Аудит безопасности критической инфраструктуры специальными информационными воздействиями. Монография


  Тестирование специальными средствами и способами



Download 2,43 Mb.
Pdf ko'rish
bet24/80
Sana03.03.2022
Hajmi2,43 Mb.
#480965
TuriМонография
1   ...   20   21   22   23   24   25   26   27   ...   80
Bog'liq
makarenko-audit ib 2018

2.3. 
Тестирование специальными средствами и способами 
информационных воздействий 
В настоящее время сложился подход к тестированию, когда подавляющая 
часть процессов оценивания безопасности системы основывается на анализе 
соответствия формальным требованиям, а также путем тестирования на основе 
моделей. 
Вместе с тем, прослеживается тенденция к наращиванию доли тестов, ко-
торые проводятся в форме экспериментальных исследований реального объекта 
или его прототипа. Особенно это характерно при тестировании программного 
обеспечения [10]. Как правило, для этого используются виртуальные машины, 


38 
на которых осуществляется контролируемое выполнение тестируемого про-
граммного обеспечения [109, 110, 113]. Дальнейшее развитие данного подхода 
к тестированию привело к разработке так называемых киберполигонов, кото-
рые виртуализируют как аппаратное, так и программное обеспечение распреде-
ленной информационной системы и позволяют отработать защиту от различ-
ных известных ИТВ. Сейчас это направление активно развивается, и ему по-
священы работы [33-35]. 
Вместе с тем, реальные информационные системы не ограничиваются ис-
ключительно техническими средствами. Организационные процессы обеспече-
ния ИБ, а также большие технические комплексы не могут быть протестирова-
ны на подобных киберполигонах в виду объективных ограничений на возмож-
ности виртуализации. В этом случае используется тестирование реального объ-
екта. К исследованиям, в которых развивается данное направление, относятся 
работы [83-87]. 
В настоящее время к наиболее распространенному комплексному тесту 
защищенности реальной информационной системы относится «тест на проник-
новение». Исследованию данного способа тестирования посвящены работы [13-
14, 97, 105, 108-118]. Однако в подавляющем числе данных работ не содержат-
ся какие-либо научно-обоснованные методики проведения тестирования (по-
добные тем, которые задаются для испытаний при оценке соответствия). Более 
того, исследователи этого типа тестирования отмечают, что выбор конкретных 
способов и средств тестирования остается за экспертом, и в первую очередь 
должен быть направлен на выявление тех уязвимостей, на которые обращает 
внимание заказчик и исправление которых в максимальной степени выгодны 
эксперту (особенно, если по итогам тестирования ожидается принятие решения 
о заказе определенной системы защиты). Таким образом, этому виду тестиро-
вания характерна еще и субъективность как в отношении ожидаемых результа-
тов со стороны заказчика, так и в отношении заинтересованности эксперта в 
обнаружении наиболее «зрелищных» уязвимостей с целью склонения заказчика 
к организации определенной конфигурации защиты. Вышеуказанное актуали-
зирует разработку четкой классификации и методологических подходов по 
проведению не только тестов на проникновение, но и по проведению экспери-
ментов по тестированию реальных систем, в целом. 
Предлагается сформировать классификацию тестирования реальных си-
стем и их прототипов с использованием специальных средств и способов на ос-
нове известной классификации ИТВ и ИПВ, представленной в работе [1]. В 
этом случае, такие часто используемые в аудите ИБ понятия как «инструмен-
тальный аудит» и «тест на проникновение» фактически будут частными случа-
ями данного типа тестирования. Этим понятиям можно дать следующие опре-
деления. 
Инструментальный аудит
– экспериментальная проверка с целью оце-
нивания состояния ИБ объекта путем применения против него специальных 
средств ИТВ. 
Тест на проникновение
– экспериментальная проверка с целью оценива-
ния состояния ИБ и выявления уязвимостей объекта тестирования (тестируемой 


39 
системы) путем интегрального и целенаправленного применения против него 
специальных средств и способов ИТВ и ИПВ. 
По сфере применения, на которую ориентированы средства и способы те-
стирования, их можно различать на: 
-
применяемые в технической сфере; 
-
применяемые в психологической сфере. 
В соответствии с этой классификацией для тестирования в технической 
сфере используются ИТВ, а в психологической сфере – ИПВ. Таким образом, 
специальные средства и способы по типу воздействия можно разделить на: 
-
информационно-технические воздействия; 
-
информационно-психологические воздействия. 
По форме представления объекта, тестирование можно классифицировать 
следующим образом: 
-
на основе изучения виртуального прототипа (за счет использования 
средств виртуализации); 
-
на основе изучения реального объекта. 
Базовая классификация тестирования специальными средствами и спосо-
бами, основанными на информационных воздействиях, приведена на рис. 6. 

Download 2,43 Mb.

Do'stlaringiz bilan baham:
1   ...   20   21   22   23   24   25   26   27   ...   80




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish