ОГЛЯД МЕТОДІВ ПРОВЕДЕННЯ ТЕСТУВАННЯ НА ПРОНИКНЕННЯ ДЛЯ ОЦІНКИ ЗАХИЩЕНОСТІ КОМП’ЮТЕРНИХ СИСТЕМ
DOI:
https://doi.org/10.26906/SUNZ.2018.4.109Ключові слова:
тестування на проникнення, пентестінг, комп’ютерна мережа, захист інформаціїАнотація
Предметом статті є аналіз найбільш розповсюджених методів проведення тестування на проникнення в комп’ютерні системи. Результати. Проаналізовано міжнародні стандарти і керівництва з інформаційної безпеки, розглянуті методології проведення тестування на проникнення, проаналізовано нормативні акти різних країн в яких закріплено вимоги з проведення даного виду тестування. Наведено перелік найбільш розповсюджених міжнародних методологій проведення пентестінгу, надано їх короткий опис. Проаналізовано методи проведення пентестінгу, визначені основні переваги і недоліки таких методів. Висновок. Запропоновано класифікацію методів тестування на проникнення для оцінки захищеності комп’ютерних систем.Завантаження
Посилання
Певнев В.Я. Методы обеспечения целостности информации в инфокоммуникационных системах / В.Я. Певнев // Вісник Національного технічного університету ХПІ. Серія: Техніка та електрофізика високих напруг. – 2015. - № 51. – С. 74-77.
Cisco 2018. Годовой отчет по безопасности. [Електронний ресурс]. – Режим доступу: https://www.cisco.com/c/dam/global/ru_ru/assets/offers/assets/cisco_2018_acr_ru.pdf (дата звернення: 15.08.2018)
PCI DSS. Requirements and Security Assessment Procedures. Version 3.2. [Електронний ресурс]. – Режим доступу: https://www.pcisecuritystandards.org/document_library (дата звернення: 20.08.2018)
Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України, затвердженого Постановою Правління Національного банку України від 28.09.2017 №95. [Електронний ресурс]. – Режимдоступу до положення: https://bank.gov.ua/document/download?docId=56426049 (дата звернення: 15.08.2018)
The Open Source Security Testing Methodology Manual (OSSTMM). [Електронний ресурс]. – Режим доступу: http://www.isecom.org/mirror/OSSTMM.3.pdf (дата звернення: 20.08.2018)
O WASP Testing Guide v4. [Електронний ресурс]. – Режим доступу: https://www.owasp.org/index.php/OWASP_Testing_Project (дата звернення: 20.08.2018)
The Penetration Testing Execution Standard (PTES). [Електронний ресурс]. – Режим доступу: http://www.penteststandard.org/index.php/Main_Page (дата звернення: 20.08.2018)
Information Systems Security Assessment Framework (ISSAF). [Електронний ресурс]. – Режим доступу: http://www.oissg.org/files/issaf0.2.1.pdf (дата звернення: 20.08.2018)
Анастасия Гришина, Андрей Куликов – Анализируем защищенность IT-систем. Positive Research 2018. Сборник исследований по практической безопасности. [Електронний ресурс]. – Режим доступу:https://www.ptsecurity.com/upload/corporate/ru-ru/analytics/Positive-Research-2018-rus.pdf (дата звернення: 20.08.2018)
Глобальное исследование утечек конфиденциальной информации в 2017 году. Аналитический центр InfoWatch. [Електронний ресурс]. – Режим доступу: https://www.infowatch.ru/sites/default/files/report/analytics/russ/InfoWatch_Global_Report_2017_year.pdf (дата звернення: 20.08.2018)
Technical Guide to Information Security Testing and Assessment. Recommendations of the National Institute of Standards and Technology. Special Publication 800-115. [Електронний ресурс]. – Режим доступу: http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-115.pdf (дата звернення: 23.08.2018)
Я.Я. Стефінко, А.З.Піскозуб. Використання відкритих операційних систем для тестування на проникнення в навчальних цілях/Я.Я. Стефінко, А.З. Піскозуб //Вісник Національного університету “Львівська політехніка” Комп’ютернісистеми та мережі. – 2014. - № 806. – С. 258-263.
