Використання Penetration Testing як інструмент оцінки інформаційної безпеки

Abstract

Магістерська робота присвячена дослідженню використання Penetration Testing як інструменту оцінки рівня інформаційної безпеки інформаційних систем. Актуальність теми обумовлена зростанням кількості та складності кіберзагроз, а також необхідністю переходу від формального аудиту до практичної перевірки захищеності систем у реальних умовах експлуатаціі. У роботі розглянуто теоретичні основи інформаційної безпеки, класифікацію загроз та методи оцінювання ризиків. Проаналізовано концепцію тестування на проникнення, його основні типи та місце у системі управління інформаційною безпекою відповідно до міжнародних стандартів. Іlроведено порівняльний аналіз сучасних фреймворків та інструментальних засобів Penetration Testing. Практична частина роботи реалізована з використанням мови програмування Python та спрямована на автоматизацію процесу Penetration Testing. Розроблено програмний інструментарій для збору інформації, аналізу конфігураційних параметрів безпеки, формування переліку виявлених слабкостей i кількісної оцінки ризиків. За результатами тестування сформовано звіт про безпеку, що містить реестр проблем, ïx аналітичну інтерпретацію та план усунення. Отримані результати підтверджують ефективність Penetration Testing як інструменту не лише технічної, а й управлінської оцінки інформаційної безпеки та можуть бути використані для підвищення рівня захисту вебзастосунків i впровадження ризик-оріентованого підходу до управління безпекою.