Проверка корректности и достаточности систем и средств обеспечения ИБ
Ниже приведены возможные сценарии тестирования.
1. Нагрузочное тестирование программных компонентов
Разрабатывается ряд скриптов, эмулирующих работу реальных пользователей (покупателей и персонала). При выполнении данных скриптов с постепенным наращиванием нагрузки замеряются ключевые показатели производительности, анализ которых позволяет выявить «узкие места» в архитектуре АС.
Хорошим, но дорогостоящим вариантом является тестирование системы людьми, так как не всегда работа скриптов отражает реальное поведение пользователя в системе.
2. Стресс-тестирование программных компонентов
Моделируется прекращение работы web-приложений, а также других программных компонентов системы (вместе и по отдельности). Эмулируются сверхнагрузки (генерируемые злоумышленником) на уровне бизнес-приложений. Замеряется время восстановления функций АС. Проверяются навыки персонала по реагированию на возникновение нештатных ситуаций и наличие соответствующих должностных инструкций.
3. Нагрузочное и стресс-тестирование call-центра
4. Выход из строя линий связи, снижение пропускной способности
Моделируется, например, снижение качества услуг Интернет-провайдера.
5. Тестирование производительности АС при ее штатном функционировании и обслуживании
Замеряются показатели загрузки ресурсов АС при работе бизнес-приложений и компонентов СОИБ в штатном режиме. Определяется доля ресурсов АС, необходимая для работы СОИБ. Определяется производительность системы при выполнении различных служебных операций (резервное копирование баз данных, сканирование системы антивирусом и т.д.).
Проверка корректности и достаточности систем и средств обеспечения ИБ
1. Проверки комплектности и полноты документации
· проверяется наличие в организации документов, регламентирующих ИБ бизнес-процесса (политика ИБ, описание защищаемой информации, распределение обязанностей, работа с внешними носителями и т.д.);
· проверяется комплектность и полнота документации на АС, поддерживающую бизнес-процесс, в том числе на системы и средства обеспечения ИБ;
· отдельно проверяется корректность и полнота должностных инструкций сотрудников по эксплуатации АС (особое внимание уделяется эксплуатации систем и средств обеспечения ИБ), наличие инструкций на случай нештатных ситуаций;
2. Проверка знаний обслуживающего персонала
· проверяется знание сотрудниками перечня сведений, которые требуется защищать, и должностных инструкций по эксплуатации АС (в особенности систем и средств обеспечения ИБ), а также их готовность к нештатным ситуациям.
3. Проверки безопасности аутентификации
· проверяются настройки парольной политики;
· предпринимаются попытки установить факты разглашения сотрудниками своих паролей (например, просьба зайти на АРМ под чужой учетной записью) или хранения их на бумажных носителях;
· проверяются журналы рабочих станций и сетевого оборудования на предмет нарушений парольной политики (вход в неположенное время и т.д.);
4. Проверки работы с внешними носителями
· проверяется работа с бумажными носителями, хранение важных документов отдельно от всех остальных в запираемом шкафу;
· проверяется работа с внешними цифровыми носителями информации, шифрование важной информации на них, настройки автоматического сканирования внешних носителей при подключении к рабочей станции;
· проверяется наличие базовых навыков у персонала по защите информации на внешних носителях;
5. Проверки резервного копирования
· проверяются настройки резервного копирования и архивирования информации на рабочих станциях и серверах;
· проверяется осознание сотрудниками важности регулярного создания резервных копий;
6. Проверки защищенности АРМ и серверов