описание системы. Система тестирования для проведения аудита информационной безопасности на предприятии на основе

26 1.
Функциональные требования безопасности, которые относятся к сер- висам безопасности: идентификация, аутентификация, управление доступом, аудит и т. д.
2.
Требования доверия к безопасности, которые относятся к технологии разработки, тестирования, анализа уязвимостей, поставке, сопровождения и т. д.
Чтобы структурировать пространство требований, в стандарте использу- ется иерархия «класс-семейство-компонент-элемент»: классы определяют наиболее общую, «предметную» группировку требований; семейства в преде- лах класса различаются по строгости и другим нюансам требований; компонент
— минимальный набор требований, фигурирующий как целое; элемент — не- делимое требование [23,32].
В стандарте выделены 11 классов функциональных требований:
• аудит безопасности;
• связь (передача данных);
• криптографическая поддержка (криптографическая защита);
• защита данных пользователя;
• идентификация и аутентификация;
• управление безопасностью;
• приватность (конфиденциальность);
• защита функций безопасности объекта;
• использование ресурсов;
• доступ к объекту оценки;
• доверенный маршрут/канал.
Международные стандарты ISO/IEC 17799, ISO/IEC 27001, ISO/IEC 27002 взаимосвязаны друг с другом, потому как посвящены вопросам управления
(менеджменту) информационной безопасностью.

27
Международный стандарт ISO/IEC 27001 «Информационные техноло- гии — Технологии безопасности — Системы менеджмента информационной безопасности — Требования» [34] (от англ. «Information technology — Security techniques — Information security management systems — Requirements») был разработан в 2005 году на основе стандарта BS 7779-2:2002 (рисунок 5). В стандарте ISO 27001 аккумулированы описания лучших мировых практик в об- ласти управления информационной безопасностью. В нем также устанавлива- ются требования к системе менеджмента информационной безопасности пред- приятия, с целью установления способности предприятия защищать свои ин- формационные ресурсы. Международный стандарт ISO 27001 подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной без- опасности, основной целью которой является выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных ак- тивов и гарантирующих доверие заинтересованных сторон. В Российской Фе- дерации современный аналог стандарта ISO/IEC 27001 носит название ГОСТ Р
ИСО/МЭК 27001-2006 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасно- сти. Требования» [20].
Рисунок 5 — Этапы развития стандарта ISO/IEC 27001:2013
Международный стандарт ISO/IEC 27002 «Информационные техноло- гии — Технологии безопасности — Практические правила менеджмента ин- формационной безопасности» (от англ. Information technology — Security techniques — Code of practice for information security management
) был разрабо-

28 тан (рисунок 6) в 2005 году на основе стандарта ISO 17799, который был опуб- ликован в 2000 году и является полной копией Британского стандарта BS 7799-
1:1999 «
Практические правила управления информационной безопасностью»
(от англ. Code of Practice for Information Security Management). Стандарт
BS 7799-1:1999 описывает 127 механизмов контроля, необходимых для постро- ения системы управления информационной безопасностью (СУИБ) организа- ции и служит практическим руководством по созданию СУИБ, хоть и изна- чально предназначался для определения норм безопасности при ведении ком- мерческой деятельности [31]. Стандарт ISO/IEC 27002 содержит лучшие прак- тические советы и рекомендации по разработке и внедрению компаниями си- стемы менеджмента информационной безопасности, в контексте выбора, внед- рения и использования средств управления имеющимися рисками. Он содержит более полное описание и рекомендации по внедрению средств управления ин- формационной безопасностью по сравнению с международным стандартом
ISO/IEC 27001:2013
. В Российской Федерации современный аналог стандарта
ISO/IEC 27002 носит название ГОСТ Р ИСО/МЭК 27002-2012 «Информацион- ная технология (ИТ). Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности» [21].
Рисунок 6 — Этапы развития стандарта ISO/IEC 27002:2013
На основании изученной информации можно сделать вывод о том, что актуальность в разработке программного продукта существует, поскольку были наработки по устаревшим стандартам, в то время как по актуальным стандар-

29 там подобных систем найти не удалось. На сегодняшний день оценка рисков информационной безопасности на предприятиях производится на основании международного стандарта ISO/IEC 27002, знание которого необходимо для современного специалиста по информационной безопасности. С практической точки зрения стандартов и спецификаций (международные, национальные и т. п.) в области информационной безопасности очень и очень много, но каждый уважающий себя специалист должен обладать знаниями и иметь представления о наиболее популярных стандартах: ISO 15408, ISO 27001, ISO 27002 (бывший
ISO 17799).

30
2
ОПИСАНИЕ СИСТЕМЫ ТЕСТИРОВАНИЯ
2.1
Назначение продукта
Разработанный нами программный продукт нацелен на использование его возможностей как коммерческими предприятиями, так и образовательными ор- ганизациями, с целью проверки текущего состояния информационной безопас- ности компании на предмет выявления существующих уязвимостей и оценку рисков угроз информационной безопасности.
Принцип работы программного продукта имитирует процедуру проверки рисков и уязвимостей в компании, подобно той, которую применяют аудиторы, используя свои собственные методы и программные средства. Отличие заклю- чается лишь в том, что при проведении процедуры аудита аудиторы запраши- вают у руководства компании необходимую информацию, проверяя ее и требу- емые стандартами критерии в компании-заказчике, редко ссылаясь на подроб- ности проводимой ими проверки, а выдавая лишь на конечном этапе информа- цию о найденных уязвимостях, нарушениях и способах их устранения. Так на основании полученной информации, сформированной по результатам прохож- дения тестирования, руководством компании самостоятельно могут быть пред- приняты дополнительные меры по оценке или совершенствованию существу- ющей системы информационной безопасности: совершенствование политики безопасности, формирование определенных инструкций и правил для персона- ла внутри организации, либо для самостоятельной подготовки к аудиту, по- скольку продукт основан на используемых аудиторами международных стан- дартах в области информационной безопасности: ISO/IEC 27002, ISO/IEC 15408 и проверяет часть предъявляемых стандартами и проверяемых аудиторами тре- бований, и критериев в компании.

31
Система тестирования представляет собой ничто иное как веб- приложение с подключенными к нему: плагином тестирования и банком вопро- сов. При прохождении тестирования плагин собирает полученные ответы на входе, а затем выводит по ним статистику, в которой отражается результат пройденного тестирования — сумма набранных баллов. В отчете по пройден- ному тестированию будет подробно выведена информация, при ответе на какой вопрос было допущено нарушение одного или нескольких требований и/или рекомендаций международных стандартов в области информационной безопас- ности.
В силу своей особенности данный программный продукт будет интере- сен:
• студентам, обучающимся по направлению подготовки и преподавате- лям, ведущим дисциплины в рамках данных направлений подготовки:
44.03.04
Профессиональное обучение (по отраслям), профиль подготовки «Ин- форматика и вычислительная техника», профилизация «Информационная без- опасность»; 10.03.01 Информационная безопасность; 38.04.09 Государственный аудит и т. п.;
• руководителям коммерческих предприятий или образовательных ор- ганизаций, а также лицам ответственным за информационную безопасность в компании;
• специалистам и аудиторам, занятым в области информационной без- опасности.
2.2
Описание банка вопросов
Для планируемой системы тестирования по стандарту ISO 27002 (бывший стандарт ISO/IEC 17799) был разработан банк вопросов, который включает в себя 325 вопросов, разделенные на 10 разделов (Таблица 1).

32
Банк вопросов состоит из вопросов закрытой формы с выбором одного варианта ответа по принципу противоположности (Приложение Б).
Таблица 1 — Содержание банка вопросов
Раздел
Характеристика раздела
Объем
Политика без- опасности
Данный раздел содержит вопросы о существующей организации политики безопасности: положения политики, порядок внесения изменений, утверждения политики.
14
Организация информационной безопасности
Данный раздел содержит вопросы о принятых в компании орга- низационных мерах по обеспечению информационной безопас- ности и об ответственности за ее обеспечение
16
Управление ре- сурсами
Данный раздел содержит вопросы о процедуре учета ресурсов и о классификации и категоризации информации.
10
Безопасность персонала
Данный раздел содержит вопросы о процедуре приема сотруд- ников на работу, об уровне осведомленности персонала по во- просам информационной безопасности и о действиях, осуществ- ляемых персоналом в случае инцидентов в области информаци- онное безопасности.
16
Физическая без- опасность и без- опасность окру- жения
Данный раздел содержит вопросы о физическом контроле до- ступа к ресурсам, содержащим ценную информацию, и о физи- ческих угрозах оборудованию.
39
Управление коммуникациями и операциями
Данный раздел содержит вопросы о процедурах внесения изме- нений в среду выполнения бизнес-операций, об антивирусной защите, о контроле целостности, резервном копировании ин- формации и восстановлении из резервных копий, о правилах об- ращении с информацией и программным обеспечением при пе- редаче, о безопасности электронной коммерции и электронного офиса. Вопросы раздела отражают процесс безопасной обработ- ки передачи информации.
73
Управление до- ступом
Данный раздел содержит вопросы о правах и привилегиях поль- зователей при доступе к ресурсам организации, о политике сете- вых служб, о парольной политике, о мониторинге процедур по- вышенного риска, о доступе мобильных и удаленных пользова- телей к ресурсам организации. Вопросы раздела отражают рас- пределение доступа к ценным ресурсам организации.
66
Приобретение, разработка и поддержка си- стем
Данный раздел содержит вопросы о проверках входных и вы- ходных данный систем, о системе криптографической защиты информации, о правилах внесения изменений в исполняемые файлы и библиотеки, о правилах работы с тестовой средой, о приобретении программных продуктов.
42
Управление бес- перебойной ра- ботой организа- ции
Данный раздел содержит вопросы о планах обеспечения непре- рывности ведения бизнеса, о восстановлении системы после сбо- ев, о тренингах персонала по действиям в случае аварийных си- туаций.
24
Соответствие
Данный раздел содержит вопросы о лицензионных соглашениях 25

33 нормативным требованиям приобретенного программного обеспечения, о соответствии си- стемы стандартам информационной безопасности, о критериях сохранения улик, о проверках, проводимых в информационной системе: например, проверка технического соответствия, сто- ронний аудит.
Разработанные вопросы отвечают требованиям, предъявляемым:
1.
К формулировке тестовых заданий в закрытой форме с выбором одно- го правильного ответа по принципу противоположности.
2.
Международными стандартами на предмет:
• соответствия изложенного в них материала;
• правдоподобности и правильности формулировки вопросов к про- веряемым стандартами требований, правил и норм;
• полноты оценки состояния текущего уровня информационной без- опасности на предприятии, проверяемых параметров и степени их соответствия международным стандартам.
2.3
Выбор средства реализации
Перед тем, как приступить к непосредственной разработке программного продукта, перед нами встал выбор средства реализации, в котором можно бы- ло бы начать разработку задуманной идеи. Перед нами был выбор использова- ния следующих сред для разработки программного продукта:
1. Joomla — система управления содержимым (CMS) с открытым ис- ходным кодом, разработанная на языках PHP (от англ. Hypertext Preprocessor — скриптовый язык общего назначения) и JavaScript (объектно-ориентированный язык программирования, используемый для добавления форм интерактивности для веб-сайта) и использующая в качестве хранилища базы данных систему управления базами данных (СУБД) MySQL [4].
2. WordPress — система управления содержимым сайта с открытым ис- ходным кодом, написанная на языке PHP, с реализованным сервером базы дан- ных в СУБД MySQL [6].

34 3. Drupal — система управления содержимым, используемая как каркас для веб-приложений (CMF), написанная на языке PHP и использующая в каче- стве хранилища реляционную базу данных (поддерживаются MySQL, Post- greSQL и др.). Особо хочется отметить, что Drupal является свободным про- граммным обеспечением и развивается усилиями людей со всего мира [3].
4.
«Ручная верстка». Поскольку учебный план по нашему профилю подготовки не предполагает углубленного изучения языков и сред программи- рования, мы решили отказаться от идеи написания сайта и плагина «вручную».
Сопоставив все достоинства и недостатки Joomla, WordPress и Drupal, мы выбрали в качестве среды разработки CMS Joomla версии 2.5.17 (рисунок 7) по следующим значимым причинам, которые были определены, как наиболее зна- чимые и пригодные для дальнейшей работы:
• простота использования, нетребовательность к временным затратам на понимание структуры и конструирование сложных сайтов;
• большое количество готовых разработанных шаблонов и модулей;
• изначальная ориентированность на электронную коммерцию и соци- альные площадки;
• удобство внесения правок как в программном коде, так и в самой структуре сайта;
• улучшенная подготовленность к монетизации сайта и возможность продвинутой настройки продвижения сайта в поисковых системах (SEO);
• система более надежна, за счет постоянно разрабатываемых обновле- ний, выявления и устранения уязвимостей и повышении уровня безопасности.

35
Рисунок 7 — Панель управления CMS Joomla версии 2.5.17
Определившись с выбором среды разработки, мы начали поиск плагинов для проведения системы тестирования. Выбор был между двумя максимально подходящими продуктами:
• Joomla! Quiz Deluxe — выпущенный компанией Joomla компонент для создания и проведения тестов, онлайн-опросов любой сложности и разно- образной логикой подсчета результатов. Лицензионная платная версия продук- та дает возможность использовать любой из 17 типов предлагаемых типов во- просов, а также производить гибкую настройку тестов в соответствии с предъ- являемыми требованиями [5].
• ARI Quiz Lite — русифицированный бесплатный конструктор форм тестов для проверки уровня знаний посетителей сайта с открытым кодом. Его основные возможности и преимущества: управление доступом пользователей к тестам, подробная статистика результатов тестирования, групповое тестирова- ние по категориям, использование шаблонов при построении тестов и вопросов к нему [2].
По итогу был выбран плагин — ARI Quiz Lite (рисунок 19). Это обу- словлено сразу несколькими причинами: во-первых, он является наиболее уни- версальным средством для проведения тестирования и распространяется абсо- лютно бесплатно; во-вторых, в него интегрирована поддержка русского языка, вследствие чего русифицировано управление; в-третьих, он обладает всеми не-

36 обходимыми функциями, а также поддерживает возможность внесения каких- либо сторонних изменений со стороны пользователя, исходя их его потребно- стей. Выбранный плагин впоследствии был доработан в соответствии с задача- ми выпускной квалификационной работы и идеи работы программного продук- та в целом, в котором определяются и задаются определенные параметры для оценки.