Аудит безопасности критической инфраструктуры специальными информационными воздействиями. Монография

Тестирование как один из основных типов аудита

Download 2,43 Mb.

Pdf ko'rish

bet	19/80
Sana	03.03.2022
Hajmi	2,43 Mb.
	#480965
Turi	Монография

1 ... 15 16 17 18 19 20 21 22 ... 80

Bog'liq
makarenko-audit ib 2018

2.
Тестирование как один из основных типов аудита
критической информационной инфраструктуры
В известной литературе по аудиту, как правило, широко рассматриваются
два вида тестирования – инструментальный аудит и тестирование на проникно-
вение. Однако, на взгляд автора, эти типы тестирования являются разновидно-
стью тестирования специальными средствами и способами (см. выше). Это
обусловлено тем, что при инструментальном аудите используются технические
средства анализа и ИТВ, при этом в данное понятие не включаются средства и
способы ИПВ, а также способы социальной инженерии. А понятие «тестирова-
ние на проникновение» слабо формализуемое мероприятие по комплексному
применению средств и способов ИТВ и ИПВ, суть и содержание которого ме-
няется в зависимости от требований заказчика аудита и квалификации выпол-
няющего его эксперта.
В настоящее время в теории аудита ИБ сложилась ситуация, при которой
большинство работ в этой области ориентировано на исследование экспертного
аудита [4, 9, 11, 25] и оценки соответствия [10, 11] преимущественно на основе
моделей анализа рисков, либо на основе анализа стандартов ИБ. При этом, те-
стирование и, в особенности, тестирование специальными средствами и спосо-
бами, является недостаточно изученной теоретической областью аудита. Име-
ются отдельные работы, например [13-15], которые посвящены такому типу те-
стирования «как тест на проникновение», однако данные работы носят в боль-
шей степени практический, чем теоретический характер. При этом тестирова-
ние является более гибким инструментом аудита чем, например, мероприятия
оценки соответствия, так как его проведение не ограничено рамками действу-
ющих стандартов и регламентов. Это позволяет выбирать более широкий диа-
пазон средств и способов тестирования, а также быть более избирательным в
направлении достижения цели аудита. Например, проводить тестовое исследо-
вание систем к угрозам и выявлять уязвимости, еще не описанные в базах угроз
и уязвимостей. Всё это актуализирует подробное рассмотрение тестирования
как отдельную важную и передовую (относительно уже действующих стандар-
тов) область аудита ИБ применительно к системам КИИ.

Download 2,43 Mb.

Do'stlaringiz bilan baham:

1 ... 15 16 17 18 19 20 21 22 ... 80