavfsizlik nazoratlari 4
Qo'shimcha boshqaruv/alternativ boshqaruv
Download 189.91 Kb.
|
PortalAdmin Uploads Content FastAccess 84ee238865815 (1)
- Bu sahifa navigatsiya:
- Penetratsiya testi
Qo'shimcha boshqaruv/alternativ boshqaruvMa'lumotnomalar/Xavf haqida ma'lumotOMB memorandumi 11-33; NIST SP 800-37, 800-39, 800-53A, 800-115, 800-137; US-CERT texnik kiberxavfsizlik ogohlantirishlari; DoD axborot kafolati Zaiflik haqida ogohlantirishlar Penetratsiya testiBoshqaruvTashkilot penetratsion testlarni o'tkazadi, natijalarni ma'lum chastotada va ma'lum bir doirada hisobot qiladi va tahlil qiladi. Qo'llash bo'yicha qo'llanmaPenetratsion test - bu dushmanlar tomonidan ishlatilishi mumkin bo'lgan zaif tomonlarni aniqlash uchun axborot tizimlari yoki alohida tizim komponentlarida amalga oshiriladigan baholashning maxsus turi. Bunday testlar zaifliklarni tekshirish yoki ma'lum sharoitlarda ( masalan, vaqt, resurslar va/yoki malaka ) korporativ axborot tizimlarining raqiblarga chidamlilik darajasini aniqlash uchun ishlatiladi. Penetratsion test dushmanlarning harakatlarini taqlid qiladi va tashkilotlarga qarshi kiberhujumlar xavfini bartaraf etish uchun xavfsizlik bilan bog'liq zaifliklarni/kamchiliklarni chuqurroq tahlil qiladi. Tashkilotlar zaiflik tahlili natijalaridan penetratsion test faoliyatini qo'llab-quvvatlash uchun ham foydalanishi mumkin. Penetratsion testlar apparat, dasturiy ta'minot yoki axborot tizimining maxsus komponentlarida amalga oshirilishi mumkin. Ham jismoniy, ham texnik xavfsizlik nazorati amalga oshirilishi mumkin. Barcha tomonlar penetratsion test stsenariylari boshlanishidan oldin tashkilot tomonidan belgilangan biznes qoidalariga rozi bo'ladilar . Tashkilot penetratsion sinov qoidalarini hujumlarni amalga oshiruvchi dushmanlar tomonidan qo'llanilishi bashorat qilingan vositalar, uslublar va protseduralar bilan bog'laydi . Korxona risklarini baholash penetratsion test xodimlari uchun zarur bo'lgan mustaqillik darajasini belgilaydi . kirish testlari, shuningdek, korporativ axborot tizimlari orqali mustaqil ekspertlar va guruhlar tomonidan amalga oshirilishi mumkin. Xolislik kirish testlarining maqsadi bo'lgan axborot tizimlarini ishlab chiqish, ishlatish yoki boshqarish bilan bog'liq zaifliklarni aniqlashda aniqroq natijalarni olishni ta'minlaydi . Penetratsion test ICS tarmoqlarida sinchkovlik bilan qo'llaniladi, shunda ICS funktsiyalari sinov jarayoniga salbiy ta'sir ko'rsatmaydi. Umuman olganda, EKS vaqt cheklovlariga juda sezgir va cheklangan resurslarga ega. Kirish testi uchun takrorlangan, virtuallashtirilgan yoki simulyatsiya qilingan tizimdan foydalanish afzalroq bo'lishi mumkin . Sinovlarni o'tkazish uchun EKS jonli tizimini boshqariladigan tarzda to'xtatish kerak bo'lishi mumkin. Agar EKS sinov uchun oflayn rejimda olinsa, EKS ning rejalashtirilgan uzilishlari paytida imkon qadar testlarni o'tkazish kerak. Agar ECS bo'lmagan tarmoqlarda penetratsiya sinovi o'tkazilsa, testlar EKS tarmog'iga tarqalmasligini ta'minlash uchun qo'shimcha e'tibor beriladi. Energetika sohasida qo'llaniladigan EKS uchun o'tkaziladigan penetratsion testlar bilan bog'liq EPDK tomonidan qo'shimcha qonunchilik tayyorlanmoqda . Ushbu qonunchilik penetratsion testlarning ko'lamini, kim tomonidan, qaysi davrlarda va sinovlarning mazmunini belgilaydi. Download 189.91 Kb. Do'stlaringiz bilan baham: 
|