Автор(ы): Балаева Пятимат Хаз - Магомедовна Рубрика: Физико-математические науки
Способы испытания средств защиты информации

Раздел 1 Обзор значения средств защиты информации
В современных условиях активного развития информационных технологий сложно представить хотя бы один документ, не имеющий электронного оригинала или копии. С другой стороны, увеличение пропускной способности и доступности глобальной сети Интернет создаёт значительные возможности для злоумышленни- ков. К рискам, которым подвергается информация в электронном виде, как прави- ло, относят :  копирование (хищение) информации;  модификация (искажение) информации;  блокирование информации;  уничтожение информации;  отрицание подлинности информации;  навязывание ложной информации. С целью защиты информации разрабатываются и применяются средства за- щиты информации (СЗИ). По способу защиты информации, СЗИ можно классифици- ровать следующим образом : средства защиты от несанкционированного доступа (НСД):  авторизация;  избирательное управление доступом;  управление доступом на основе ролей;  мандатное управление доступом;  журналирование (аудит);  системы анализа и моделирования информационных потоков (CASE-системы);  системы мониторинга сетей:  системы обнаружения и предотвращения вторжений (IDS/IPS);  системы предотвращения утечек конфиденциальной информации (DLP-системы);  анализаторы протоколов;
 антивирусные средства;  межсетевые экраны;  криптографические средства:  средства шифрования;  средства цифровой подписи;  системы резервного копирования;  системы бесперебойного питания;  системы аутентификации (на основе паролей, ключей доступа, сертификатов или биометриче- ских данных);  инструментальные средства анализа систем защиты. Поскольку по способу реализации СЗИ можно разделить на программные, ап- паратные и программно-аппаратные, при разработке СЗИ можно опираться на ГОСТ 34 серии. В этом случае этапы разработки СЗИ будут следующими: 1. формирование требований к СЗИ; 2. разработка концепции СЗИ; 3. техническое задание; 4. эскизный проект; 5. технический проект; 6. рабочая документация; 7. ввод в действие. При этом в рамках этапа ввода в действие, должны проводиться испытания средств защиты информации: предварительные испытания, опытная эксплуатация и приемочные испытания. Испытания, как правило, предполагают проверку спо- собности СЗИ выполнять задачи защиты информации в соответствии с техническим заданием. В свою очередь, техническое задание описывает требования к разраба- тываемым СЗИ. Отличительной особенностью разработки СЗИ от разработки дру- гих автоматизированных систем является их нацеленность на устранение или сни- жение рисков, связанных с информационной безопасностью, в то время как другие типы автоматизированных систем, как правило, имеют целью эффективное выпол- нение бизнес-процессов. В соответствии с этим утверждением, особого подхода
требует этап испытания СЗИ. Способность СЗИ выполнять поставленные перед ней задачи называется качеством СЗИ. Выделяют следующие основные принципы информационной безопасности: 1. конфиденциальность; 2. целостность; 3. доступность.
Раздел 2 Обзор основных способов испытания средств защиты информации
Специализированные виды испытаний СЗИ, как правило, направлены на уста- новление факта выполнения испытываемыми СЗИ указанных принципов. Как пра- вило, такие испытания проводятся путем моделирования для СЗИ наиболее рас- пространенных атак. К таким атакам, например, относятся:  DDOS – вид атаки, нацеленной на перегруз системы путем отправки на её вход значительного количества запросов. Этот вид атаки приводит к временному выходу из строя системы или к значительным задержкам в выполнении ею функций.  Инъекции кода – вид атаки, заключающейся в исполнении некоего кода, который обеспечивает доступ к системной информации или другой информации клиента.  Server-Side Includes (SSI) Injection – вид атаки, построенной на вставке серверных команд в код HTML, или запуске их напрямую на стороне сервера.  XSS (Cross-Site Scripting) – атака заключается в генерации на сформированной сервером страни- це вредоносного приложения с целью выполнения его на стороне клиента.  XSRF / CSRF (Сross Site Request Forgery) – атака, строящаяся на недостатках HTTP протокола, поз- воляющих перенаправлять потенциальную жертву на выбранный злоумышленниками сайт.  Authorization Bypass – вид атаки, позволяющий несанкционированно получить доступ к сведе- ниям других пользователей, как правило, путем подстановки в URL подложных сведений (на- пример, идентификатора). Кроме того, можно выделить несколько способов испытания СЗИ, носящих общесистемный характер: 1. нагрузочное тестирование; 2. регрессионное тестирование; 3. системное тестирование. Нагрузочное тестирование – определение показателей производительности системы или устройства, основанное на сборе времени отклика (выполнения опе-
рации) тестируемой системой. Способ нагрузочного тестирования применим к СЗИ с целью определения эффективности защиты от DDOS атак. Регрессионное тестирование – проверка неизменности поведения тестируе- мой системы. Этот вид тестирования применяется для контроля за новыми версия- ми СЗИ. Он обеспечивает неизменность желаемого поведения СЗИ путем защиты от несанкционированных изменений. Системное тестирование – оценка выполнения требований (функциональных и не функциональных) системой в целом. Проводится проверка программной части СЗИ, аппаратной части СЗИ (при наличии), их взаимодействия между собой в рам- ках СЗИ, а также взаимодействие СЗИ с остальной частью системы. Проведение испытаний СЗИ затруднено, поскольку отсутствуют четкие крите- рии по защите информации от перспективных видов атак. В связи с этим, к прове- дению испытаний рекомендуется привлекать экспертное сообщество в задачи ко- торого должны входить поиск новых видов атак на СЗИ и выявление уязвимостей СЗИ. Непосредственно проведение испытаний может осуществляться экспертами или автоматически с применением средств автоматизированного тестирования. При проведении испытаний экспертами, выводы по итогам испытаний делаются на основании методов экспертных оценок. Экспертный метод – это метод решения задач, основанный на использовании обобщенного опыта и интуиции специалистов-экспертов. Экспертный метод оцен- ки качества СЗИ используется в тех случаях, когда невозможно или значительно осложнено применение методов объективного определения качества СЗИ. Резуль- тат экспертизы может заключаться в ранжировании версии СЗИ по качеству или в измерении по шкале порядка. Процедура ранжирования является наиболее про- стой при оценке качества СЗИ, но и наименее точной, поскольку разница по каче- ству между присвоенными рангами R-1, R, R+1 может значительно различаться. Для количественного сравнения качества СЗИ могут обращаться к алгоритмам экс- пертного ранжирования, которые предполагают наличие следующих этапов: 1. выбор наиболее важных показателей качества, число которых не превосходит 7-10 (большее число показателей приводит к затруднению выставления экспертом оценок); 2. индивидуальное, а затем и групповое ранжирование показателей качества по их важности; 3. оценка СЗИ. На каждом из указанных этапов проводится оценка согласованности мнений экспертов и отбрасывание, при необходимости, грубых ошибок. Таким образом, с привлечением экспертов могут быть проведены неформализуемые испытания СЗИ, а по результатам таких испытаний получена итоговая согласованная оценка каче- ства СЗИ.
Среди средств автоматизированного тестирования можно выделить следую- щие наиболее распространенные: QACenter, Mercury, TestComplete и др. Большин- ство средств автоматизированного тестирования представляют собой некоторую среду разработчика [8], которая обеспечивает написание и исполнение скриптов тестирования. Такие скрипты могут относиться к регрессионному, модульному, си- стемному или другим способам тестирования. Результаты выполнения скриптов (в виде реакции тестируемой программы) могут фиксироваться средством автомати- зированного тестирования для их дальнейшего анализа. Широко распространено применение средств автоматизированного тестирования для нагрузочного тестиро- вания. В этом случае, средство фиксирует параметры производительности тестиру- емой системы. Кроме того следует отметить, что особенным испытаниям в соответствии с Постановлением Правительства РФ от 26 июня 1995 г. № 608 «О сертификации средств защиты информации» подвергаются средства защиты информации в рам- ках программных, программно-аппаратных и аппаратных средств предназначен- ных для обработки данных, отнесённых к государственной тайне, либо отнесённых к служебной тайне, включая персональные данные с классом защищённости К1. Как правило, такие испытания носят комплексный характер. В рамках испытаний оценивается не только средства защиты информации, но и физический защищае- мый объект (помещение), аппаратная и программная составляющие системы, а также организационная составляющая (в виде регламентов). В этом случае испыта- ния проводятся с применением специальных средств и техники и заключаются в проверке соответствия показателей защиты информации заданным нормативам. В ряде случаев, оценка может носить экспертный характер (в этом случае оценка по- лучается с применением методов экспертных опросов).
Заключение
Таким образом, можно сделать вывод, что выбор способов испытания СЗИ в значительной степени определяется видом СЗИ, а также способом применения СЗИ, и, как следствие, перечнем угроз или атак, которым подвержен данный тип СЗИ. Частично испытания могут быть проведены с применением средств автомати- зации тестирования, а частично – с привлечением экспертов. В последнем случае результаты испытаний определяются с применением методов экспертных опросов. При разработке СЗИ, предназначенных для защиты информации, отнесенной к го- сударственной тайне, служебной тайне или к персональным данным с классом за- щищенности К1, испытания должны проводиться, также и по определенным зако- нодательствам регламентам. Список литературы 1. ГОСТ Р 50922-96 Защита информации. Основные термины и определения 2. Информационные технологии: учебн. пособие / Г.Н. Исаев. – М.: Издательство «Омега-Л», 2012
3. Домарев В. В. Безопасность информационных технологий. Системный подход — К.: ООО ТИД Диа Софт, 2004. 4. ГОСТ 34.601-90 Автоматизированные системы. Стадии создания. 5. Умников, А. А. Информационная безопасность: учеб.-метод. комплекс / А. А. Умников. – Ново- сибирск: НГПУ, 2008. – 188 с. 6. Лайза Криспин, Джанет Грегори Гибкое тестирование: практическое руководство для тестиров- щиков ПО и гибких команд = Agile Testing: A Practical Guide for Testers and Agile Teams. — М.: «Вильямс», 2010. 7. Кириллов В.И. Квалиметрия и системный анализ. Учебное пособие. — Минск : Новое знание ; М. : ИНФРА-М, 2011. 8. Винниченко И.В. Автоматизация процессов тестирования.–СПб.: Питер, 2005