IT Security Assessment

OBIECTIVELE SERVICIILOR DE TESTARE A SECURITATII SISTEMELOR INFORMATICE SUNT:

  • Identificarea, delimitarea şi inventarierea elementelor sistemului/lor ce urmează a fi testat;
  • Identificarea şi detalierea cerinţelor de securitate pentru sistemul/sistemele ţintă definite în obiectivele şi strategiile de funcţionare;
  • Analiza sistemului ţintă din punct de vedere arhitectural şi al modului de configurare;
  • Inventarierea instrumentelor de testare disponibile şi definirea unor criterii de selecţie în vederea efectuării testelor de securitate; proiectarea unor paşi de execuţie în efectuarea testelor de securitate;
  • Execuţia testelor de securitate în conformitate cu paşi stabiliţi la proiectarea fazei de testare;
  • Determinare, în colaborare cu beneficiarul, a unui set complet de mecanisme şi măsuri de securitate care să permită eliminarea vulnerabilităţilor şi reducerea astfel a riscurilor de securitate și a unui plan de implementare a acestora.

METODOLOGIA DE TESTARE A SECURITATII SISTEMELOR INFORMATICE ISI PROPUNE PUNEREA IN APLICARE A URMATOARELOR ETAPE ALE PROCESULUI DE TESTARE:

Etapa I. Analiza iniţială a sistemului ţintă – este o etapă iniţială obligatorie în care se colectează informaţii despre sistemul ce urmează a fi testat şi despre aşteptările responsabililor privind nivelul de securitate. Are următoarele sub-etape de parcurgere:

  • Identificarea sistemului ţintă – sub-etapă în care se definesc la nivel primar perimetrul şi elementele componente ale sistemului ţintă.
  • Identificarea cerinţelor iniţiale – sub-etapă în care se colectează informaţii referitoare la cerinţele de securitate aplicabile sistemului ţintă şi la aşteptările responsabililor cu privire la efectuarea testelor de securitate.
  • Analiza configuraţiei sistemului ţintă – sub-etapă în care se studiază documentaţia sistemului şi se strâng informaţii de la personalul tehnic pentru a putea defini o imagine detaliată a arhitecturii şi modului de funcţionare a sistemului ţintă.
  • Evaluarea proceselor cheie IT – etapă în care sunt evaluate premizele pentru asigurarea constantă a cerințelor de securitate în sisteme și aplicații

Livrabil: Document de analiză a domeniului de evaluare și a cerințelor de securitate aplicabile

Etapa II. Proceduri de testare a securităţii sistemelor informatice – etapă a procesului de testare în care se proiectează şi se pune în aplicare setul de teste asupra sistemului ţintă. Implică parcurgere următoarelor sub-etape:

  • Alegerea instrumentelor şi tehnicilor de testare – proces de selecţie şi proiectare a testelor în funcţie de specificul sistemului ţintă.
  • Acordul responsabililor.
  • Derularea testelor de securitate – punerea în aplicare efectivă a testelor de securitate.

Livrabile:
– Proceduri detaliate de testare a sistemelor din domeniul de evaluare
– Rezultate brute ale activităților de testare

Etapa III. Proceduri de analiză a rezultatelor testării – interpretarea şi analiza rezultatelor testelor de securitate efectuare în etapa anterioară. Principale activităţi ale acestei etape constau în:

  • Raportarea vulnerabilităţilor tehnice descoperite în urma scanărilor de securitate.
  • Propuneri de îmbunătăţire a sistemului de securitate bazate pe vulnerabilităţile şi neconformităţile descoperite în urma derulării testelor de securitate.
  • Elaborarea raportului final al testării securităţii sistemului informatic.

Livrabile:
– Raport de audit
– Plan de măsuri pentru remedierea riscurilor de securitate identificate

TEHNICI DE TESTARE

Analiza topologiei de reţea se face pe baza documentaţiei de reţea a sistemului ţintă. Presupune analiza arhitecturii de reţea şi a mecanismelor de securitate implicate în funcţionarea sigură a sistemului ţintă după cum urmează:

  • Analiza topologiei de reţea, conectarea cu alte reţele, separare sistemelor publice, subreţele;
  • Identificarea şi analiza configuraţiei pentru elementele active de reţea;
  • Identificarea sistemelor active de protecţie.

În cazul în care documentaţia nu este completă sau nu este actualizată, analiza se poate face pe baza discuţiilor cu personalul tehnic responsabil. Analiza are ca scop identificarea vulnerabilităţilor de reţea pentru sistemele ţintă.

Analiza configuraţiei sistemelor se face pe baza documentaţiei şi a fişierelor de configurare pentru sistemele analizate. În funcţie de rolul sistemului analizat se pot distinge următoarele situaţii:

  • Analiza sistemelor de tip ruter, firewall, IDPS – se vor analiza fişierele de configurare şi documentaţia care detaliază regulile de filtrare şi scanare a conţinutului;
  • Analiza sistemelor de tip server web – se va analiza modul de configurare a rulării conţinutului activ, modul de separare a fişierelor publice, metode de cifrare a protocolului web, alte mecanisme de securitate;
  • Analiza sistemelor de tip server de email – se vor analiza mecanismele de securitate de tip antivirus şi antispam, autentificarea utilizatorilor pentru acces la căsuţele de email şi pentru trimiterea de emailuri, cifrarea protocoalelor de comunicaţie;
  • Analiza sistemelor de tip server de baze de date – se va analiza modul de configurare a serverului cu privire la accesul clienţilor (aplicaţiilor client) la sistemul de baze de date;
  • Analiza sistemelor de tip server DNS – se va analiza modul de implementare a zonelor DNS, modul de replicare şi modificare a zonelor în mod automat;
  • Analiza altor sisteme de tip server – în funcţie de specificul serviciului se poate avea în vedere: analiza configurării autentificării utilizatorilor, parametrii de izolare a proceselor serviciului, metode de cifrare şi de gestiune a instrumentelor de cifrare, interacţiunea cu alte servicii.

Această tehnică nu-şi propune analiza configurării sistemelor de calcul de tip staţie de lucru ce pot fi scanate automat cu ajutorul unui instrument specializat. Indiferent de tipul sistemului analizat se vor avea în vedere şi parametrii de configurare ai sistemului de operare (sistem de fişiere, fişiere de loguri şi instrumente de audit, autentificarea utilizatorilor).

Analiza funcţionării mecanismelor de securitate constă în verificarea în practică a implementării mecanismelor de securitate impuse de politica de securitate a companiei (mecanismele de securitate legate de complexitatea şi durata de viaţă a parolelor, de exemplu). Verificarea se poate efectua în trei moduri:

  • Consultarea personalului tehnic – se poate vedea dacă mecanismele indicate de politica de securitate şi de documentaţia sistem au fost puse în practică în mod efectiv;
  • Intervievarea personalului non-tehnic – se poate vedea dacă mecanismele de securitate necesare sunt eficace;
  • Verificarea personală de către auditor a mecanismelor de securitate – poate indica posibilitatea ocolirii (sau nu) a mecanismelor de securitate.

Analiza proceselor cheie IT suport pentru securitate. Se realizează prin intermediul intervievării prin sondaj a personalului companiei. Procesele IT analizate includ:

  • Managementul accesului
  • Managementul schimbărilor
  • Copii de siguranță
  • Managementul cererilor de servicii si incidentelor
  • Managementul configuratiilor

Portfolio Categories: