Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 3)

Метод белого ящика

При выполнении этого метода, тестировщик получает тестовые данные посредством анализа логики работы программы. При этом выполняются действия: представление программы в виде графа и выполнить структурные критерии (производится тестирование команд, ветвей, путей, условий).

1. Представление программы в виде блок-схемы

Например:

1 public void Method (ref int x) {

2 if (x>17)

3 x = 17-x;

4 if (x==-13)

5 x = 0;

6}

Блок-схема представлена на рисунке А.5.

Рисунок А.5 –Графическое представление работы программы

1. Выполнение структурных критериев:

• тестирование команд (критерий С0) - набор тестов в совокупности должен обеспечить прохождение каждой команды не менее одного раза. Это слабый критерий, он, как правило, используется в больших программных системах, где другие критерии применить невозможно;

• тестирование ветвей (критерий С1) - набор тестов в совокупности должен обеспечить прохождение каждой ветви не менее одного раза.Это достаточно сильный и при этом экономичный критерий, поскольку множество ветвей в тестируемом приложении конечно и не так уж велико. Данный критерий часто используется в системах автоматизации тестирования;

• тестирование путей (критерий С2) - набор тестов в совокупности должен обеспечить прохождение каждого пути не менее 1 раз. Если программа содержит цикл (в особенности с неявно заданным числом итераций), то число итераций ограничивается константой. Число итераций ограничивается константой, эта константа часто равна двум, или числу классов выходных путей;

• тестирование условий - покрытие всех булевских условий в программе. Критерии покрытия решений (ветвей - С1) и условий не заменяют друг друга, поэтому на практике используется комбинированный критерий покрытия условий/решений, совмещающий требования по покрытию и решений, и условий.

Например:

• критерий команд (C0):(вх, вых) = {(30, 0)} - все операторы пути 1-2-3-4-5-6;

• критерий ветвей (C1): (вх, вых) = {(30, 0),(17, 17)};

• критерий путей (C2): (вх, вых) = {(30,0), (17,17),(-13,0), (21,-4)}.

Условия операторов if

В С1 добавляется один тест к множеству тестов для С0 пути 1-2-4-6. Путь 1-2-3-4-5-6 проходит через все ветви достижимые в операторах if при условии true, а путь 1-2-4-6 через все ветви, достижимые в операторах if при условии false.

Критерий ветвей С2 проверяет программу более тщательно, чем критерии С0 и C1, однако даже если он удовлетворен, нет оснований утверждать, что программа реализована в соответствии со спецификацией.

Примечание:

Структурные критерии не проверяют соответствие спецификации, если оно не отражено в структуре программы. Поэтому при успешном тестировании программы по критерию C2 есть вероятность не заметить ошибку, связанную с невыполнением некоторых условий спецификации требований

Поиск уязвимостей в ИС при помощи инструментальных средств

Рекомендуется использовать для анализа защищенности информации в ИС сетевые сканеры безопасности отечественного производства, например "Ревизор сети" версия 3.0 или “Сканер-ВС”. Эти программы имеют сертификаты ФСТЭК и достаточно просты в использовании выполнения нужных задач.

Например, “Сканер-ВС” выполняет следующие задачи:

• определение топологии и инвентаризация ресурсов сети;

• поиск уязвимостей — «Сканер-ВС» позволяет сканировать узлы вычислительной сети на предмет наличия известных уязвимостей, сканирование с применением SSH/SMB полномочий, информативные отчеты в форматах HTML, PDF, XML. Интегрирован с SIEM-системой «КОМРАД»;

• локальный аудит стойкости паролей;

• сетевой аудит стойкости паролей;

• поиск остаточной информации;

• гарантированная очистка информации ;

• перехват и анализ сетевого трафика;

• программный и аппаратный аудит конфигурации;

• контроль целостности;

• аудит WI-FI сетей Аудит обновлений ОС Windows;

• проведение тестирования на проникновение;

• аудит ОС AstraLinux .

Пример работы инструментального средства «Сканер-ВС» представлен на рисунках А.6 и А.7.

Рисунок А.6 – Фрагмент работы программы “Сканер-ВС” с информацией о ПО

Рисунок А.7 – Фрагмент работы программы “Сканер-ВС” с возможностью осуществления проверочной атаки

Пятый этап. Подведение итогов проведения анализа защищённости в ИС

После проведения всех прошлых этапов собирается полная информация о проделанной работе и выдвигаются рекомендации по настройке оборудования и закрытию оставшихся уязвимостей, если такие имеются.

Рекомендации пишутся в следующем порядке:

• рекомендации по настройке программных и программно-технических средств защиты информации в ИС;

• рекомендации по закрытию найденных уязвимостей в ИС;

• рекомендации по доработке и модернизации системы защиты информации.

Рекомендации по доработке и модернизации системы защиты информации могут отсутствовать, если отсутствуют рекомендации, описанные в пунктах выше, либо найденных уязвимости были закрыты на этапе проведения анализа защищённости ИС.

Шестой этап. Составление отчётности по проведению анализа защищённости в ИС.

Последний этап представляет собой составление единого документа, который содержит: информацию исследований из раннее описанных этапов, сгенерированные отчёты используемых инструментальных средств, рекомендации из п. 6.Структура отчёта по анализу защищённости информации на этапе внедрения системы защиты в ИС включает:

1. термины, определения и сокращения;

2. выполняемые функции ИС;

3. структурно-функциональные характеристики;

4. степень конфиденциальности обрабатываемой в ИС;

5. состав ИС:

   1. взаимодействие с иными ИС;

   2. схема размещения компонентов ИС;

   3. перечень прикладного ПО.

6. результаты проверки настройки программных, технически и программно-технических средств:

   1. результаты проверки настройки технических и программно-технических средств ИС;

   2. результаты проверки настройки технических, программных и программно-технических средств защиты информации внедряемой системы защиты.

7. результаты анализа защищённости внутреннего и внешнего периметра сети ИС;

8. результаты поиска уязвимостей:

   1. результаты проверки персонала на знание и умение работать с средствами защиты информации;

   2. результаты проверки организационных мер защиты информации в ИС;

   3. результаты поиска уязвимостей в прикладном ПО ИС;

   4. результаты поиска уязвимостей инструментальными средствами.

9. рекомендации по устранению уязвимостей и настройки оборудования ИС;

10. рекомендации по доработке и модернизации системы защиты;

11. заключение;

12. приложения:

    1. отчёты экспертной группы по найденным уязвимостям;

    2. отчёты инструментальных средств.

Терминологический словарь

Информация –сведения (сообщения, данные) независимо от формы их представления;

Информационная система (автоматизированная система) – Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Информационные технологии –процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления этих процессов и методов.

Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Защита информации – деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Анализ защищённости –в сесторонние тесты защищённости системы для обнаружения уязвимостей и проверки эффективности используемых мер защиты информации

Система защиты информации – совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.

Средство защиты информации – техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации.

Автоматизированное рабочее место – программно-технический комплекс АС, предназначенный для автоматизации деятельности определенного вида.

Грид, грид-вычисления – это форма распределённых вычислений, в которой «виртуальный суперкомпьютер» представлен в виде кластеров, соединённых с помощью сети, слабосвязанных гетерогенных компьютеров, работающих вместе для выполнения огромного количества заданий (операций, работ)

Центр обработки данных–отказоустойчивая комплексная централизованная система, обеспечивающая автоматизацию бизнес-процессов с высоким уровнем производительности и качеством предоставляемых сервисов.

Виртуализация– предоставление набора вычислительных ресурсов или их логического объединения, абстрагированное от аппаратной реализации, и обеспечивающее при этом логическую изоляцию друг от друга вычислительных процессов, выполняемых на одном физическом ресурсе.

Локальная ИС– совокупность автоматизированных рабочих мест и (или) отдельных средств вычислительной техники, объединенных между собой в единую систему посредством линий передачи данных, не выходящих за пределы контролируемой зоны.

Одноранговая локальная сеть – сеть, основанная на равноправии участников, её особенностью является отсутствие выделенных серверов, каждый узел сети является как клиентом, так и выполняет функции сервера. В отличие от архитектуры клиент-сервера, такая организация позволяет сохранять работоспособность сети при любом количестве и любом сочетании доступных узлов.

Распределенная ИС – информационная система, объекты данных и (или) процессы которой физически распределяются на две или более компьютерные системы.

Тонкий клиент – компьютер или программа-клиент в сетях с клиент-серверной или терминальной архитектурой, который переносит все или большую часть задач по обработке информации на сервер.

Межсетевой экран–программный или программно-аппаратный элемент компьютерной сети, осуществляющий контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами.

Несанкционированный доступ–доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации.

Угроза безопасности информации –совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

Уязвимость – недостаток (слабость) программного (программно-технического) средства или информационной системы в целом, который (которая) может быть использована для реализации угроз безопасности информации.

Список сокращений

СЗИ – система защиты информации

ИС – информационная система

ЗИ - защита информации

ФСТЭК – Федеральная служба по техническому и экспортному контролю

ФСБ – Федеральная служба безопасности

АРМ – автоматизированное рабочее место

ПО – программное обеспечение

НСД – несанкционированный доступ

ИБ – информационная безопасность

АС – автоматизированная система

МЭ – межсетевой экран

ОТСС – основные технические системы и средства

ВТСС – вспомогательные технические системы и средства

ПРД – правила разграничения доступа

Характеристики

Список файлов ВКР