Penetrační testování bezpečnosti informačních systémů – Tomáš Klíma

Anotace:

Cílem disertační práce je vytvoření metodiky řízení penetračních testů bezpečnosti informačních systémů založené na analýze slabých stránek současných metodik a na analýze postavení penetračních testů v kontextu řízení podnikového IS/IT. Nedílnou součástí tohoto cíle je i validace vytvořené metodiky. V první části práce dochází k představení historie oboru a aktuálního stavu výzkumu, identifikaci omezení práce, definici pojmů (a jejich vztahů), a zejména k zasazení penetračních testů do kontextu řízení podnikové informatiky. Následně je provedena rešerše relevantních zdrojů a komparativní analýza současných metodik s cílem identifikovat jejich slabé stránky, které jsou následně využity pro tvorbu metodiky. Dále je pak představena klasifikace typů penetračních testů a problematika testovacích scénářů. Následuje návrh nové metodiky, nejprve je popsána historie a struktura metodiky včetně základních principů, následně jsou detailně představeny její jednotlivé úrovně, přičemž metodika je tvořena s cílem pokrýt v současné době slabě popsané oblasti. V poslední části práce je provedena teoretická a praktická validace. Přínosem pro další rozvoj vědního oboru je vytvoření metodiky zaměřené na řízení penetračních testů bezpečnosti informačních systémů, což je oblast, která v současné době není dostatečně popsána. Sekundárním přínosem je ujasnění postavení a úlohy penetračních testů v rámci řízení podnikového IS/IT a provedení rozsáhlé rešerše metodik současných. Přínosem pro ekonomickou a technickou praxi je vytvoření prakticky použitelné metodiky, jejíž aplikací lze dosáhnout zkvalitnění řízení penetračních testů, což zahrnuje zejména zlepšení procesu plánování, operativního řízení a implementace protiopatření, jakožto i tvorby dokumentace. …víceméně

Abstract:

The aim of this dissertation thesis is to develop new methodology of information systems penetration testing based on analysis of current methodologies and the role of penetration tests in context of IS/IT governance. Integral part of this aim is evaluation of the methodology. The first part of the thesis is devoted to the presentation of history and current state of research in selected area, definiton of basic terms and introduction of role of the penetration tests. This part is followed by the review of relevant sources and comparative study of current methodologies with a goal to identify their weaknesses. Results from this study are further used as a basis for new methodology development. Classification of IS penetration tests types and testing scenarios are also included. The second part includes design of new methodology, at first its history, structure and principles are presented, then its framework is decribed in high level of detail. In the third part the reader can find (theoretical and practical) validation. The biggest scientific contribution is the methodology itself focused on managment of penetration tests (which is the area currently not sufficiently descibed). Secondary contribution is the extensive review and the comparative analysis of current methodologies. Contribution to the economic and technical (practical) application we can mainly see in the development of new methodology which enables companies to improve management of penetration tests (especially planning, operational management and implementation of countermeasures). …víceméně