Բովանդակություն
- Խոցելիության գնահատումներ և ներթափանցման թեստեր
- Ի՞նչը փորձարկել
- Ե՞րբ ստուգել ծառայությունը
- Ինչպե՞ս աշխատել փորձարկող ընկերությունների հետ
- Համակարգերի կամ ծրագրակազմերի փորձարկումը փորձարկող ընկերությունների կողմից
- Անվտանգության հաշվետվությունների մշակում
- Թիմում անվտանգության կարողությունների ձևավորում
- Թեստավորման գործիքներ
- Խորհրդատվության ստացում
Ներթափանցման թեստավորումը և խոցելիության գնահատումներն անհրաժեշտ են՝ համոզվելու համար, որ ծառայությունն ապահով է: Հակառակ դեպքում դա կարող է սպառնալ օգտատերերի տվյալների անվտանգությանը, ինչն էլ իր հերթին կնվազեցնի վստահությունը պետական ծառայությունների նկատմամբ։
Խոցելիության գնահատումներ և ներթափանցման թեստեր
Խոցելիության գնահատումներն օգնում են բացահայտել ծառայության հնարավոր թույլ կողմերը: Իսկ ներթափանցման թեստերի ընթացքում ակտիվ հարձակումներ են կատարվում ձեր համակարգերի վրա, որոնք օգնում են բացահայտել առկա թերությունները։
Սրանք մեկանգամյա ստուգումներ չեն և պետք է պարբերական բնույթ կրեն, քանի որ համակարգի անվտանգության թերություններ կարող են բացահայտվել ոչ միայն ծառայությունը ստեղծելիս, այլև դրա ողջ կենսափուլի ընթացքում։
Ընդ որում՝ անվտանգության քաղաքականությունը շարունակաբար վերանայվում է, ուստի պարբերաբար հետևեք այս ուղեցույցներին՝ կատարվող փոփոխություններին տեղյակ լինելու համար։
Ի՞նչը փորձարկել
Խոցելիության փորձարկման ընթացքում անհրաժեշտ է դիտարկման բավարար շրջանակ, որպեսզի այն ներառի ոչ միայն կիրառվող ծրագրակազմը, այլև ամբողջ համակարգը: Այսինքն՝ ցանկալի է, որ փորձարկման շրջանակը ներառի, օրինակ՝
- սարքավորումների պահպանման միջավայրը,
- առցանց համակարգի և, օրինակ, «թեժ գծի» կենտրոնի միջև փոխգործելիությունը:
Կարևոր է վստահ լինել, որ ծառայությունը թույլ չի տա մարդկանց օգտագործել անցանց տեղեկատվությունը առցանց համակարգը գործարկելու համար:
Օրինակ՝ ոչ ոք չպիտի կարողանա դիմել զանգերի կենտրոն՝ օգտատիրոջ էլ․ փոստի հասցեն փոխելու պահանջով, այնուհետև օգտագործել «մոռացված գաղտնաբառի» գործառույթը՝ տվյալ անձի հաշիվ մուտք գործելու համար:
Մատակարարից ծրագրակազմ ձեռք բերելիս կնքված պայմանագրում պետք է ներառել պարտադիր կետ, ըստ որի՝ մատակարարը տալիս է համաձայնություն իր կողմից տրամադրված ծրագրակազմը թեստավորելու համար։
Ե՞րբ ստուգել ծառայությունը
Թիմը պետք է տարեկան առնվազն 2 անգամ կանոնավոր կերպով գնահատի ծառայության անվտանգությունը, ինչը թույլ կտա ժամանակին բացահայտել հնարավոր խոցելի հատվածները։
Ինչպե՞ս աշխատել փորձարկող ընկերությունների հետ
Ծառայությունը փորձարկելու համար դուք պետք է համագործակցեք փորձարկող ընկերությունների հետ, նախքան ծառայությունը կտեղափոխվի հանրային բետա տիրույթ, կամ կկիրառվեն իրական օգտատերերի տվյալները: Դա կօգնի ձեզ համոզվել, որ ներքին փորձարկումը բավականաչափ արդյունավետ է եղել։ Սակայն նկատի ունեցեք, որ միայն փորձարկող ընկերության փորձարկման արդյունքների վրա հիմնվելը բավարար չէ։
Համակարգերի կամ ծրագրակազմերի փորձարկումը փորձարկող ընկերությունների կողմից
Փորձարկող ընկերության հետ նախատեսվող փորձարկման մանրամասները, ներառյալ՝ փորձարկման հստակ շրջանակը, դուք պետք է համաձայնեցնեք ձեր անվտանգության և իրավաբանական թիմերի հետ, օրինակ՝
- երբ են իրականացվելու փորձարկումները,
- արդյոք փորձարկող ընկերությունը պետք է կենտրոնանա անձնակազմի, ինչպես նաև համակարգի խոցելիության վրա,
- արդյոք մատակարարը ձեզ տալիս է իր համակարգերը կամ ծառայությունները դիտելու թույլտվություն։
Դուք կարող եք փորձարկող ընկերության IP հասցեների խումբը ներառել վստահելի հասցեների ցուցակում, ինչի շնորհիվ նրանց աշխատանքը չեք շփոթի իրական վնասակար հարձակումների հետ (եթե, իհարկե, փորձարկումը նախատեսված չէ ձեր արձագանքման հնարավորությունը ստուգելու համար): Անհրաժեշտության դեպքում կարող եք նաև համակարգերում ստեղծել օգտատերերի հաշիվներ և տրամադրել փորձարկող ընկերությանը՝ տվյալ օգտատիրոջ արտոնություններով ևս փորձարկումներ կատարելու նպատակով։
Ձեր և փորձարկող ընկերության միջև կնքված համաձայնագիրը պետք է պարունակի դրույթ այն մասին, որ նա պատասխանատվություն չի կրում ծառայության խափանումների համար և անմիջապես կդադարեցնի իր աշխատանքը, եթե այն խաթարի ծառայության գործարկումը:
Փորձարկող ընկերությունը պետք է փորձարկումից հետո հաշվետվություն ներկայացնի, որտեղ պետք է նկարագրի բացահայտված թույլ կողմերի կարևորության աստիճանը, և թե որքան հեշտությամբ կարելի է դրանք վերացնել: Փորձարկող ընկերությունը պետք է տրամադրի նաև խորհրդատվություն ծառայությունը վնասակար օգտատերերից պաշտպանելու վերաբերյալ:
Անվտանգության հաշվետվությունների մշակում
Անկախ նրանից, թե ում կողմից են իրականացվել խոցելիության գնահատումները և ներթափանցման փորձարկումները՝ դրանք իրականացրած կողմերը թեստերի յուրաքանչյուր փուլից հետո պետք է կատարված աշխատանքների և բացահայտումների վերաբերյալ հաշվետվություն ներկայացնեն։
Այդ հաշվետվությամբ պետք է կիսվել նաև տեխնիկական թիմի և ծառայության պատասխանատուների հետ, որպեսզի նրանք կարողանան հասկանալ առկա ռիսկերը:
Անչափ կարևոր է, որ թիմի և ծրագրային ապահովման մատակարարի համար թեստերը ոչ թե ձևական բնույթ կրեն, այլ ստիպեն արդյունքների հիման վրա միջոցներ ձեռնարկել և բարելավել անվտանգությունը:
Հաշվետվության ամփոփագրում ռիսկերը պետք է ներկայացվեն ոչ տեխնիկական լսարանին մատչելի լեզվով: Իսկ փաստաթղթի մյուս բաժինները պետք է պարունակեն բավարար մանրամասնությամբ տեղեկություններ, որոնց հիման վրա տեխնիկական թիմը կկարողանա վերանայել և սահմանել առաջնահերթություններ հետագա գործողությունների համար՝ հայտնաբերված խնդիրները վերացնելու ուղղությամբ:
Եթե ձեր կողմից իրականացված թեստավորումների արդյունքում հայտնաբերվել է այնպիսի խոցելիություն, որը կարող է ազդեցություն ունենալ նաև այլ ծառայությունների կամ կազմակերպությունների վրա, կապ հաստատեք տվյալ կազմակերպության անվտանգության պատասխանատուի հետ և տեղեկացրեք առկա ռիսկերի մասին:
Թիմում անվտանգության կարողությունների ձևավորում
Թիմում անվտանգության կարողությունների զարգացումը շատ կարևոր է։ Խոցելիության գնահատումների և ներթափանցման փորձարկումների իրականացումը սեփական կարողություններով ավելի էժան է և կարող է կատարվել ավելի կանոնավոր կերպով, քան փորձարկող ընկերություններին արտապատվիրակման դեպքում:
Թեստավորման գործիքներ
Կան բաց կոդով կամ վճարովի մի շարք գործիքներ, որոնք կարող եք օգտագործել ծառայության տարբեր հնարավորությունների ու գործառույթների անվտանգությունը ստուգելու համար։
Եթե չգիտեք, թե ձեր կազմակերպությունում ինչ գործիքներ են կիրառվել, կամ ինչպիսի փորձարկումներ են կատարվել, այդ հարցերը քննարկեք կազմակերպության անվտանգության փորձագետի կամ որակավորված փորձարկող ընկերությունների հետ:
Խորհրդատվության ստացում
Տեղեկատվական անվտանգության վերաբերյալ ստանդարտներ, գործիքակազմ և դրա վերաբերյալ խորհրդատվություն ստանալու համար կարող եք կապ հաստատել Հայաստանի տեղեկատվական համակարգերի գործակալության հետ (cert@arm-cert.am):
Մեկնաբանություններ