Penetrační test fyzických přístupů vybraného objektu

Abstract

Předložená diplomová práce řeší problematiku penetračního testování fyzických přístupů pro vybraný objekt. Cílem práce je metodou penetračního testu zaměřeného na fyzické přístupy doplněného o paralelní posouzení rizik otestovat stávající stav zabezpečení a v reakci na zjištěné nedostatky navrhnout vhodná bezpečnostní opatření. V první části diplomové práce jsou vymezeny pojmy obecné teorie penetračního testování fyzické bezpečnosti, podrobně zpracována typizace a metodologie testování. V druhé části práce je popsán průběh penetračního testu, kdy autor simulací bezpečnostního incidentu otestoval fyzický přístup vybraného skutečného objektu zevnitř a zvenčí. Praktický penetrační test je zde účelně rozdělen do čtyř fází, a to na fázi přípravy, předběžného výzkumu spojeného s přípravou testovacích scénářů, popisu průběhu testu a reportingu, kde jsou vyhodnoceny odhalené zranitelnosti. Pro dosažení objektivnějších a komplexnějších informaci vypovídajících o stávající úrovni zabezpečení byl penetrační test vhodně doplněn o analýzu rizik za využití komparace dvou metod s odlišnou perspektivou. V závěru jsou výsledky obou metod sjednoceny a zhodnoceny. Nejzásadnější detekované nedostatky stávajícího stavu zabezpečení jsou s přihlédnutím k doporučené úrovni zabezpečení ošetřeny návrhem inovativních bezpečnostních opatření.

The submitted thesis addresses the issue of penetration testing of physical accesses for the selected object. The goal of the work is to test the current state of security by using a penetration test aimed at physical entrances, supplemented by a parallel risk assessment, and to design appropriate security measures in response to identified deficiencies. The first part of the thesis defines the concepts of general theory of physical safety penetration testing, detailed typing and testing methodology. The second part of the work describes the course of the penetration test, where the author, by simulating a security incident, tested the physical access of the selected real object from the inside and outside. The practical penetration test is effectively divided into four phases, namely the preparation phase, the preliminary research associated with the preparation of test scenarios, the description of the course of the test and the reporting, where the vulnerabilities identified are assessed. To achieve more objective and comprehensive information about the existing level of security, the penetration test was appropriately complemented by a risk analysis using a comparative two methods with a different perspective. In conclusion, the results of both methods are unified and evaluated. The most basic detected shortcomings of the current security status are addressed by the design of innovative security measures, taking into account the recommended security level.