Статья

Название статьи МЕТОДИКА ТЕСТИРОВАНИЯ И ОЦЕНКИ МЕЖСЕТЕВЫХ ЭКРАНОВ
Автор А.Г. Богораз, О.Ю. Пескова
Рубрика РАЗДЕЛ II. БЕЗОПАСНОСТЬ ИНФОРМАЦИОННЫХ СИСТЕМ И СЕТЕЙ
Месяц, год 12, 2013
Индекс УДК 004.054
DOI
Аннотация Рассмотрены основные российские и зарубежные методики оценки защищенности информационных систем в приложении к анализу межсетевых экранов. Показана необходимость разработки методологии тестирования межсетевых экранов как на стендах, так и в реальной системе. Был выполнен анализ следующих методик тестирования информационной безопасности организации: OSSTMM – The Open Source Security Testing Methodology Manual, NIST Special Publications 800-115 Technical Guide to Information Security Testing and Assessment, ISSAF – Information System Security Assessment Framework. Также анализировались следующие методики проведения тестов на проникновение: методика Positive Technology, методика Digital Security, BSI – Study A Penetration Testing Model, PTES – Penetration Testing Execution Standard – Technical Guidelines.Описаны основные шаги методик, проведено их сравнение по различным показателям. Представлена авторская методика тестирования и оценки межсетевых экранов. Приведен перечень уязвимостей, которые могут быть обнаружены с помощью разработанной методики.

Скачать в PDF

Ключевые слова Межсетевой экран; тестирование межсетевых экранов; тесты на прочность; пентестинг; методики тестирования информационной безопасности.
Библиографический список 1. Positive Technologies – безопасность, консалтинг, compliance management [Электронный ресурс] // Positive Technologies [сайт]. URL: http://www.ptsecurity.ru/services/pen/ technological (дата обращения 20.10.2013).
2. Digital Security: N1 в аудите безопасности [Электронный ресурс]. // Digital Security [сайт]. URL: http://dsec.ru/consult/test/#why (дата обращения 20.10.2013).
3. Herzog P. OSSTMM – The Open Source Security Testing Methodology Manual. – USA, New York, 13.12.2006. –129 p. URL: http://www.isecom.org/research/osstmm.html (дата обращения: 20.10.2013).
4. Scarfone К., Hoffmann P. NIST Special Publications 800-41 Guidelines on Firewall and Firewall Policy. – USA, Gaithersburg, 09.2009. – 48 p. URL: http://csrc.nist.gov/publications/
nistpubs/800-41-Rev1/sp800-41-rev1.pdf (дата обращения 20.10.2013).
5. Scarfone К., Souppaya М., Cody А., Orebaugh А. NIST Special Publications 800-115 Technical Guide to Information Security Testing and Assessment. – USA, Gaithersburg, 09.2008. – 80 p. URL: http://csrc.nist.gov/publications/nistpubs/800-41-Rev1/sp800-41-rev1.pdf (дата обращения 20.10.2013).
6. BSI – Study A Penetration Tesing Model / Germany, Bonn. – 111 р. URL: https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/
Publications/Studies/Penetration/penetration_pdf.pdf?__blob= publicationFile (дата обращения: 20.10.2013).
7. Rathore B. и др. ISSAF – Information System Security Assesment Framework. – 30.04.2006. – 1264 p. URL: http://www.oissg.org/issaf02/issaf0.1-5.pdf (дата обращения 20.10.2013).
8. Nickerson С. и др. The Penetration Testing Execution Standard. – 30.04.2012 [Электронный ресурс] // Penetration Testing Execution Standarts [сайт]. URL: http://www.pentest-
standard.org/index.php/PTES_Technical_Guidelines (дата обращения 20.10.2013).

Comments are closed.