Проверка корректности и достаточности систем и средств обеспечения ИБ

Ниже приведены возможные сценарии тестирования.

1. Нагрузочное тестирование программных компонентов

Разрабатывается ряд скриптов, эмулирующих работу реальных пользователей (покупателей и персонала). При выполнении данных скриптов с постепенным наращиванием нагрузки замеряются ключевые показатели производительности, анализ которых позволяет выявить «узкие места» в архитектуре АС.

Хорошим, но дорогостоящим вариантом является тестирование системы людьми, так как не всегда работа скриптов отражает реальное поведение пользователя в системе.

2. Стресс-тестирование программных компонентов

Моделируется прекращение работы web-приложений, а также других программных компонентов системы (вместе и по отдельности). Эмулируются сверхнагрузки (генерируемые злоумышленником) на уровне бизнес-приложений. Замеряется время восстановления функций АС. Проверяются навыки персонала по реагированию на возникновение нештатных ситуаций и наличие соответствующих должностных инструкций.

3. Нагрузочное и стресс-тестирование call-центра

4. Выход из строя линий связи, снижение пропускной способности

Моделируется, например, снижение качества услуг Интернет-провайдера.

5. Тестирование производительности АС при ее штатном функционировании и обслуживании

Замеряются показатели загрузки ресурсов АС при работе бизнес-приложений и компонентов СОИБ в штатном режиме. Определяется доля ресурсов АС, необходимая для работы СОИБ. Определяется производительность системы при выполнении различных служебных операций (резервное копирование баз данных, сканирование системы антивирусом и т.д.).

Проверка корректности и достаточности систем и средств обеспечения ИБ

1. Проверки комплектности и полноты документации

· проверяется наличие в организации документов, регламентирующих ИБ бизнес-процесса (политика ИБ, описание защищаемой информации, распределение обязанностей, работа с внешними носителями и т.д.);

· проверяется комплектность и полнота документации на АС, поддерживающую бизнес-процесс, в том числе на системы и средства обеспечения ИБ;

· отдельно проверяется корректность и полнота должностных инструкций сотрудников по эксплуатации АС (особое внимание уделяется эксплуатации систем и средств обеспечения ИБ), наличие инструкций на случай нештатных ситуаций;

2. Проверка знаний обслуживающего персонала

· проверяется знание сотрудниками перечня сведений, которые требуется защищать, и должностных инструкций по эксплуатации АС (в особенности систем и средств обеспечения ИБ), а также их готовность к нештатным ситуациям.

3. Проверки безопасности аутентификации

· проверяются настройки парольной политики;

· предпринимаются попытки установить факты разглашения сотрудниками своих паролей (например, просьба зайти на АРМ под чужой учетной записью) или хранения их на бумажных носителях;

· проверяются журналы рабочих станций и сетевого оборудования на предмет нарушений парольной политики (вход в неположенное время и т.д.);

4. Проверки работы с внешними носителями

· проверяется работа с бумажными носителями, хранение важных документов отдельно от всех остальных в запираемом шкафу;

· проверяется работа с внешними цифровыми носителями информации, шифрование важной информации на них, настройки автоматического сканирования внешних носителей при подключении к рабочей станции;

· проверяется наличие базовых навыков у персонала по защите информации на внешних носителях;

5. Проверки резервного копирования

· проверяются настройки резервного копирования и архивирования информации на рабочих станциях и серверах;

· проверяется осознание сотрудниками важности регулярного создания резервных копий;

6. Проверки защищенности АРМ и серверов