Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 6)

Таблица 3.8 – Пример причинно-следственных связей

Окончание таблицы 3.8

1 – выполняется условие;

0 – не выполняется условие;

Х – условие не считается важным;

Регистрация пройдена в случае, когда выполнены все условия.

Метод белого ящика

При выполнении этого метода, тестировщик получает тестовые данные посредством анализа логики работы программы. При этом выполняются действия: представление программы в виде графа и выполнить структурные критерии (производится тестирование команд, ветвей, путей, условий).

1. Представление программы в виде блок-схемы

Например:

1 public void Method (ref int x) {

2 if (x>17)

3 x = 17-x;

4 if (x==-13)

5 x = 0;

6}

Блок-схема представлена на рисунке 3.5.

Рисунок 3.5 – Графическое представление работы программы

1. Выполнение структурных критериев:

• тестирование команд (критерий С0) - набор тестов в совокупности должен обеспечить прохождение каждой команды не менее одного раза. Это слабый критерий, он, как правило, используется в больших программных системах, где другие критерии применить невозможно;

• тестирование ветвей (критерий С1) - набор тестов в совокупности должен обеспечить прохождение каждой ветви не менее одного раза.Это достаточно сильный и при этом экономичный критерий, поскольку множество ветвей в тестируемом приложении конечно и не так уж велико. Данный критерий часто используется в системах автоматизации тестирования;

• тестирование путей (критерий С2) - набор тестов в совокупности должен обеспечить прохождение каждого пути не менее 1 раз. Если программа содержит цикл (в особенности с неявно заданным числом итераций), то число итераций ограничивается константой. Число итераций ограничивается константой, эта константа часто равна двум, или числу классов выходных путей;

• тестирование условий - покрытие всех булевских условий в программе. Критерии покрытия решений (ветвей - С1) и условий не заменяют друг друга, поэтому на практике используется комбинированный критерий покрытия условий/решений, совмещающий требования по покрытию и решений, и условий.

Например:

• критерий команд (C0):(вх, вых) = {(30, 0)} - все операторы пути 1-2-3-4-5-6;

• критерий ветвей (C1): (вх, вых) = {(30, 0),(17, 17)} ;

• критерий путей (C2): (вх, вых) = {(30,0), (17,17),(-13,0), (21,-4)}.

Условия операторов if

В С1 добавляется один тест к множеству тестов для С0 пути 1-2-4-6. Путь 1-2-3-4-5-6 проходит через все ветви достижимые в операторах if при условии true, а путь 1-2-4-6 через все ветви, достижимые в операторах if при условии false.

Критерий ветвей С2 проверяет программу более тщательно, чем критерии С0 и C1, однако даже если он удовлетворен, нет оснований утверждать, что программа реализована в соответствии со спецификацией.

Примечание:

Структурные критерии не проверяют соответствие спецификации, если оно не отражено в структуре программы. Поэтому при успешном тестировании программы по критерию C2 есть вероятность не заметить ошибку, связанную с невыполнением некоторых условий спецификации требований

Поиск уязвимостей в ИС при помощи инструментальных средств

Рекомендуется использовать для анализа защищенности информации в ИС сетевые сканеры безопасности отечественного производства, например "Ревизор сети" версия 3.0 или “Сканер-ВС”. Эти программы имеют сертификаты ФСТЭК и достаточно просты в использовании выполнения нужных задач.

Например, “Сканер-ВС” выполняет следующие задачи:

• определение топологии и инвентаризация ресурсов сети;

• поиск уязвимостей — «Сканер-ВС» позволяет сканировать узлы вычислительной сети на предмет наличия известных уязвимостей, сканирование с применением SSH/SMB полномочий, информативные отчеты в форматах HTML, PDF, XML. Интегрирован с SIEM-системой «КОМРАД»;

• локальный аудит стойкости паролей;

• сетевой аудит стойкости паролей;

• поиск остаточной информации;

• гарантированная очистка информации ;

• перехват и анализ сетевого трафика;

• программный и аппаратный аудит конфигурации;

• контроль целостности;

• аудит WI-FI сетей Аудит обновлений ОС Windows;

• проведение тестирования на проникновение;

• аудит ОС AstraLinux .

Пример работы инструментального средства «Сканер-ВС» представлен на рисунках 3.6 и 3.7.

Рисунок 3.6 – Фрагмент работы программы “Сканер-ВС” с информацией о ПО

Рисунок 3.7 – Фрагмент работы программы “Сканер-ВС” с возможностью осуществления проверочной атаки

Пятый этап. Подведение итогов проведения анализа защищённости в ИС

После проведения всех прошлых этапов собирается полная информация о проделанной работе и выдвигаются рекомендации по настройке оборудования и закрытию оставшихся уязвимостей, если такие имеются.

Рекомендации пишутся в следующем порядке:

• рекомендации по настройке программных и программно-технических средств защиты информации в ИС;

• рекомендации по закрытию найденных уязвимостей в ИС;

• рекомендации по доработке и модернизации системы защиты информации.

Рекомендации по доработке и модернизации системы защиты информации могут отсутствовать, если отсутствуют рекомендации, описанные в пунктах выше, либо найденных уязвимости были закрыты на этапе проведения анализа защищённости ИС.

Шестой этап. Составление отчётности по проведению анализа защищённости в ИС.

Последний этап представляет собой составление единого документа, который содержит: информацию исследований из раннее описанных этапов, сгенерированные отчёты используемых инструментальных средств, рекомендации из п. 6. Структура отчёта по анализу защищённости информации на этапе внедрения системы защиты в ИС включает:

1. термины, определения и сокращения;

2. выполняемые функции ИС;

3. структурно-функциональные характеристики;

4. степень конфиденциальности обрабатываемой в ИС;

5. состав ИС:

   1. взаимодействие с иными ИС;

   2. схема размещения компонентов ИС;

   3. перечень прикладного ПО.

6. результаты проверки настройки программных, технически и программно-технических средств:

   1. результаты проверки настройки технических и программно-технических средств ИС;

   2. результаты проверки настройки технических, программных и программно-технических средств защиты информации внедряемой системы защиты.

7. результаты анализа защищённости внутреннего и внешнего периметра сети ИС;

8. результаты поиска уязвимостей:

   1. результаты проверки персонала на знание и умение работать с средствами защиты информации;

   2. результаты проверки организационных мер защиты информации в ИС;

   3. результаты поиска уязвимостей в прикладном ПО ИС;

   4. результаты поиска уязвимостей инструментальными средствами.

9. рекомендации по устранению уязвимостей и настройки оборудования ИС;

10. рекомендации по доработке и модернизации системы защиты;

11. заключение;

12. приложения:

    1. отчёты экспертной группы по найденным уязвимостям;

    2. отчёты инструментальных средств.

Заключение

Данная работа была проведена с целью помощи специалистам и сотрудникам уполномоченным в области защиты информации. Результатом работы являются разработанные методические рекомендации по проведению анализа защищенности информации на этапе внедрения системы защиты в информационной системе.

Данные методические рекомендации применимы в реальной практике. Также помимо методики и методических рекомендаций в приложении предложена форма отчётности по проведению анализа защищенности.

В работе были изучены основные документы федеральных органов уполномоченных в области защиты информации, касающиеся анализа защищённости. Таким образом, работа полностью соответствует правилам и законам по проведению анализа защищенности.

Список использованных источников

1. Википедия. Свободная энциклопедия [Электронный ресурс]. – Режим доступа: https://ru.wikipedia.org/

2. Хабрахабр [Электронный ресурс] / Сайт статей с информацией от специалистов IT-индустрии. - https://habrahabr.ru/

3. ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения[Текст]; введ.01.09.2014 .

4. ГОСТ Р 50922-2006 Защита информации. Основные термины и определения[Текст]; Взамен ГОСТ Р5 50922 – 96; введ.01.02.2008.

5. Приказ ФСТЭК России от 11 февраля 2013 г. N 17 Об утверждении требований о защите информации, не составляющей государственную тайну содержащейся в государственных информационных [Текст];

6. Приказ ФСТЭК России от 11 февраля 2013 г. N 21 Об утверждении состава и содержания организационных технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных [Текст];

7. Методический документ ФСТЭК России от 11 февраля 2014 года «Меры защиты информации в государственных информационных системах» [Текст]

Терминологический словарь

Информация – сведения (сообщения, данные) независимо от формы их представления;

Информационная система (автоматизированная система) – Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления этих процессов и методов.

Характеристики

Список файлов ВКР