- •1 Объект испытаний
- •1.1 Наименование системы и её условное обозначение
- •1.2 Назначение и область применения
- •2 Цель испытаний
- •3 Требования к системе
- •3.1 Требования к системе в целом
- •3.1.1 Требования к структуре и функционированию системы
- •3.1.2 Требования к показателям назначения
- •Требования к технической интеграции
- •Требования к эргономике и техническому интерфейсу
- •Требования к защите информации от несанкционированного доступа.
- •Требования по сохранности информации при авариях
- •3.2 Требования к функциям
- •3.3 Требования к видам обеспечения
- •3.3.1 Требования к лингвистическому обеспечению системы
- •3.3.2 Требования к программному обеспечению системы
- •3.3.3 Требования к техническому обеспечению системы
- •4 Требования к программной документации
- •5 Средства и порядок испытаний
- •5.1 Технические средства
- •5.2 Программные средства
- •5.3 Порядок проведения испытаний
- •5.4 Особые требования к испытаниям
- •6 Методы тестирование
- •6.1 Метод функционального тестирования
- •6.1.1 Тестирование базовой подсистемы
- •6.1.2 Тестирование подсистемы шаблонов
- •6.1.3 Подсистема хранения и защиты данных
- •6.1.4 Тестирование подсистемы работы с документами
- •6.1.5 Тестирование подсистемы авторизации и администрирования
- •6.2 Метод нагрузочного и производительного тестирования
- •6.3 Метод тестирования безопасности
- •6.4 Метод тестирования удобства использования и эргономики
- •6.5 Метод тестирования надежности и восстановления
- •6.6 Метод визуальной проверки комплектности пакета документов
- •6.7 Фиксирование результатов
- •Список ипользуемых источников
- •Список ипользуемых источников
- •Приложение а
- •Приложение б Группа 1 – тестирование восстановления после сбоя
- •Шаблон акта проведения испытаний
6.3 Метод тестирования безопасности
Целью тестирования безопасности является подтверждение корректной реализации механизмов защиты информации в автоматизированной системе управления инцидентами информационной безопасности «Бустсейв», а также верификация соответствия системы требованиям класса защищённости 1Г согласно ГОСТ Р 51583-2020. Испытания направлены на проверку механизмов аутентификации, разграничения доступа, защиты каналов связи, корректности ведения журналов регистрации, криптографической защиты и устойчивости к типовым видам атак.
Метод тестирования безопасности включает комбинированный подход: ручной анализ конфигурации системы, проверка реализации требований по защите информации, выполнение тестов негативного характера, а также автоматизированный поиск уязвимостей специализированными средствами.
Тестирование управления доступом.
Проводится проверка корректности работы подсистемы авторизации и механизмов разграничения прав доступа:
проверка политики паролей: контроль сложности, невозможность установки слабых комбинаций, ограничение по времени действия, запрет повторного использования;
проверка автоматической блокировки пользовательской сессии при неактивности более 5 минут;
проверка блокировки учётной записи после пяти неуспешных попыток входа;
тестирование корректности назначения ролей (оператор, администратор, аналитик, руководитель) и попытки выполнения административных функций с ограниченными правами;
проверка невозможности обхода механизмов авторизации (подмена токена, прямой вызов API без авторизации).
Ожидаемый результат – доступ разрешается только авторизованным пользователям, действия ограничены назначенными ролями, попытки нарушения блокируются.
Тестирование механизмов регистрации и аудита.
Цель – проверить корректность функционирования механизмов журналирования подсистемы хранения данных:
регистрация всех ключевых действий: входы, неуспешные попытки входа, выполнение операций с инцидентами, изменения ролей, действия администраторов;
проверка невозможности удаления или модификации журналов штатными средствами;
проверка записи данных в защищённом хранилище;
проверка механизмов контроля целостности (хеш-суммы или электронная подпись журнала);
моделирование попыток параллельного изменения записей журнала.
Ожидаемый результат – журналы формируются полностью, недоступны для модификации, обеспечивается контроль целостности.
Тестирование криптографической защиты.
Проводится проверка реализации механизмов шифрования данных и защиты каналов передачи:
проверка корректной работы защищённых каналов (TLS 1.3), валидность сертификатов, отсутствие небезопасных алгоритмов;
анализ методов хеширования паролей пользователей (должны использоваться bcrypt/SHA-256/ГОСТ Р 34.11-2012, но не MD5/SHA-1);
проверка настройки шифрования данных, хранящихся в подсистеме хранения данных;
проверка конфигурации СУБД – обязательное использование шифрования при подключении и при хранении данных (TDE/SSL);
анализ хранения конфигурационных файлов (отсутствие секретов в открытом виде).
Ожидаемый результат – передаваемые и хранимые данные защищены, применяются сертифицированные криптосредства.
Автоматизированное сканирование уязвимостей.
Используются специализированные инструменты:
OWASP ZAP, Burp Suite – тестирование веб-интерфейса на XSS, CSRF, SQL-инъекции, SSRF, IDOR, уязвимости аутентификации;
Nessus, OpenVAS – сетевое сканирование серверов приложения и базы данных;
проверка наличия уязвимых библиотек и пакетов;
анализ всех выявленных уязвимостей, классификация по CVSS (критические, высокие, средние, низкие).
Дополнительно:
проверка реакций системы на некорректные запросы;
попытки обхода авторизации и эскалации привилегий;
тестирование устойчивости подсистемы авторизации к подбору паролей.
Ожидаемый результат – отсутствие критических и высокорисковых уязвимостей, либо рекомендации по устранению.
Результаты тестирования безопасности
По итогам испытаний формируется отчёт, который включает:
описание всех выполненных проверок;
перечень обнаруженных уязвимостей;
оценку их критичности (CVSS);
подтверждение/неподтверждение соответствия требованиям класса защищённости 1Г;
рекомендации по устранению выявленных несоответствий.
Отчёт выполняется по форме, предусмотренной ГОСТ 34.603-92, программой и методикой испытаний.