Определения 4
Обозначения и сокращения 7
Введение 9
1 Анализ метода тестирования на проникновение как инструмента,
применяемого для поиска уязвимостей информационных систем 11
2 Обзор существующих методологий тестирования информационных систем 15
2.1 Общедоступные методологии тестирования 15
2.2 Методология «Open Source Security Testing Methodology Manual» 15
2.3 Методология «NIST Special Publications 800-115 Technical Guide to
Information Security Testing and Assessment» 16
2.4 Методология «Information Systems Security Assessment Framework» . 17
2.5 Методология «Penetration Testing Execution Standard» 19
2.6 Результаты рассмотрения методологий 21
3 Обзор существующих инструментальных сред, применяемых для
автоматизации процесса проведения тестирования на проникновение 22
4 Описание объекта исследования 27
5 Методика выявления уязвимостей информационной системы методом
тестирования на проникновение 35
5.1 Определение подхода к разрабатываемой методике 35
5.2 Подготовка к проведению тестирования 36
5.3 Сбор информации и идентификация уязвимостей 37
5.4 Эксплуатация уязвимостей 46
5.5 Попытка повышения привилегий 49
5.6 Разработка отчетной документации 52
5.7 Оценка применимости разработанной методики 53
6 Тестирование информационной системы 54
7 Вредные психофизиологические факторы, влияющие на психоэмоциональное состояние специалиста по защите информации. Методы и средства физической культуры, снижающие их воздействие 73
7.1 Вредные психофизиологические факторы, влияющие на
психоэмоциональное состояние специалиста по защите информации 73
7.2 Методы и средства физической культуры, снижающие воздействие
психофизиологический факторов 76
Заключение 79
Список используемых источников 81
Приложение А Договор на оказание услуг по проведению теста на
проникновение 86
Приложение Б Отчет о результатах проведения тестирования на проникновение
99
Широкое применение информационных технологий в практической деятельности человека привело к росту случаев несанкционированного доступа к конфиденциальной информации. Существенно затруднить
несанкционированный доступ к информации ограниченного доступа может не только совершенствование систем информационной безопасности, но и процесс проверки текущего состояния защищенности информационных систем, то есть их аудит.
Тестирование на проникновение является одним из важнейших направлений аудита защищенности информационных систем. Актуальность данного направления обусловлена следующими основными факторами:
- рост количества и высокая степень интеграции информационных систем, обрабатывающих подлежащую защите от несанкционированного доступа информацию;
- необходимость постоянного расширения функциональных характеристик информационных систем путем применения вновь разработанных компонентов;
- расширение спектра инструментальных средств и увеличение вычислительных ресурсов, доступных нарушителям безопасности информации.
Аудит защищенности информационной системы методом тестирования на проникновение позволяет получить объективную оценку уровня защищенности самой системы и ее инфраструктуры, определить наличие уязвимостей и сформировать рекомендации по их устранению. Дополнительно данный инструмент может быть применен с целью подтверждения/опровержения наличия потенциальной уязвимости, о которой известно до проведения тестирования.
Идентификация уязвимостей является важнейшим элементом обеспечения информационной безопасности и может послужить основной для формирования адекватной и всеобъемлющей программы мероприятий по повышению уровня защищенности системы, что в свою очередь ведет к снижению соответствующих операционных, финансовых и репутационных рисков.
Актуальность темы диплома обусловлена необходимостью проведения тестирования на проникновение при разработке в соответствии с ГОСТ Р 56939¬2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования» [10] и сертификации средств защиты информации по требованиям безопасности информации. Также в соответствии с информационным сообщением ФСТЭК России от 15.07.2013г. «в целях снижения вероятности возникновения угроз безопасности персональных данных могут применяться дополнительные меры, связанные с тестированием информационной системы на проникновение» [11]...
В рамках дипломного проекта был разработан методический подход к выявлению уязвимостей информационной системы методом тестирования на проникновение.
Данный методический подход был разработан с учетом требований к проведению тестирования на проникновения, описанных в зарубежных методологиях. В процессе работы были рассмотрены основные аспекты методологий тестирования, выделены их достоинства и недостатки. Также была рассмотрена возможность применения инструментальных средств для автоматизации процесса тестирования на проникновения.
Разработанная методика включает в себя 5 этапов, для каждого из которых описаны возможные методы проведения тестирования на проникновение и применяемые при этом инструментальные средства. Данная методика предназначена для выявления уязвимостей информационной системы путем попыток осуществления несанкционированного доступа к ней.
Разработанная методика применима для тестирования проводных локальных сетей. Она может использоваться как для внутреннего, так и для внешнего тестирования на проникновение. В зависимости от подхода к проведению тестирования (белый, серый или черный ящик) этап пассивного и/или активного сбора информации о системе в соответствии с методикой может частично не проводится.
В соответствии с разработанной методикой было проведено внутреннее тестирование на проникновение ИСПДн-И бухгалтерии промышленного предприятия методом «серого ящика», в ходе которого выявлено наличие в системе критических уязвимостей, эксплуатация которых приводит к нарушению характеристик безопасности информации, обрабатываемой в ИСПДн-И.
Таким образом, был сделан вывод о возможности применения данной методики для выявления уязвимостей корпоративной сети или ее отдельных хостов.
Техническое задание на выпускную квалификационную работу выполнено в полном объёме.
