2017 yil iyul kirish eks xavfsizlik nazoratlari 4


Qo'shimcha boshqaruv / Muqobil boshqaruv


Download 189.91 Kb.
bet65/75
Sana22.12.2022
Hajmi189.91 Kb.
#1041454
1   ...   61   62   63   64   65   66   67   68   ...   75
Bog'liq
PortalAdmin Uploads Content FastAccess 84ee238865815 (1)

Qo'shimcha boshqaruv / Muqobil boshqaruv



Ma'lumotnomalar / Xavf ma'lumotnomasi


NIST SP800-30
NIST SP800-39

    1. Zaiflikni skanerlash

Boshqaruv


Tashkilot,

  1. Vaqti -vaqti bilan va tizimlar/ilovalarga potentsial ta'sir ko'rsatishi mumkin bo'lgan yangi zaifliklar aniqlanganda yoki e'lon qilinganda, u axborot tizimidagi zaifliklarni va ularda ishlaydigan ilovalarni tekshiradi.

  2. U xalqaro standartlarga mos keladigan zaifliklarni skanerlash vositalari va usullaridan foydalanadi, asboblar o'rtasida o'zaro hamkorlikni osonlashtiradi va zaifliklarni boshqarish jarayonini avtomatlashtiradi:

    1. Umumiy zaiflik tasnifi va reyting platformalari (CPE va boshqalar), dasturiy ta'minotdagi kamchiliklar va noto'g'ri konfiguratsiyalar.

    2. Standart formatda nazorat ro'yxatlari va test protseduralaridan foydalanish.

    3. Zaiflikning ta'sirini o'lchash.

  3. Zaiflikni skanerlash natijalarini tahlil qiladi va xavfsizlik tekshiruvi tahlil natijalarini tahlil qiladi.

  4. Korporativ xavflarni baholash orqali haqiqiy zaifliklarni baholaydi va ularni yopish uchun zarur choralarni ko'radi.

  5. U boshqa axborot tizimlaridagi shu kabi zaifliklarni bartaraf etishga yordam berish uchun zaifliklarni skanerlash va xavfsizlikni nazorat qilish tahlilidan olingan ma'lumotlarni almashadi.

Qo'llash bo'yicha qo'llanma


Axborot tizimlarida xavfsizlik tasnifi zaifliklarni skanerlashning chastotasi va yaxlitligini boshqarishda rol o'ynaydi. Tashkilotlar tarmoqqa ulangan printerlar, skanerlar va nusxa ko'chirish mashinalari kabi potentsial resurslar e'tibordan chetda qolmasligini ta'minlash uchun barcha axborot tizimining komponentlari uchun zarur bo'lgan zaiflik skanerlarini aniqlaydi . Maxsus ishlab chiqilgan ilovalar uchun zaifliklarni tahlil qilish statik tahlil, dinamik tahlil, ikkilik tahlil yoki gibrid tahlil kabi qo'shimcha yondashuvlarni talab qilishi mumkin , shu jumladan uchta yondashuv. Tashkilotlar ushbu tahlil usullaridan turli xil vositalarda ( masalan, veb-ilova brauzerlari, statik tahlil vositalari, ikkilik tahlil vositalari ) va manba kodini ko'rib chiqishda foydalanishlari mumkin. Zaiflikni skanerlash, masalan:

  1. Yamoq darajalarini skanerlash;

  2. Foydalanuvchilar yoki qurilmalarga kirish imkoni bo'lmagan funksiyalar, portlar, protokollar va xizmatlarni skanerlash;

  3. Noto'g'ri sozlangan yoki noto'g'ri ishlayotgan axborot oqimini boshqarish mexanizmlarini skanerlash.

Tashkilotlar, umumiy Zaifliklar va Ushbu zaifliklar mavjudligini tekshirish uchun EHM (CVE) nomlash konventsiyalariga muvofiq zaifliklarni ifodalovchi ochiq zaiflik . Baholash tiliga (OVAL) muvofiq zaifliklarni aniqlaydigan vositalardan foydalanishni ko'rib chiqing. Zaiflik haqida ma'lumot olish uchun tavsiya etilgan umumiy manbalar zaiflik Unda Enumeration (CWE) ro'yxati bo'lishi kerak. Tashkilotlar zaifliklarni umumiy sifatida ham aniqlaydilar Zaiflik Hisoblash Ular tizimni (CVSS) ifodalovchi vositalardan foydalanishni ko'rib chiqishlari kerak. Qizil jamoa mashqlari va boshqalar. Bu kabi xavfsizlik baholashlari skanerlanishi kerak bo'lgan zaifliklarni aniqlash uchun tavsiya etilgan boshqa manbalardan biridir.

Download 189.91 Kb.

Do'stlaringiz bilan baham:
1   ...   61   62   63   64   65   66   67   68   ...   75




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling