Разработка средства автоматизации функционального тестирования межсетевых экранов по требованиям профиля защиты ИТ.МЭ.А4.ПЗ

СОДЕРЖАНИЕ

РЕФЕРАТ 2

ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ 6

ВВЕДЕНИЕ 8

1 Основная часть 10

1.1 Исследовательская часть 10

1.2 Методики тестирования 10

1.2.1 NIST Special Publications 800-115 Technical Guide to Information Security Testing and Assessment 11

1.2.2 OSSTMM 12

1.2.3 PTES 13

1.2.4 ISSAF 13

1.2.5 BSI – Study A Penetration Testing Model 13

1.2.6 Методика Positive Technologies 14

1.2.7 Методика Digital Security 15

1.3 Методы тестирования 16

1.4 Обзор существующих решений 17

1.5 Общее строение межсетевого экрана по требованиям ФСТЭК России 20

1.6 Вывод 23

2 Конструкторская часть 24

2.1 Введение 24

2.2 Математическая постановка 24

2.3 Алгоритм решения поставленной задачи 26

2.4 Техническое задание 29

2.5 Вывод 33

3 Технологическая часть 34

3.1 Проектирование САФТ 34

3.2 Средства разработки 35

3.2.1 Язык программирования python 35

3.2.2 Используемые библиотеки 37

3.2.2.1 Jupiter 37

3.2.2.2 Request 37

3.2.2.3 Paramiko 38

3.2.2.4 Selenium 38

3.2.3 Дополнительные средства 38

3.2.3.1 Scapy 39

3.2.3.2 Netcat 39

3.2.3.3 Wget 40

3.3 Реализация 41

3.3.1 Стенд и оценка времени тестирования 44

3.4 Вывод 48

4 Организационно-правовая часть 49

4.1 Общие сведения 49

4.2 Перечень документов, подлежащих рассмотрению 50

4.3 Конституция РФ 51

4.5 Доктрина информационной безопасности Российской Федерации 52

4.5 Федеральный закон «Об информации, информационных технологиях и о защите информации» 149-ФЗ 54

4.6 Федеральный закон «О персональных данных» 152-ФЗ 58

4.7 Федеральный закон «О техническом регулировании» 184-ФЗ 60

4.8 Приказ ФСТЭК России № 55 60

4.9 Приказ ФСТЭК России № 17 63

4.10 Приказ ФСТЭК России № 21 64

4.11 Приказ ФСТЭК России № 31 65

4.12 Приказ ФСТЭК России № 239 66

4.13 Профиль защиты ИТ.МЭ.А4.ПЗ 68

4.14 ГОСТ Р 56939-2016 69

4.15 Вывод 70

ЗАКЛЮЧЕНИЕ 72

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 73

ПРИЛОЖЕНИЕ А 77

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1. Положение о системе сертификации средств защиты информации, утвержденное приказом ФСТЭК России №55 от 03.04.2018 // Справочно-правовая система «Консультант Плюс».

2. Методический документ. Профиль защиты межсетевых экранов типа «А» четвертого класса защиты ИТ.МЭ.А4.ПЗ. ФСТЭК России // Справочно-правовая система «Консультант Плюс».

3. Богораз А.Г., Пескова О.Ю. Методика тестирования и оценки межсетевых экранов. [Электронный ресурс] – URL: https://cyberleninka.ru/article/n/metodika-testirovaniya-i-otsenki-mezhsetevyh-ekranov/viewer (дата обращения 01.04.2022).

4. Positive Technologies [Электронный ресурс] – URL: https://www.ptsecurity.com/ru-ru/services/pentest/ (дата обращения 01.04.2023).

5. Federal Office for Information Security (BSI). Study. A penetration testing model. [Электронный ресурс] – URL: https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/Studies/Penetration/penetration_pdf.pdf?__blob=publicationFile&v=1 (дата обращения 01.04.2023).

6. Лебедь С.В. Межсетевое экранирование. Теория и практика защиты внешнего периметра. -М.: Изд во МГТУ им. Н.Э. Баумана, 2002. – 304 с.

7. GFI Software [Электронный ресурс] – URL: https://bakotech.ua/product/ (дата обращения 30.04.2022).

8. Tenable Network Security [Электронный ресурс] – URL: https://networkguru.ru/tenable-nessus-vulnerability-scanner/ (дата обращения 01.04.2022).

9. Broadcom [Электронный ресурс] – URL: https://www.broadcom.com/support/security-center (дата обращения 01.04.2022).

10. Positive technologies [Электронный ресурс] – URL: https://www.ptsecurity.com/ru-ru/products/xspider/ (дата обращения 01.04.2022).

11. АО «НПО «Эшелон» [Электронный ресурс] – URL: https://npo-echelon.ru/production/65/4291 (дата обращения 01.04.2022).

12. ГОСТ Р ИСО/МЭК 15408-2-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности» // Справочно-правовая система «Консультант Плюс».

13. Г. Буч – Объектно-ориентированный анализ и проектирование с примерами приложений на С++. 2-е изд.: Пер. с англ. – М.: Издательство Бином, СПб.: Невский диалект, 1999.

14. Г. Буч, Дж. Рамбо, А. Джекобсон – Язык UML. Руководство пользователя.: Пер. с англ. – М.: ДМК, 2000.

15. Python [Электронный 

GFI LanGuard – это программное обеспечение, которое выполняет централизованную проверку на уязвимости по всей сети. Оно обнаруживает открытые порты, небезопасные настройки и запрещенное к установке программное обеспечение, а также проверяет наличие обновлений и исправлений для операционных систем (для ПК и мобильных, физических и виртуальных), а также для установленного программного обеспечения. С помощью этого инструмента можно проверить всю сеть: от серверов до сетевого оборудования, от виртуальных машин до смартфонов. После сканирования GFI LanGuard отправляет пользователю полный отчет со всеми обнаруженными уязвимостями и инструкциями по их устранению вручную. Интерфейс программы позволяет немедленно закрыть уязвимости в защите, исправить настройки, обновить программное обеспечение (включая установку отсутствующих элементов) и удалить запрещенное программное обеспечение. Сканер сетевой безопасности может быть настроен на полностью автоматический режим работы, при котором он будет запускаться по расписанию, а исправления, санкционированные администратором, будут выполняться автоматически. Стоимость программного обе