описание системы. Система тестирования для проведения аудита информационной безопасности на предприятии на основе

37
Рисунок 8 — Форма входа, регистрации и восстановления данных пользователей
Рисунок 9 — Форма прохождения регистрации пользователей

38
Пункты управляющего меню в готовой версии программного продукта определены в шесть отдельных групп, некоторые из которых имеют подкатего- рии (рисунок 10):
1.
Главная. Данная страница содержит описание процедуры аудита ин- формационной безопасности, определяет и подчеркивает важность его свое- временного прохождения и демонстрирует предприятия, которые уже прошли данную процедуру и остались довольны результатом (рисунок 11).
2.
О проекте. На данной странице представлено непосредственное опи- сание самой идеи проекта: его цель, возможности и предназначение (рисунок
12).
3.
Аудит ИБ. Содержит информацию об аудите информационной без- опасности, в которой дается его определение, характеризуются его виды, опи- сываются этапы проведения и т. д. (рисунок 13).
4.
Тестирование. В данном разделе дается определение и характеризу- ется специфика тестирования информационных систем и политик безопасности на предмет соответствия требованиям и рекомендациям международных и национальных стандартов РФ в области информационной безопасности. Также, в данном разделе расположены управляющие кнопки для выбора и перехода к интересующему тесту, в том числе и к тестированию по отдельным категориям.
5.
Стандарты и ГОСТ. В данном разделе аккумулированы действую- щие международные стандарты и ГОСТ РФ, на которые мы опирались при раз- работке программного продукта и которые регулируют деятельность в области информационной безопасности (рисунок 14, 15, 16).
6.
Разработчики. Данный раздел рассказывает об авторах и разработчи- ках программного продукта (рисунок 17).

39
Рисунок 10 — Структура программного продукта
Также стоит отметить, что помимо версии для персональных компьюте- ров, был разработан и оптимизирован шаблон отображения программного про- дукта для планшетных устройств.
2.5
Описание интернет-сайта
Разработанный программный продукт с включенной в него системой те- стирования представляет собой веб-приложение (иначе говоря сайт), разме- щеннлн на своем домене и отдельном хостинге, что обеспечивает круглосуточ- ный и постоянный доступ к нему.
При разработке интерфейса программного продукта было реализовано внушительное количество модулей и средств интерактивности. В основном они расположены на главной странице, с целью повышения восприятия информа- ции, упрощения переходов к нужному разделу, получения эффекта интерактив-

40 ности в веб-приложении. Рассмотрим, как некоторые общие, так и содержащи- еся на странице «
Главная» (рисунок 11) модули веб-приложения:
• «
Управляющие меню (панель управления)» (общий). Представляет собой навигационную панель, на которой размещены основные пункты меню с переходами в категории и подкатегории. Здесь расположена основная содержа- тельная часть программного продукта;
• «
Слайдер (топ-меню)». Данный модуль представляет собой автома- тически пролистываемую презентацию, состоящую из изображений, на кото- рых приводится описание идеи программного продукта, его преимущества и возможности;
• «
Зайти на сайт». В этом модуле реализована возможность регистра- ции пользователей, прохождения ими авторизации (после которой для них ста- новятся доступны дополнительные функции), восстановление забытого пользо- вателем логина или пароля;
• «
Преимущества своевременного прохождения аудита информаци-
онной безопасности». В содержании данного модуля вынесены и раскрыты ключевые преимущества прохождения аудита информационной безопасности;
• «
Оценить угрозы и риски Вашего предприятия». Данный модуль содержит описание возможностей программного продукта и позволяет через кнопку «Пройти тестирование» перейти к разделу «Тестирование по категори- ям»;
• «
Аудит ИБ». В данном модуле приводится определение понятия —
аудит информационной безопасности;
• «
Виды аудита информационной безопасности». Данный модуль представляет собой слайдер, в котором собраны основные виды аудита инфор- мационной безопасности, проводимые на предприятиях. Каждая форма, пред- ставляет собой управляемую кнопку, которая при нажатии на нее, переводит на страницу с содержанием описания определенного вида аудита.

41
• «
Новости» (рисунок 11) и «Новости ИБ» (рисунок 12). Эти два мо- дуля представляют собой ничто иное как автоматически конфигурируемые
RSS- ленты с содержанием статей, новостей и обзоров из мира информационной безопасности, публикуемые на информационном портале Anti-Malware [1];
• «
Нам доверяют и уже прошли тестирование». В данном модуле, выносятся логотипы тех предприятий, которые прошли тестирование через веб- приложение;
• «
Календарь» и «Сейчас в сети» (общие). Представляют собой от- дельные подключаемые модули, размещаемые на каждой активной странице, которые информируют пользователей веб-приложения о текущей дате и коли- чество посетителей, находящихся на сайте в данный момент (рисунок 12).

42
Рисунок 11 — Разработанное веб-приложение. Страница «Главная»

43
Страница «
О проекте» (рисунок 12) содержит описание общего назначе- ния продукта, его основной идеи и возможностей. Также, описывается потен- циальная аудитория и требования к использованию.
В пункте меню «
Аудит ИБ» (рисунок 13) собран теоретический материал об аудите информационной безопасности в целом: приводится определение по- нятию «аудит информационной безопасности»; приводится описание, характе- ристика и виды проводимых работ по тому или иному виду или же этапу про- ведения аудита; даются некоторые практические рекомендации, как обезопа- сить предприятие от угроз.
Рисунок 12 — Разработанное веб-приложение. Страница «О проекте»

44
Рисунок 13 — Разработанное веб-приложение. Страница «Аудит ИБ»
Пункт меню «
Стандарты и ГОСТ» (рисунок 14) содержит ссылки для перехода к PDF-версии (рисунок 15) конкретного международного стандарта или национального стандарта РФ, регулирующего деятельность в области ин- формационной безопасности, которая открывается в новом окне браузера.
Рисунок 14 — Разработанное веб-приложение. Страница «Стандарты и ГОСТ»

45
Рисунок 15 — PDF-версия стандарта, отрытого в новом окне по ссылке из пункта меню
В пункте меню «
Тестирование» на странице «Определение и составля- ющие тестирования» (рисунок 16) приводится небольшой теоретический мате- риал, в котором раскрывается определение и содержание тестирования инфор- мационных систем на предмет оценки рисков. Также, в данном пункте меню собраны основные доступные для прохождения категории и виды тестов.
Страница «
Разработчики» (рисунок 17) содержит информацию о разра- ботчиках программного продукта.
Рисунок 16 — Разработанное веб-приложение. Страница «Тестирование»

46
Рисунок 17 — Разработанное веб-приложение. Страница «Разработчики»
Внизу веб-приложения была сформирована отдельная, так называемая
«нижняя панель» (рисунок 18), в которую были вынесены следующие модули:
• «
О нас». Данный модуль содержит рассказ об авторах-разработчиках программного продукта и по управляющей кнопке «Подробнее» переводит пользователя на страницу «Разработчики» (рисунок 17);
• «
Связаться с нами». В материалах этого модуля размещены контак- ты для связи с авторами-разработчиками программного продукта;
• «
Полезные ссылки». В этом модуле аккумулированы активные ссылки для перехода к ознакомлению с содержанием конкретных международ- ных и национальных стандартов РФ в области информационной безопасности, которые были задействованы при разработке программного продукта. Актив- ные ссылки данного модуля равноценны ссылкам, собранным во вкладке
«Стандарты и ГОСТ» управляющего меню, отличие заключается лишь в том, что перед ссылкой на PDF-версию документа приведено небольшое описание того или иного стандарта.

47
Рисунок 18 — Разработанное веб-приложение. Нижняя панель
2.6
Описание плагина тестирования
К разработанному веб-приложению была подключена система тестирова- ния (рисунок 19, 20, 21, 22, 23, 24), которая как таковая представляет собой от- дельный, доработанный, подключаемый к Joomla плагин — ARI Quiz [2], ос- новные задачи которого заключаются в аккумулировании и проверке получен- ных от тестируемых ответов, с возможностью дальнейшей отправки результа- тов тестирования по указанного пользователем при регистрации e-mail.
Рисунок 19 — Плагин тестирования. Разработанные виды тестов

48
Рисунок 20 — Плагин тестирования. Разработанные категории тестов
Рисунок 21 — Плагин тестирования. Разработанные категории вопросов
Рисунок 22 — Плагин тестирования. Разработанные варианты вопросов

49
Рисунок 23 — Плагин тестирования. Список результатов пройденных ранее тестов
Рисунок 24 — Плагин тестирования. Результат пройденного теста с подробной формулировкой вопроса и указанием правильности выбранного варианта ответа
Банк вопросов для системы тестирования был разработан в системе управления базами данных MySQL, базы которой впоследствии были подклю- чены к программному продукту (рисунок 25).

50
Рисунок 25 — Примеры разработанных вопросов в СУБД MySQL
2.7
Описание процедуры тестирования
В веб-приложении реализованы несколько вариантов прохождения тести- рования, все зависит от статуса пользователя (гость или зарегистрированный пользователь), как говорилось ранее:
1.
Демо-версия. Данная версия (рисунок 26, 27, 28) доступна только пользователю в статусе «Гость», поскольку предполагает ознакомление с идеей разработанного программного продукта. В состав данной версии включены
20 вопросов, которые разделены на 10 категорий (2 вопроса в каждой катего- рии).

51
Рисунок 26 — Демо-версия системы тестирования для проведения аудита информационной безопасности на предприятии на основе стандартов ISO/IEC 27002 и ISO/IEC 15408
Рисунок 27 — Прохождение демо-версии системы тестирования от имени стороннего пользователя в статусе «Гость»

52
Рисунок 28 — Пример отображения отчета о пройденном тестировании с отображением результатов пройденного демо-теста от имени стороннего пользователя в статусе «Гость»
2.
Тестирование по полному сценарию (рисунок 29) коммерческих предприятий и образовательных организаций. Данная процедура предполагает прохождение 325 вопросов, разделенные на 10 разделов, доступ к которой воз- можен после прохождения регистрации и авторизации на сайте (рисунок 8, 9).
Рисунок 29 — Панель системы тестирования для проведения аудита информационной безопасности на основе стандартов ISO/IEC 27002 и ISO/IEC 15408

53 3.
Тестирование по отдельным категориям. При выборе данного ва- рианта прохождения тестирования через веб-приложение (рисунок 30), зареги- стрированному пользователю будут доступны все категории тестов (таблица 1), с включенными в них вопросами, которые задействованы при прохождении те- стирования по полному сценарию. Отличие состоит лишь в том, что пользова- тель самостоятельно сможет выбрать ту категорию, которая будет ему наиболее интересна, и самостоятельно сможет оценить существующие на его предприя- тии риски по выбранной категории.
Рисунок 30 — Страница выбора категории для прохождения тестирования
И в том, и другом случае плагин выдает пользователю определенный вид теста, который необходимо пройти. В процессе прохождения тестирования пла- гин анализирует полученные ответы и сравнивает их с эталоном (определяется соответствие того или иного параметра описанным в стандартах требованиях).
После прохождения теста, на указанный электронный адрес при реги- страции предприятия на сайте высылается полный отчет по пройденной проце- дуре тестирования, в котором содержится следующая информация:
• общее количество набранных баллов (максимально возможное коли- чество баллов — 325, по 1 баллу за эталонное значение (на основании данных международных стандартов);

54
• количество набранных баллов по разделу (максимально возможное количество баллов зависит от количества вопросов по определенной катего- рии);
• подробная формулировка вопроса и выбранный уполномоченным ли- цом от предприятия вариант ответа (неверно выбранный вариант ответа, опре- деляет нарушение требованиях стандарта по информационной безопасности и указывает на наличие определенного риска или угрозы для системы безопасно- сти предприятия, как отдельным ее частям, так и для комплексной системы за- щиты).
На основании полученных данных система тестирования формирует от- чет, в котором прописывается общее количество набранных баллов исходя из логики: соответствует ли полученный ответ требованиям или рекомендациям международных стандартов в области информационной безопасности. В отчете прописывается формулировка вопроса, и ответ пользователя к нему. Не трудно догадаться, что если ответ пользователя был отмечен как «неверный», то имен- но эта позиция в системе комплексной системы безопасности предприятия тре- бует пересмотра или доработки. Результат прохождения тестирования хранится в базе данных программного продукта. Результат пройденного теста, наглядно отражает возможные риски и угрозы для предприятия, по которому в дальней- шем строятся рекомендации по их предотвращению и дальнейшему предупре- ждению.
На основании полученной информации, которая выдается по результатам пройденного тестирования (рисунок 28), руководством компании могут быть приняты дополнительные меры по совершенствованию существующей системы информационной безопасности.
На примере пройденного демо-теста (рисунок 27) и полученного резуль- тата прохождения к нему (рисунок 28) опишем процедуру анализа полученных данных (таблица 2) на предмет выявления существующих уязвимостей на условном предприятии с условно определенной его системой безопасности.

55
Составленные рекомендации, соответствуют международному стандарту
ISO/IEC
27002, поэтому могут использоваться руководством предприятия для совершенствования политики безопасности и формирования определенных ин- струкций и правил для персонала внутри организации.
Таблица 2 — Пример рекомендаций условному предприятию
№
Вопрос
Счет
Рекомендация
1
Разработана ли в организации политика информационной безопасности, положения которой внедрены в существующую информационную систему?
1
Полученный ответ, соответствует рекомендациям международных стандартов в области информационной безопасности.
2
Включены ли в состав разработанной политики информационной безопасности компоненты: определение информационной безопасности, основные цели и область применения информационной безопасности, а также учтено ли значение политики при коллективном использовании информации?
0
Компании рекомендуется:
1.
Проработать и утвердить формулировку термину ИБ.
2.
Определить основные цели, задачи, перспективные направления и область применения политики ИБ.
3.
Определить порядок и уровни доступа использования ресурсов и информации в компании.
3
Принято ли в организации проводить регулярные совещания руководителей организации по вопросам информационной безопасности?
1
Полученный ответ, соответствует рекомендациям международных стандартов в области информационной безопасности.
4
Приняты ли в организации четкие обязанности и ответственность по защите отдельных ресурсов к выполнению конкретных действий по обеспечению информационной безопасности?
0
Компании рекомендуется:
1.
Принять четкие обязанности и четко определить степень ответственности персонала по защите отдельных ресурсов к выполнению конкретных действий по обеспечению информационной безопасности.
5
Определены ли все основные информационные ресурсы и сервисы?
0
Компании рекомендуется:
1.
Определить все основные используемые и затрагиваемые при работе информационные ресурсы и сервисы.
6
Идентифицированы ли все основные ресурсы и сервисы?
0
Компании рекомендуется:
1.
Идентифицировать все основные используемые и затрагиваемые при работе информационные ресурсы и сервисы.
7
Включена ли задача обеспечения информационной безопасности в
1
Полученный ответ, соответствует рекомендациям международных

56 служебные обязанности всех сотрудников на стадии приема на работу? стандартов в области информационной безопасности.
Продолжение таблицы 2 8
Проводятся ли периодические проверки того, что каждый сотрудник выполняет свои служебные обязанности?
1
Полученный ответ, соответствует рекомендациям международных стандартов в области информационной безопасности.
9
Какие правила физической безопасности соблюдаются для критичных информационных ресурсов?
0
Компании рекомендуется:
1.
Обеспечить должный уровень безопасности для критичных информационных ресурсов компании, путем обеспечения их физической защиты от неавторизированного доступа и повреждений и хранением в безопасном месте.
10
Доступны ли случайным лицам каталоги и внутренние телефонные книги, которые могут дать информацию о нахождении критичных ресурсов?
0
Компании рекомендуется:
1.
Обеспечить должный уровень защиты каталогов, внутренних телефонных книг, журналов, а также другой внутренней документации о нахождении критичных ресурсов от доступа к ним третьих лиц.
11
Осуществляется ли распределение обязанностей как средство снижения риска от случайных и преднамеренных угроз?
0
Компании рекомендуется:
1.
Распределить обязанности среди сотрудников компании по обеспечению должного уровня информационной безопасности с целью снижения риска от случайных или преднамеренных угроз.
12
Осуществляется ли оценка возможного риска и ущерба и занесение в контракт мер защиты, согласованных с подрядчиком, при привлечении сторонних организаций к управлению информационной системой?
1
Полученный ответ, соответствует рекомендациям международных стандартов в области информационной безопасности.
13
Отражаются ли в политике контроля доступа правила и права каждой группы пользователей?
1
Полученный ответ, соответствует рекомендациям международных стандартов в области информационной безопасности.
14
Учитывает ли политика контроля доступа требования по безопасности отдельных бизнес-приложений и идентификацию всей информации, связанной с ними?
1
Полученный ответ, соответствует рекомендациям международных стандартов в области информационной безопасности.
15
Определена ли ответственность для всего персонала, вовлеченного в процесс обработки и ввода исходных данных?
0
Компании рекомендуется:
1.
Определить ответственность для всего персонала компании, вовлеченного в процесс обработки и ввода исходных данных.
16
Проводится ли проверка того, что программы запускаются в соответствующем режиме и останавливаются в случае неисправностей, а также, что
1
Полученный ответ, соответствует рекомендациям международных стандартов в области информационной безопасности.

57 связанные процессы останавливаются до устранения всех проблем?
Окончание таблицы 2 17
Сформулирована и задокументирована ли стратегия непрерывности ведения бизнеса, согласующая с установленными целями и приоритетами бизнеса?
1
Полученный ответ, соответствует рекомендациям международных стандартов в области информационной безопасности
18
Определен ли четкий порядок внедрения контраварийных процедур для восстановления бизнес-процессов за требуемый промежуток времени?
0
Компании рекомендуется:
1.
Определить и утвердить четкий порядок внедрения контраварийных процедур для восстановления бизнес-процессов компании за требуемый промежуток времени.
19
Возможно ли превышение максимального числа пользователей в лицензии при использовании программного обеспечения?
0
Компании рекомендуется:
1.
Использовать внутри организации лицензионное программное обеспечение, с его установкой и эксплуатацией без превышения максимального числа пользователей.
20
Соответствует ли законодательству порядок обращения с информацией о персональных данных сотрудников и клиентов?
0
Компании рекомендуется:
1.
Привести в норму порядок обращения с информацией о персональных данных сотрудников и клиентов в соответствии с действующим законодательством.