Тестирование на проникновение на основе стандарта nist sp 800-115
Download 286 Kb. Pdf ko'rish
|
44-57-349-22 4.-Makarenko
|
УДК 004.94
УДК 004.056 Методы и средства анализа защищенности DOI:10.21681/2311-3456-2022-3-44-57 вые информационно-технические воздействия», «те- стовые кибератаки» и др., но при этом суть подобного практического подхода к аудиту не меняется. Таким образом, можно говорить о том, что одним из перспективных направлений практического аудита ИБ является реализация в отношении ИС объектов КИИ те- стов на проникновение – воздействий на ИС тестовых компьютерных атак, аналогичных реальным атакам, которые, с высокой степенью вероятности, могут ис- пользоваться злоумышленниками. Целесообразность проведения такого тестирования подтверждается ре- комендациями Банка России РС БР ИББС-2.6-2014 о необходимости тестирования на проникновение бан- ковских ИС на стадии приема и ввода в эксплуатацию, на стадии эксплуатации и на стадии модернизации. Несмотря на то, что такое тестирование представ- ляет собой достаточно адекватный и максимально при- ближенный к реальности подход к оценке защищен- ности, он не получил широкого распространения. Ос- новной причиной этого, на взгляд автора, является от- сутствие единой отечественной методики проведения тестирования на проникновение, которая бы была ут- верждена и рекомендована регулирующими органами в сфере ИБ к использованию при аудите ИБ объектов КИИ. Вместе с тем, в ведущих зарубежных странах раз- работаны и введены в действие многочисленные стан- дарты и методики тестирования на проникновение, в частности, такие как OSSTMM, ISSAF, OWASP, PTES, NIST SP 800-115, BSI, PETA, PTF [3]. Целесообразно взяв за основу эти зарубежные стандарты и методики, провести их анализ, и на его основе сформировать на- учно-обоснованный отечественный проект стандарта на проникновение, который бы вбирал в себя наилуч- шие зарубежные практики в области тестирования. Вопросы проведения тестирования на проникно- вения и исследования защищенности ИС путем це- ленаправленного использования компьютерных атак довольно широко рассматриваются в научных рабо- тах отечественных специалистов: А.С. Маркова [4-6, 8], В.Л. Цирлова, А.В. Барабанова [4-6], Ю.В. Раут- кина [5, 8], А.В. Дорофеева [7, 8], С.М. Климова [9, 10], А.А. Бойко [11-14], А.Н. Бегаева, С.Н. Бегаева, В.А. Федотова [15]. Практические аспекты проведе- ния тестирования на проникновение рассматривают- ся в работах Н. Скабцова [16] и А.А. Бирюкова [17]. Вместе с тем, в этих работах не ставится и не рассма- тривается возможность разработки отечественного проекта стандарта на проникновение. Целью статьи является анализ стандарта тестиро- вания на проникновение NIST SP 800-115 [18] в ин- тересах оценки целесообразности его использования для разработки отечественного проекта стандарта те- стирования на проникновение. Данная статья продолжает и развивает предыду- щие работы автора [1-3, 19, 20], направленные на развитие теоретического базиса тестирования на проникновение. Введем базовую терминологию, которую будем ис- пользовать в дальнейшем. Объект – информационная система, информационно- телекоммуни кационная или компьютерная сеть, авто- матизированная система управления, в отношение ко- торого проводится аудит/тестирование ИБ. Тестирование – проверка выполнения требова- ний к объекту при помощи наблюдения за ее рабо- той в конечном наборе специально выбранных си- туаций. Тест – отдельное мероприятие по исследованию объекта или способ изучения процессов его функци- онирования. Аудитор – специалист, который проводит аудит, экс- пертизу и тестирование объекта. Компьютерная атака – целенаправленное несанк- ционированное воздействие на информацию, на ре- сурс автоматизированной информационной системы или получение несанкционированного доступа к ним с применением программных или программно-аппа- ратных средств. Тестирование на проникновение – эксперимен- тальная проверка с целью оценивания состояния ИБ и выявления уязвимостей объекта тестирования (те- стируемой системы) путем интегрального и целена- правленного применения против него компьютерных атак, социальной инженерии, а также других способов анализа и проверки уязвимостей. Социальная инженерия – совокупность способов изменения установок людей, управления поведени- ем и действиями человека без использования техни- ческих средств, основанная на использовании слабо- стей человека и особенностей его психики. Ущерб – эквивалентная стоимость всех видов по- терь (финансовых, репутационных, материальных и пр.), которые понесет объект или его владелец в ре- зультате инцидента. Инцидент – факт нарушения свойств ИБ в процес- сах формирования, передачи, обработки, хранения и воспроизведения информации на объекте и/или пре- кращение функционирования объекта. Уязвимость – недостаток объекта, эксплуатация ко- торого делает возможным реализацию инцидента, на- |
