ГОСТ Р 56045-2021/ISO/IEC TS 27008:2019. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Рекомендации по оценке мер обеспечения информационной безопасности

7.4 Тестирование и валидация

7.4.1 Общая информация

Метод тестирования и валидации - это метод оценки, при котором сравниваются фактические и ожидаемые рабочие показатели одного или нескольких объектов оценки в заданных условиях. Результаты оценки подтверждают наличие, эффективность, функциональность, правильность и полноту мер обеспечения ИБ и указывают на возможности их улучшения с течением времени.

Тестирование должно выполняться компетентными специалистами с соблюдением всех мер предосторожности. Необходимо учитывать возможное воздействие на рабочие процессы организации, а также заручиться поддержкой ее руководства до начала тестирования, рассмотреть возможность проведения тестов вне периодов обслуживания при малой загрузке или даже в хорошо воспроизведенной среде тестирования. Сбои или недоступность систем из-за тестирования могут оказать существенное воздействие на нормальную повседневную работу организации. Это может привести как к финансовым потерям, так и к ухудшению репутации организации. Поэтому особое внимание следует уделить планированию тестирования и формированию правильных договорных обязательств (включая и юридические аспекты).

Прежде чем сделать какие-либо выводы, аудитор ИБ должен тщательно исследовать ложноположительные и ложноотрицательные результаты тестирования.

Как правило, объектами оценки являются механизмы (например, аппаратное, программное и встроенное программное обеспечение) и процессы (например, системные операции, процедуры администрирования и управления, тренировочные мероприятия).

Типичными действиями аудитора ИБ могут быть:

- тестирование механизмов контроля доступа, идентификации, аутентификации и проверки;

- тестирование настроек конфигурации безопасности;

- тестирование устройств контроля физического доступа;

- тестирование ключевых компонентов информационной системы на проникновение;

- тестирование операций резервного копирования информационной системы;

- тестирование способности реагирования на инциденты;

- проверка возможностей плановых действий в чрезвычайных обстоятельствах;

- тестирование систем безопасности обнаружения, предупреждения и реакции на вторжения;

- проверка алгоритмов шифрования и механизмов хеширования;

- тестирование механизмов управления идентификаторами и привилегиями пользователей;

- тестирование механизмов авторизации;

- проверка каскадной устойчивости мер безопасности;

- валидация мониторинга и ведения журналов;

- проверка аспектов безопасности при разработке или приобретении приложений.

7.4.2 Тестирование слепым методом

Аудитор, проводящий оценку мер обеспечения ИБ, тестирует объект оценки без каких-либо предварительных знаний его дополнительных характеристик, помимо общедоступных. Объект подготавливается к оценке лицом, заблаговременно знающим все детали оценки. Слепая оценка в основном осуществляется на основе навыков аудитора, проводящего оценку мер обеспечения ИБ. Объем и глубина слепой оценки могут быть настолько обширными, насколько позволяют знания и работоспособность аудитора, проводящего оценку мер обеспечения ИБ. Таким образом, это тестирование имеет ограниченное применение при оценках безопасности и его следует избегать. Его обычно называют "этичным хакерством".

7.4.3 Тестирование двойным слепым методом

Аудитор, проводящий оценку мер обеспечения ИБ, тестирует объект оценки без каких-либо предварительных знаний его дополнительных характеристик, помимо общедоступных. Аудитор заранее не сообщает об области оценки или используемых тестах. При двойной слепой оценке тестируется подготовленность объекта оценки к неизвестным параметрам оценки.

7.4.4 Тестирование методом серого ящика

Аудитор, проводящий оценку мер обеспечения ИБ, тестирует объект оценки, располагая ограниченным знанием о его защите и активах, но полным знанием о доступных тестах. Объект подготавливается к оценке лицом, заблаговременно знающим все детали оценки. Оценка методом серого ящика осуществляется на основе навыков аудитора, проводящего оценку мер обеспечения ИБ. Основным свойством этого тестирования является результативность. Объем и глубина зависят от качества информации, предоставленной аудитору, проводящему оценку мер обеспечения ИБ, перед тестированием, а также от надлежащих знаний аудитора. Таким образом, это тестирование имеет ограниченное применение при оценках безопасности и его следует избегать. Этот вид тестирования часто называют "тестированием уязвимостей", и оно чаще всего инициируется объектом как "мероприятие по оценке самого себя".

7.4.5 Тестирование методом двойного серого ящика

Аудитор, проводящий оценку мер обеспечения ИБ, тестирует объект оценки, располагая ограниченным знанием о его защите и активах, но полным знанием о доступных тестах. Аудитор заранее сообщает об области и сроках оценки, но не о тестах. Оценка методом двойного серого ящика тестирует подготовленность объекта к неизвестным параметрам оценки. Объем и глубина зависят от качества информации, предоставленной аудитору, проводящему оценку мер обеспечения ИБ, и объекту оценки перед тестированием, а также от применяемых знаний аудитора, проводящего оценку мер обеспечения ИБ.

7.4.6 Тестирование тандемным методом

Аудитор, проводящий оценку мер обеспечения ИБ, и объект оценки подготавливаются к оценке. Для обоих заранее известны все детали оценки. При тандемном методе тестируется защита, меры обеспечения ИБ объекта. Однако при использовании данного метода не может осуществляться тестирование подготовленности объекта к неизвестным параметрам оценки. Основным свойством данного тестирования является доскональность, поскольку аудитор, проводящий оценку мер обеспечения ИБ, имеет полное представление обо всех тестах и ответных действиях. Объем и глубина зависят от качества информации, предоставленной аудитору, проводящему оценку мер обеспечения ИБ, перед тестированием, а также от надлежащих знаний аудитора. Это тестирование часто называют "внутренней оценкой", и аудитор, проводящий оценку мер обеспечения ИБ, часто играет активную роль в общем процессе обеспечения безопасности.

7.4.7 Инверсионный метод

Аудитор, проводящий оценку мер обеспечения ИБ, тестирует объект оценки, располагая полным знанием о его процессах и операционной безопасности, однако объекту оценки ничего не сообщается о том, что, как или когда будет тестировать аудитор. Основным свойством этого тестирования является оценка подготовленности объекта к неизвестным параметрам и направлениям оценки. Объем и глубина зависят от качества информации, предоставленной аудитору, проводящему оценку мер обеспечения ИБ, а также от надлежащих знаний и творческого подхода аудитора. Это тестирование часто называют "Red Team Assessment".