Безопасность информационных технологий

В статье рассматривается существующая нормативно-методическая база, определяющая актуальность проблемы тестирования на проникновение, основные методики тестирования значимых объектов критической информационной инфраструктуры (КИИ). Обеспечение безопасности значимых объектов КИИ с целью их устойчивого функционирования является приоритетной задачей государственного регулирования в области информационной безопасности России. В настоящее время сформировано отдельное направление организационно-правового обеспечения безопасности КИИ на основе соответствующей новой нормативно-правовой базы. Значительно меньшее внимание уделяется вопросам инструментального (технического) обеспечения указанного направления, так как объекты КИИ с технологической точки зрения – это традиционные средства информационных технологий. C учетом нынешней сложной, в том числе международной, ситуации, своевременное инструментальное обнаружение и выявление многочисленных уязвимостей позволит улучшить защищенность критической информационной инфраструктуры. Существующие способы проведения аудита безопасности, а также тестирования защищенности объектов КИИ от угроз на проникновение обладают определенными недостатками, такими как трудоемкость, большие временные и материальные затраты, а также острая нехватка квалифицированных специалистов. Достаточно очевидным, хотя и очень сложным, способом решения указанной проблемы является автоматизация процесса тестирования на проникновение как важнейшей составной части мероприятий по обеспечению безопасности значимых объектов КИИ. Методологические аспекты создания автоматизированного программного комплекса тестирования на проникновение являются основной целью проведенных исследований на основе аналитического обзора основных подходов и способов реализации поставленной выше задачи. В результате исследования определены основные методологические аспекты указанной проблемы, в том числе обозначены специфические особенности для объектов КИИ. Полученные результаты могут быть использованы для разработки подобных программных комплексов безопасности для любых объектов информатизации.

аудит безопасности, информационная безопасность, критическая информационная инфраструктура, объект, тестирование на проникновение, уязвимость.