Программа и методика испытаний ПО «Мультифактор»
1. Общие сведения
Наименование изделия: Программное обеспечение «Мультифактор».
Обозначение: РОФ.42584334.58.29.12.01.
Разработчик: ООО «МУЛЬТИФАКТОР».
Лицензия: ФСТЭК России № Л050-00107-77/01567361 от 26.11.2024.
Описание:
ПО «Мультифактор» — система двухфакторной аутентификации для защиты корпоративных ресурсов (VPN, VDI, Windows/Linux, облачные приложения) с поддержкой SSO.
Компоненты:
-
Облачная часть (личный кабинет администратора, сервер авторизации, API).
-
Адаптеры (Radius, LDAP, SelfService Portal, Windows Logon, ADFS, IIS, Keycloak, PAM для Linux).
-
Мобильное приложение для ОС «Аврора».
Функции безопасности (ФБ):
-
Идентификация и аутентификация пользователей (ИАФ.1).
-
Управление идентификаторами (ИАФ.3).
-
Управление средствами аутентификации (ИАФ.4).
-
Защита обратной связи (ИАФ.5).
-
Управление учетными записями (УПД.1).
-
Разграничение доступа (УПД.2).
-
Ограничение неуспешных попыток входа (УПД.6).
-
Блокирование сеанса при бездействии (УПД.10).
-
Регистрация событий безопасности (РСБ.1-РСБ.3).
-
Генерирование временных меток (РСБ.6).
2. План тестирования
Цель: Подтверждение выполнения функций безопасности согласно требованиям ГОСТ Р 56939-2016.
Тестовая конфигурация:
-
Виртуальные машины (2 ядра, 4 ГБ ОЗУ, 40 ГБ HDD).
-
Мобильное устройство на ОС «Аврора».
Порядок испытаний:
-
Установка ПО на стенд.
-
Проведение тестов (раздел 3).
-
Фиксация результатов в протоколе.
3. Описание тестов
3.1. Предварительные условия:
-
Готовый стенд, установленное ПО.
3.2. Проверка ФБ1:
3.2.1. Проверяемые требования
Идентификация и аутентификация пользователей, являющихся работниками оператора (ИАФ.1)
3.2.2. Дополнительные предварительные условия проведения проверки
Отсутствуют.
3.2.3. Порядок проведения проверки и интерпретация результатов
| Порядок проведения проверки | Интерпретация результатов каждого значимого шага |
|---|---|
| Тест 1: Вход в систему платформа «Мультифактор» | |
| Войти в систему для аутентификации | Откроется страница для ввода данных в поля «логин» и «пароль» |
| Оставить поля «Логин» и «Пароль» пустыми и нажать кнопку «Войти» | Вход в систему не выполнен. Появится сообщение под полями ввода: «Пожалуйста, заполните. Пожалуйста, заполните». Есть возможность сбросить пароль через кнопку «Забыли пароль?» |
| Ввести верный «Логин» и неверный «Пароль» и нажать кнопку «Войти» | Появится сообщение: «Неверный адрес или пароль». Вход не выполнен |
| Ввести неверный «Логин» и верный «Пароль» и нажать кнопку «Войти» | Появится сообщение: «Неверный адрес или пароль». |
| Ввести неверный «Логин» и не верный «Пароль» и нажать кнопку «Войти» | Вход в систему не выполнен. Появится сообщение: «Неверный адрес или пароль». |
| Ввести в поле «Логин» и в поле «Пароль» всевозможные символы и нажать кнопку «Войти» | Вход в систему не выполнен. Появится сообщение: «Неверный адрес или пароль». |
| Ввести в поле «Логин» и в поле «Пароль» длинные данные и нажать кнопку «Войти» | Вход в систему не выполнен. Появится сообщение: «Неверный адрес или пароль». |
| Ввести в поле «Логин» и в поле «Пароль» ещё 3 раза неправильно «Войти» | Пользователь заблокирован |
| Нажать «Забыли пароль». Открыть почту с письмом от reply@gos.multifactor.ru и перейти по ссылке. | На мобильное устройство придёт подтверждение действия. |
| Подтвердить действие в мобильном приложении | На устройстве, с которого запрашивается доступ, откроется форма смены пароля. |
| Ввести новый пароль в 2 полях и подтвердить ввод. | Откроется форма «Пароль успешно изменён» |
| Ввести в поле «Логин» и «Пароль» верные данные для входа в систему. Затем нажать кнопку «Войти» | Откроется форма с выбором способа подтверждения второго фактора. |
| На мобильное устройство придёт подтверждение действия. | Появится всплывающая форма , с вопросом «это вы подключаетесь к [ресурсу] как [логин пользователя] из [флаг страны] [ip адрес] |
| Подтвердить действие в мобильном приложении | Вход успешно выполнен |
3.3. Проверка ФБ2:
3.3.1. Проверяемые требования
Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов (ИАФ.3)
3.3.2. Дополнительные предварительные условия проведения проверки
Выполнен вход в систему.
3.3.3. Порядок проведения проверки и интерпретация результатов
| Порядок проведения проверки | Интерпретация результатов каждого значимого шага |
|---|---|
| Тест 1: Подключение к тестовому стенду | |
| Перейти во вкладку «ресурсы» | Откроется список ресурсов |
| Нажать кнопку добавить | Откроется форма выбора типа ресурса |
| Выбрать «Self-Service портал» | Откроется страница создания нового ресурса |
| Ввести произвольное название и нажать сохранить. | Откроется страница с информацией о портале |
| С уникальным идентификатором API Key и API Secret | |
| Перейти в ресурсы | Откроется страница с ранее добавленным ресурсом |
| Нажать на ранее созданный ресурс | Откроется страница с информацией о портале |
| С уникальным идентификатором API Key и API Secret | |
| Нажать удалить ресурс | Появится форма «Подтверждаете удаление? Это действие необратимо.» |
| Нажать «ок» | Появится страница с ресурсами |
| Перейти в «Журнал» | Отобразится страница с журналом действий |
| Нажать на событие «Удаление ресурса» | Откроется страница «Информация о событии» в которой указано: |
| Действие | |
| Статус | |
| Время | |
| Имя ресурса | |
| Тип ресурса | |
| ActionId | |
| Убедиться, что статус события «Success» | Статус события «Success» |
3.4. Проверка ФБ3:
3.4.1. Проверяемые требования
Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации. (ИАФ.4)
3.4.2. Дополнительные предварительные условия проведения проверки
Создан пользователь и есть доступ к почтовому ящику данного пользователя. Настроен ресурс для подключения. Выполнен вход в панель администратора.
3.4.3. Порядок проведения проверки и интерпретация результатов
| Порядок проведения проверки | Интерпретация результатов каждого значимого шага |
|---|---|
| Тест 1: Регистрация способа подтверждения второго фактора | |
| Администратор: Перейти во вкладку «Пользователи» | Откроется список пользователей, у которых есть доступ к ресурсу. |
| Администратор: Нажать на пользователя от которого будет запрашиваться доступ к ресурсу | Откроется страница «Информация о пользователе системы» |
| Администратор: Нажать на «Отправить ссылку для настройки аутентификации» | Откроется форма с «Email адрес» и «Срок действия ссылки в минутах» |
| Администратор: Нажать «Отправить» | Форма закроется |
| Пользователь: Зайти в ранее указанную почту | В почте находится письмо от «reply@gos.multifactor.ru» |
| Пользователь: Открыть письмо и нажать «Настроить MULTIFACTOR» | Откроется страница с настройкой метода подтверждения второго фактора |
| Пользователь: Выбрать метод «Mobile app» после «add account» | Откроются варианты установки на мобильное устройство |
| Пользователь: Нажать «Next» | Откроется страница с сгенерированным QR-Кодом |
| Пользователь: На мобильном устройстве войдите в приложение Multifactor нажмите «+» | Откроется камера для сканирования QR-кода |
| Пользователь: Отсканируйте QR-код | В мобильном приложении добавится новый пользователь |
| Пользователь: На ПК нажмите «Back» | На мобильном устройстве придет подтверждение второго фактора. |
| Пользователь: На мобильном устройстве подтвердите, что это вы подключаетесь к ресурсу. | На ПК откроется окно с надписью «Отлично! Вы завершили настройку способов аутентификации» |
| Пользователь: С ПК выполните подключение к ресурсу | На мобильное приложение придет подтверждение второго фактора. |
| Пользователь: На мобильном устройстве подтвердите, что это вы подключаетесь к ресурсу. | Вход на ресурс выполнен успешно. |
| Администратор: Перейдите во вкладку «Пользователи» | Откроется список пользователей |
| Администратор: Нажмите на пользователя, которому ранее был настроен второй фактор | Откроется «Информация о пользователе системы» |
| Администратор: Нажмите «Заблокировать» | Поле «Статус» примет значение «Заблокирован» |
| Пользователь: С ПК выполните подключение к ресурсу | Вход не выполнен, на мобильное устройство не поступило подтверждение второго фактора. |
| Администратор: Перейдите во вкладку «Доступы» | Отобразится список запросов доступа к ресурсам. |
| Администратор: Нажмите на последнее событие. | Откроется событие |
| Администратор: Убедитесь, что в поле «Статус» значение «В доступе отказано» | Значение корректное |
| Тест 2: Проверка на требования к сложности пароля | |
| Администратор: Нажать на кнопку «Выход» | Откроется страница аутентификации |
| Администратор: Нажать «Забыли пароль» | Откроется форма «Восстановление пароля» |
| Администратор:Укажите почту для восстановления пароля и нажмите отправить письмо | Откроется форма «Письмо отправлено» |
| Администратор: Перейдите в почту и откройте письмо от «reply@gos,multifactor.ru | В письме «Мы получили от Вас запрос на изменение пароля в системе управления Multifactor. |
| Вы можете создать новый пароль по ссылке.» | |
| Администратор:Перейти по ссылке | Откроется форма подтверждения второго фактора. |
| Администратор:На мобильном устройстве подтвердите действие. | На ПК откроется форма Требования к новому паролю: |
| - не должен быть короче 12 символов | |
| - должен содержать цифры и буквы | |
| - не должен совпадать с предыдущими 4-мя паролями | |
| А также поле для ввода пароля и поле для его подтверждения. | |
| Администратор: Введите пароль, не подходящий по требованиям, например, «Админ1» в оба поля | Высветится текст «Пароль не должен быть короче 12 символов» |
| Администратор: Нажмите «Сохранить пароль» | Ничего не произошло также поле подсвечено «Пароль не должен быть короче 12 символов» |
| Администратор: Введите пароль «11111111111» | Появится надпись «Пароль должен содержать буквы и цифры» |
| Администратор: Нажмите «Сохранить пароль» | Ничего не произошло также поле подсвечено «Пароль должен содержать буквы и цифры» |
| Администратор: Введите пароль, который был ранее установлен в качестве пароля | Высветится текст «Пароль не должен совпадать с предыдущими 4 паролями» |
| Администратор: Нажмите «Сохранить пароль» | Ничего не произошло также поле подсвечено «Пароль не должен совпадать с предыдущими 4 паролями» |
| Администратор: Введите пароль удовлетворяющий требования изделия и нажмите «Сохранить пароль» | Откроется форма аутентификации. |
3.5. Проверка ФБ4 (ИАФ.5):
3.5.1. Проверяемые требования
Защита обратной связи аутентификации при вводе (ИАФ.5)
3.5.2. Дополнительные предварительные условия проведения проверки
Отсутствуют.
3.5.3. Порядок проведения проверки и интерпретация результатов
| Порядок проведения проверки | Интерпретация результатов каждого значимого шага |
|---|---|
| Тест 1: Проверка обратной связи кабинета администратора | |
| Зайти на сайт администрирования https://[ip_кабинета администратора]/ | Откроется форма аутентификации |
| В поле «Email» ввести произвольный логин | Логин введён |
| В поле «Пароль» ввести произвольные символы и убедиться, что символы скрыты | Символы скрыты |
| Выделить введённый пароль и нажать правой кнопкой мыши. | Откроется меню действий с текстом |
| Убедиться ,что поле «копировать» недоступно | поле «копировать» недоступно |
| Нажать на | Пароль соответствует |
| убедиться что ранее введённый пароль соответствует | |
| Нажать на | Пароль скрыт |
| и убедиться что пароль скрыт | |
| Тест 2: Проверка обратной связи портал самообслуживания | |
| Зайти на сайт администрирования https://[ip _портала]/ | Откроется форма аутентификации |
| В поле «Email» ввести произвольный логин | Логин введён |
| В поле «Пароль» ввести произвольные символы и убедиться, что символы скрыты | Символы скрыты |
| Выделить введённый пароль и нажать правой кнопкой мыши. | Откроется меню действий с текстом |
| Убедиться, что поле «копировать» недоступно | поле «копировать» недоступно |
3.6. Проверка ФБ5:
3.6.1. Проверяемые требования
Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей (УПД.1)
3.6.2. Дополнительные предварительные условия проведения проверки
Существует ресурс, к которому оператор подключается с помощью Radius. На сервере Radius установлен Radius adapter. За администратора выполнен вход с панель администратора.
3.6.3. Порядок проведения проверки и интерпретация результатов
| Порядок проведения проверки | Интерпретация результатов каждого значимого шага |
|---|---|
| Тест 1: Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей | |
| Оператор:Выполнить подключение к ресурсу от пользователя, с настроенным Radius для этого пользователя. | Вход не выполнен. |
| Администратор: Перейти в доступы | Откроется список пользователей , которые запрашивают доступ к ресурсу. |
| Последний запрос доступа будет иметь поле «Доступ» со статусом «Ожидается» | Событие присутствует в списке. |
| Нажать на событие | Откроется страница «Информация о запросе доступа» в котором присутствую поля: |
| Пользователь | |
| Ресурс | |
| Статус | |
| Ожидается аутентификация | |
| Создан | |
| Способ аутентификации | |
| Устройство | |
| Radius-Adapter-Client | |
| IP адрес | |
| Хост | |
| Geolocation | |
| 2FA Device IP | |
| Нажать на пользователя | Откроется информация о пользователе системы |
| Нажать «Отправить ссылку для настройки аутентификации» | Откроется форма с полями «Email адрес» и «Срок действия ссылки в минутах» |
| Администратор: Нажать «Отправить» | Форма закроется |
| Пользователь: Зайти в ранее указанную почту | В почте находится письмо от «reply@gos.multifactor.ru» |
| Пользователь: Открыть письмо и нажать «Настроить MULTIFACTOR» | Откроется страница с настройкой метода подтверждения второго фактора |
| Пользователь: Выбрать метод «Mobile app» после «add account» | Откроются варианты установки на мобильное устройство |
| Пользователь: Нажать «Next» | Откроется страница с сгенерированным QR-Кодом |
| Пользователь: На мобильном устройстве войдите в приложение Multifactor нажмите «+» | Откроется камера для сканирования QR-кода |
| Пользователь: Отсканируйте QR-код | В мобильном приложении добавится новый пользователь |
| Пользователь: На ПК нажмите «Back» | На мобильном устройстве придёт подтверждение второго фактора. |
| Пользователь: На мобильном устройстве подтвердите, что это вы подключаетесь к ресурсу. | На ПК откроется окно с надписью «Отлично! Вы завершили настройку способов аутентификации» |
| Пользователь: С ПК выполните подключение к ресурсу | На мобильное приложение придёт подтверждение второго фактора. |
| Пользователь: На мобильном устройстве подтвердите, что это вы подключаетесь к ресурсу. | Вход на ресурс выполнен успешно. |
| Администратор: Перейдите во вкладку «Пользователи» | Откроется список пользователей |
| Администратор: Нажмите на пользователя, которому ранее был настроен второй фактор | Откроется «Информация о пользователе системы» |
| Администратор: Нажмите «Заблокировать» | Поле «Статус» примет значение «Заблокирован» |
| Пользователь: С ПК выполните подключение к ресурсу | Вход не выполнен, на мобильное устройство не поступило подтверждение второго фактора. |
| Администратор: Перейдите во вкладку «Доступы» | Отобразится список запросов доступа к ресурсам. |
| Администратор: Нажмите на последнее событие. | Откроется событие |
| Администратор: Убедитесь, что в поле «Статус» значение «В доступе отказано» | Значение корректное |
| Администратор: Перейдите во вкладку «Пользователи» | Откроется список пользователей |
| Администратор: Нажмите на пользователя, которому ранее был настроен второй фактор | Откроется «Информация о пользователе системы» |
| Администратор: Нажмите «Разблокировать» | Поле «Статус» примет значение «Активный» |
| Пользователь: С ПК выполните подключение к ресурсу | Вход ожидается, на мобильное устройство поступило подтверждение второго фактора. |
| Пользователь: На мобильном устройстве подтвердите, что это вы подключаетесь к ресурсу. | Вход на ресурс выполнен успешно. |
| Администратор: Перейдите во вкладку «Доступы» | Отобразится список запросов доступа к ресурсам. |
| Администратор: Нажмите на последнее событие. | Откроется событие |
| Администратор: Убедитесь, что в поле «Статус» значение «Разрешен» | Значение корректное |
| Тест 2: Регистрация администратора с ролью «Admin» | |
| Администратор 1: Перейти во вкладку «Администраторы» | Откроется список администраторов |
| Администратор 1: Нажать «Добавить» | Откроется страница создания нового администратора |
| Администратор 1: Указать: | Поля заполнены. |
| Имя | |
| Роль:Support1 | |
| Администратор 1: Ознакомиться с описанием роли ниже | Описание присутствует «Support 1: доступ только для чтения к разделам "Пользователи" и "Запросы доступа".» |
| Администратор 1: Нажать зарегистрировать | Откроется список администраторов, в котором будет указан ранее созданный администратор со статусом «Приглашение отправлено» |
| Администратор2 с ролью Admin: В почте появится письмо от reply@gos.multifactor.ru | Письмо появилось в почтовом ящике |
| Администратор 2 с ролью Admin: Открыть письмо и нажать получить доступ | Откроется страница создания пароля. |
| Администратор 2 с ролью Admin: Введите произвольный пароль 2 раза и нажать «Сохранить». | Произойдёт редирект на страницу настройки второго фактора |
| Администратор 2 с ролью Admin: Выбрать метод «Mobile app» после «add account» | Откроются варианты установки на мобильное устройство |
| Администратор 2 с ролью Admin: Нажать «Next» | Откроется страница с сгенерированным QR-Кодом |
| Администратор 2 с ролью Admin: На мобильном устройстве войдите в приложение Multifactor нажмите «+» | Откроется камера для сканирования QR-кода |
| Администратор 2 с ролью Admin: Отсканируйте QR-код | В мобильном приложении добавится новый пользователь |
| Администратор 2 с ролью Admin: На ПК нажмите «Back» | На мобильном устройстве придёт подтверждение второго фактора. |
| Администратор 2 с ролью Admin: На мобильном устройстве подтвердите, что это вы подключаетесь к ресурсу. | На ПК откроется окно с надписью «Отлично! Вы завершили настройку способов аутентификации» |
| Администратор 2 с ролью Admin: Выполните вход в панель администрирования Мультифактор | Вход успешно выполнен |
| Тест 2: Регистрация администратора с ролью «Admin» | |
| Администратор 1: Перейти во вкладку «Администраторы» | Откроется список администраторов |
| Администратор 1: Нажать «Добавить» | Откроется страница создания нового администратора |
| Администратор 1: Указать: | Поля заполнены. |
| Имя | |
| Роль:Support1 | |
| Администратор 1: Ознакомиться с описанием роли ниже | Описание присутствует «Support 1: доступ только для чтения к разделам "Пользователи" и "Запросы доступа".» |
| Администратор 1: Нажать зарегистрировать | Откроется список администраторов, в котором будет указан ранее созданный администратор со статусом «Приглашение отправлено» |
| Администратор2 с ролью Admin: В почте появится письмо от reply@gos.multifactor.ru | Письмо появилось в почтовом ящике |
| Администратор 2 с ролью Admin: Открыть письмо и нажать получить доступ | Откроется страница создания пароля. |
| Администратор 2 с ролью Admin: Введите произвольный пароль 2 раза и нажать «Сохранить». | Произойдет редирект на страницу настройки второго фактора |
| Администратор 2 с ролью Admin: Выбрать метод «Mobile app» после «add account» | Откроются варианты установки на мобильное устройство |
| Администратор 2 с ролью Admin: Нажать «Next» | Откроется страница с сгенерированным QR-Кодом |
| Администратор 2 с ролью Admin: На мобильном устройстве войдите в приложение Multifactor нажмите «+» | Откроется камера для сканирования QR-кода |
| Администратор 2 с ролью Admin: Отсканируйте QR-код | В мобильном приложении добавится новый пользователь |
| Администратор 2 с ролью Admin: На ПК нажмите «Back» | На мобильном устройстве придёт подтверждение второго фактора. |
| Администратор 2 с ролью Admin: На мобильном устройстве подтвердите, что это вы подключаетесь к ресурсу. | На ПК откроется окно с надписью «Отлично! Вы завершили настройку способов аутентификации» |
| Администратор 2 с ролью Admin: Выполните вход в панель администрирования Мультифактор | Вход успешно выполнен |
| Тест 3: Блокирование администратора с ролью «Admin» | |
| Администратор 1: Перейдите во вкладку «Администраторы» | Откроется список администраторов |
| Администратор 1: Нажмите на ранее созданного администратора | Откроется страница с информацией о сотруднике с доступом в управление ПО «Мультифактор» |
| Администратор 1:Нажать «Заблокировать» | Статус изменится на «Заблокирован» |
| Администратор 2 с ролью Admin: перейти на вкладку аутентификации ввести логин и пароль. | Появится надпись «Неверный адрес или пароль» |
| Администратор 1:Нажать «Разблокировать» | Статус изменится на «Активный» |
| Администратор 2 с ролью Admin: перейти на вкладку аутентификации ввести логин и пароль. | Появится форма подтверждения второго фактора. |
| Администратор 2 с ролью Admin: В мобильном приложении подтвердить второй фактор | Вход успешно выполнен |
| Тест 4: Удаление администратора с ролью «Admin» | |
| Администратор 1: Перейдите во вкладку «Администраторы» | Откроется список администраторов |
| Администратор 1: Нажмите на ранее созданного администратора | Откроется страница с информацией о сотруднике с доступом в управление ПО «Мультифактор» |
| Администратор 1: Перейдите во вкладку «Администраторы» | Откроется список администраторов |
| Администратор 1: Нажмите на ранее созданного администратора | Откроется страница с информацией о сотруднике с доступом в управление ПО «Мультифактор» |
| Администратор 1: Нажмите на «удалить» | Появится форма «Подтверждаете удаление? Это действие необратимо» |
| Администратор 1: Нажать «ОК» | Откроется список администраторов |
| Администратор 1: Убедиться что в списке отсутствует ранее созданный администратор. | В списке отсутствует ранее созданный администратор с ролью «Admin» |
| Администратор 2 с ролью Admin: перейти на вкладку аутентификации ввести логин и пароль. | Появится надпись «Неверный адрес или пароль» |
3.7. Проверка ФБ6:
3.7.1. Проверяемые требования
Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа (УПД.2)
3.7.2. Дополнительные предварительные условия проведения проверки
Выполнен вход в панель администратора.
3.7.3. Порядок проведения проверки и интерпретация результатов
Порядок проведения проверки Интерпретация результатов каждого значимого шага
Тест 1: Регистрация администратора с ролью Support 1
Администратор 1: Перейти во вкладку «Администраторы» Откроется список администраторов
Администратор 1: Нажать «Добавить» Откроется страница создания нового администратора
Администратор 1: Указать: Поля заполнены.
Имя
Email
Роль:Support1
Администратор 1: Ознакомиться с описанием роли ниже Описание присутствует «Support 1: доступ только для чтения к разделам "Пользователи" и "Запросы доступа".»
Администратор 1: Нажать зарегистрировать Откроется список администраторов, в котором будет указан ранее созданный администратор со статусом «Приглашение отправлено»
Администратор 2 с ролью Support 1: В почте появится письмо от reply@gos.multifactor.ru Письмо появилось в почтовом ящике
Администратор 2 с ролью Support 1: Открыть письмо и нажать получить доступ Откроется страница создания пароля.
Администратор 2 с ролью Support 1: Введите произвольный пароль 2 раза и нажать «Сохранить». Произойдёт редирект на страницу настройки второго фактора
Администратор 2 с ролью Support 1: Выбрать метод «Mobile app» после «add account» Откроются варианты установки на мобильное устройство
Администратор 2 с ролью Support 1: Нажать «Next» Откроется страница с сгенерированным QR-Кодом
Администратор 2 с ролью Support 1: На мобильном устройстве войдите в приложение Multifactor нажмите «+» Откроется камера для сканирования QR-кода
Администратор 2 с ролью Support 1: Отсканируйте QR-код В мобильном приложении добавится новый пользователь
Администратор 2 с ролью Support 1: На ПК нажмите «Back» На мобильном устройстве придёт подтверждение второго фактора.
Администратор 2 с ролью Support 1: На мобильном устройстве подтвердите, что это вы подключаетесь к ресурсу. На ПК откроется окно с надписью «Отлично! Вы завершили настройку способов аутентификации»
Администратор 2 с ролью Support 1: Выполните вход в панель администрирования Мультифактор Вход успешно выполнен
Администратор 2 с ролью Support 1: Доступны только вкладки «Главная», «Пользователи» «Доступы» Доступны только вкладки «Главная», «Пользователи» «Доступы»
Администратор 2 с ролью Support 1: Перейдите во вкладку «Пользователи» Откроется список пользователей.
Администратор 2 с ролью Support 1: Нажмите на любого пользователя Откроется «Информация о пользователе системы»
Администратор 2 с ролью Support 1: Пролистать карточку до самого низа и убедиться, что нет возможности совершать действий с пользователем В карточке нет кнопок для действий с пользователем.
Администратор 2 с ролью Support 1: Перейти во вкладку «Доступы» Откроется страница с запросами доступа к ресурсам системы
Администратор 2 с ролью Support 1: Нажать на любой доступный запрос со статусом «Ожидает аутентификации» Откроется страница с информацией о запросе доступа
Администратор 2 с ролью Support 1: Убедиться, что в карточке нет действий В карточке нет кнопок , то есть она открыта в режиме чтения.
Тест 2: Тестирование роли администратора Support 2
Администратор 1: Перейдите во вкладку «Администраторы» Откроется список администраторов
Администратор 1: Нажмите на ранее созданного администратора Откроется страница с информацией о сотруднике с доступом в управление ПО «Мультифактор»
Администратор 1:Нажмите редактировать и выберете роль Support 2 и нажмите «Сохранить» Изменения успешно применились.
Администратор 2 с ролью Support 2: Попробуйте перейти на любую вкладку Произойдет редирект на страницу с кодом 403 и предложит повторно зайти в систему.
Администратор 2 с ролью Support 2: Выполните повторный вход Вход выполнен, доступны вкладки Главная, Пользователи, Доступы
Администратор 2 с ролью Support 2: Перейдите во вкладку «Пользователи» Откроется список всех пользователей проекта
Администратор 2 с ролью Support 2: Зайдите в любого пользователя Откроется карточка с информацией о пользователе системы
Администратор 2 с ролью Support 2: Убедитесь, что доступны функции по управлению способами аутентификации Есть возможность удалить способ аутентификации и отправить ссылку приглашение.
Администратор 2 с ролью Support 2: Нажмите на значок корзины в поле «Подключенные способы аутентификации» Появится форма «Подтверждаете отключение?»
Администратор 2 с ролью Support 2: Нажмите «ОК» Способ аутентификации пропал из списка
Администратор 2 с ролью Support 2: Выполните выход из системы Выход выполнен
Тест 3: Тестирование роли администратора Support 3
Администратор 1: Перейдите во вкладку «Администраторы» Откроется список администраторов
Администратор 1: Нажмите на ранее созданного администратора Откроется страница с информацией о сотруднике с доступом в управление ПО «Мультифактор»
Администратор 1:Нажмите редактировать и выберете роль Support 3 и нажмите «Сохранить» Изменения успешно применились.
Администратор 2 с ролью Support 3: Выполните повторный вход Вход выполнен, доступны вкладки Главная, Пользователи, Доступы
Администратор 2 с ролью Support 3: Перейдите во вкладку «Пользователи» Откроется список всех пользователей проекта
Администратор 2 с ролью Support 3: Зайдите в любого пользователя Откроется карточка с информацией о пользователе системы
Администратор 2 с ролью Support 3: убедитесь, что доступны функции по управлению способами аутентификации, а также появились действия с пользователем «Удалить», «Заблокировать», «Редактировать» Есть возможность удалить способ аутентификации и отправить ссылку приглашение, а также доступны действия с пользователем удаление, блокирование, редактирование.
Администратор 2 с ролью Support 3:нажмите «Заблокировать» Статус изменился на «Заблокирован»
Заблокированный пользователь: Выполните подключение к ресурсу В доступе отказано
Администратор 2 с ролью Support 3:нажмите «Разблокировать» Статус изменился на «Активный»
Разблокированный пользователь: Выполните подключение к ресурсу Ресурс запросил подтверждение второго фактора
Разблокированный пользователь: Подтвердите второй фактор Вход успешно выполнен.
Администратор 2 с ролью Support 3: Выполните выход из системы Выход выполнен
Тест 4: Тестирование роли администратора Support 4
Администратор 1: Перейдите во вкладку «Администраторы» Откроется список администраторов
Администратор 1: Нажмите на ранее созданного администратора Откроется страница с информацией о сотруднике с доступом в управление ПО «Мультифактор»
Администратор 1:Нажмите редактировать и выберете роль Support 4 и нажмите «Сохранить» Изменения успешно применились.
Администратор 2 с ролью Support 4: Выполните повторный вход Вход выполнен, доступны вкладки Главная, Пользователи, Доступы
Администратор 2 с ролью Support 4: Перейдите во вкладку «Доступы» Откроется список запросов доступа к ресурсам
Администратор 2 с ролью Support 4: Зайдите в любого запрос со статусом «Ожидается» Откроется карточка с информацией о запросе доступа
Администратор 2 с ролью Support 4: убедитесь, что доступна кнопка «пропустить без аутентификации» Кнопка доступна
Пользователь: выполните подключение к ресурсу Запрошено подтверждение второго фактора
Администратор 2 с ролью Support 4:Перейдите в запросы и найдите последний запрос пользователя Откроется карточка запроса доступа
Администратор 2 с ролью Support 4: Нажмите «Пропустить без аутентификации» Откроется форма «Предоставить доступ?»
Администратор 2 с ролью Support 4: Нажмите «ОК» Статус изменится на «Доступ предоставлен»
Пользователь: ожидает входа на ресурс Подключение к ресурсу выполнено
Администратор 2 с ролью Support 4: Выполните выход из системы Выход выполнен
3.8. Проверка ФБ7:
3.8.1. Проверяемые требования
Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)(УПД.6)
3.8.2. Дополнительные предварительные условия проведения проверки
Установлены минимум 2 браузера. В системе есть 4 администратора с ролями Support 1, Support 2, Support 3, Support 4.
3.8.3. Порядок проведения проверки и интерпретация результатов
Порядок проведения проверки Интерпретация результатов каждого значимого шага
Тест 1: Вход в кабинет администратора с перебором пароля
Браузер 1. Войдите в личный кабинет администратора Вход выполнен
Браузер 2. Откройте страницу аутентификации в другом браузере Открыта страница аутентификации
Браузер 2. Введите логин администратора и произвольный пароль 5 раз Появится «The user is blocked»
Браузер 1. Перейдите в журнал Отобразится журнал
Браузер 1. Нажмите на последнее событие «Автоматическая блокировка» В событие указаны:
Сотрудник
Действие
Статус
Время
ActionId
Браузер 2. Подождать 30 минут
Браузер 2. Ввести в поле «Логин» и «Пароль» верные данные для входа в систему. Затем нажать кнопку «Войти» Откроется форма с выбором способа подтверждения второго фактора.
Браузер 2. На мобильное устройство придёт подтверждение действия. Появится всплывающая форма, с вопросом «это вы подключаетесь к [ресурсу] как [логин пользователя] из [флаг страны] [ip адрес]
Браузер 2. Подтвердить действие в мобильном приложении Вход успешно выполнен
Тест 2: Вход в кабинет администратора с ролью Support 1 с перебором пароля
Администратора с ролью Support 1: Откройте страницу аутентификации в другом браузере Открыта страница аутентификации
Администратора с ролью Support 1: Введите логин администратора и произвольный пароль 5 раз Появится «The user is blocked»
Администратора с ролью Support 1 Подождать 30 минут
Администратора с ролью Support 1 Ввести в поле «Логин» и «Пароль» верные данные для входа в систему. Затем нажать кнопку «Войти» Откроется форма с выбором способа подтверждения второго фактора.
Тест 3: Вход в кабинет администратора с ролью Support 2 с перебором пароля
Администратора с ролью Support 2: Откройте страницу аутентификации в другом браузере Открыта страница аутентификации
Администратора с ролью Support 2: Введите логин администратора и произвольный пароль 5 раз Появится «The user is blocked»
Администратора с ролью Support 2 Подождать 30 минут
Администратора с ролью Support 2 Ввести в поле «Логин» и «Пароль» верные данные для входа в систему. Затем нажать кнопку «Войти» Откроется форма с выбором способа подтверждения второго фактора.
Тест 4: Вход в кабинет администратора с ролью Support 3 с перебором пароля
Администратора с ролью Support 3: Откройте страницу аутентификации в другом браузере Открыта страница аутентификации
Администратора с ролью Support 3: Введите логин администратора и произвольный пароль 5 раз Появится «The user is blocked»
Администратора с ролью Support 3 Подождать 30 минут
Администратора с ролью Support 3 Ввести в поле «Логин» и «Пароль» верные данные для входа в систему. Затем нажать кнопку «Войти» Откроется форма с выбором способа подтверждения второго фактора.
Тест 5: Вход в кабинет администратора с ролью Support 4 с перебором пароля
Администратора с ролью Support 4: Откройте страницу аутентификации в другом браузере Открыта страница аутентификации
Администратора с ролью Support 4: Введите логин администратора и произвольный пароль 5 раз Появится «The user is blocked»
Администратора с ролью Support 4 Подождать 30 минут
Администратора с ролью Support 4 Ввести в поле «Логин» и «Пароль» верные данные для входа в систему. Затем нажать кнопку «Войти» Откроется форма с выбором способа подтверждения второго фактора.
3.9. Проверка ФБ8 (УПД.10, УПД.11):
3.9.1. Проверяемые требования
Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу (УПД.10)
Управление действиями пользователей до идентификации и аутентификации (УПД.11)
3.9.2. Дополнительные предварительные условия проведения проверки
Отсутствуют.
3.9.3. Порядок проведения проверки и интерпретация результатов
Порядок проведения проверки Интерпретация результатов каждого значимого шага
Тест 1: Реакция системы на бездействие
Выполнить вход в систему, и не совершать никаких действий в течение 15 минут
Убедиться, что система завершила сессию Окно «Аутентификация»
Тест 2: Проверка действий пользователей до аутентификации
Откройте форму аутентификации панели администратора Откроется форма аутентификации панели администратора
Нажмите «Зарегистрироваться» Откроется форма регистрации
Укажите e-mail, пароль и повторите введённый пароль Все поля заполнены
Нажмите «Зарегистрироваться» Появится окно настройки второго фактора
Настройте второй фактор через мобильное приложение Второй фактор настроен
Выполните вход с подтверждением второго фактора Вход успешно выполнен
3.10. Проверка ФБ9:
3.10.1. Проверяемые требования
Определение событий безопасности, подлежащих регистрации, и сроков их хранения. (РСБ.1)
Определение состава и содержания информации о событиях безопасности, подлежащих регистрации. (РСБ.2)
Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения (РСБ.3)
3.10.2. Дополнительные предварительные условия проведения проверки
Настроен ресурс и пользователь уже заходил на него используя второй фактор .
3.10.3. Порядок проведения проверки и интерпретация результатов
Порядок проведения проверки Интерпретация результатов каждого значимого шага
Тест 1: Проверка логирования действий по аутентификации
Войти в систему для аутентификации Откроется страница для ввода данных в поля «логин» и «пароль»
Оставить поля «Логин» и «Пароль» пустыми и нажать кнопку «Войти» Вход в систему не выполнен. Появится сообщение под полями ввода: «Пожалуйста, заполните. Пожалуйста, заполните». Есть возможность сбросить пароль через кнопку «Забыли пароль?»
Ввести верный «Логин» и неверный «Пароль» и нажать кнопку «Войти» Появится сообщение: «Неверный адрес или пароль». Вход не выполнен
Ввести неверный «Логин» и верный «Пароль» и нажать кнопку «Войти» Появится сообщение: «Неверный адрес или пароль».
Ввести неверный «Логин» и не верный «Пароль» и нажать кнопку «Войти» Вход в систему не выполнен. Появится сообщение: «Неверный адрес или пароль».
Ввести в поле «Логин» и в поле «Пароль» всевозможные символы и нажать кнопку «Войти» Вход в систему не выполнен. Появится сообщение: «Неверный адрес или пароль».
Ввести в поле «Логин» и в поле «Пароль» длинные данные и нажать кнопку «Войти» Вход в систему не выполнен. Появится сообщение: «Неверный адрес или пароль».
Ввести в поле «Логин» и в поле «Пароль» ещё 3 раза неправильно «Войти» Пользователь заблокирован
Нажать «Забыли пароль». Открыть почту с письмом от reply@gos.multifactor.ru и перейти по ссылке. На мобильное устройство придёт подтверждение действия.
Подтвердить действие в мобильном приложении На устройстве, с которого запрашивается доступ, откроется форма смены пароля.
Ввести новый пароль в 2 полях и подтвердить ввод. Откроется форма «Пароль успешно изменён»
Ввести в поле «Логин» и «Пароль» верные данные для входа в систему. Затем нажать кнопку «Войти» Откроется форма с выбором способа подтверждения второго фактора.
На мобильное устройство придёт подтверждение действия. Появится всплывающая форма , с вопросом «это вы подключаетесь к [ресурсу] как [логин пользователя] из [флаг страны] [ip адрес]
Подтвердить действие в мобильном приложении Вход успешно выполнен
Перейдите во вкладку «Журнал» Откроется «Журнал действий сотрудников»
Убедиться, что в журнале присутствуют события «Вход в админ-панель» со статусом «Fail» События присутствую в списке.
Убедиться, что в журнале присутствуют события «Автоматическая блокировка» и «Автоматическая разблокировка» со статусом «Success» События присутствую в списке.
Тест 2: Проверка логирования действий с ресурсами
Зайти во вкладку ресурсы и нажать «Добавить» Откроется форма создания ресурса
Выбрать произвольный ресурс и ввести произвольные данные чтобы проходила валидация Ресурс успешно создан
Удалить ранее созданный ресурс Ресурс успешно удалён
Перейти в «Журнал» убедиться, что в списке присутствую события «Удаление ресурса» и «Создание ресурса» События присутствуют в списке
Нажать на событие «Удаление ресурса» и убедиться, что у события присутствуют поля: Все поля присутствуют
Сотрудник_
Действие Удаление ресурса
Статус Success
Время_
Имя ресурса_
Тип ресурса_
ActionId_
Тест 3: Проверка логирования запросов доступа к ресурсам
Перейти на вкладку «Доступы» Откроется список ранее созданных запросов доступа
Нажать на любое событие с полем «Доступ» и значением «разрешён» Откроется страница с информацией о запросе доступа
Убедиться, что в запросе присутствует «Пользователь Поля присутствуют
Ресурс
Статус
Доступ предоставлен
Создан
Доступ предоставлен
Способ аутентификации
Устройство
IP адрес
Geolocation
2FA Device IP
3.11. Проверка ФБ10 (РСБ.6):
3.11.1. Проверяемые требования
Генерирование временных меток и (или) синхронизация системного времени в информационной системе (РСБ.6)
3.11.2. Дополнительные предварительные условия проведения проверки
В журнале действий сотрудников присутствуют события, созданы пользователи , к ресурсам запрашивался доступ.
3.11.3. Порядок проведения проверки и интерпретация результатов
Порядок проведения проверки Интерпретация результатов каждого значимого шага
Тест 1: Проверка логирования действий по аутентификации
Войти в систему для аутентификации Откроется страница для ввода данных в поля «логин» и «пароль»
Оставить поля «Логин» и «Пароль» пустыми и нажать кнопку «Войти» Вход в систему не выполнен. Появится сообщение под полями ввода: «Пожалуйста, заполните. Пожалуйста, заполните». Есть возможность сбросить пароль через кнопку «Забыли пароль?»
Ввести верный «Логин» и неверный «Пароль» и нажать кнопку «Войти» Появится сообщение: «Неверный адрес или пароль». Вход не выполнен
Ввести неверный «Логин» и верный «Пароль» и нажать кнопку «Войти» Появится сообщение: «Неверный адрес или пароль».
Ввести неверный «Логин» и не верный «Пароль» и нажать кнопку «Войти» Вход в систему не выполнен. Появится сообщение: «Неверный адрес или пароль».
Ввести в поле «Логин» и в поле «Пароль» всевозможные символы и нажать кнопку «Войти» Вход в систему не выполнен. Появится сообщение: «Неверный адрес или пароль».
Ввести в поле «Логин» и в поле «Пароль» длинные данные и нажать кнопку «Войти» Вход в систему не выполнен. Появится сообщение: «Неверный адрес или пароль».
Ввести в поле «Логин» и в поле «Пароль» ещё 3 раза неправильно «Войти» Пользователь заблокирован
Нажать «Забыли пароль». Открыть почту с письмом от reply@gos.multifactor.ru и перейти по ссылке. На мобильное устройство придёт подтверждение действия.
Подтвердить действие в мобильном приложении На устройстве, с которого запрашивается доступ, откроется форма смены пароля.
Ввести новый пароль в 2 полях и подтвердить ввод. Откроется форма «Пароль успешно изменён»
Ввести в поле «Логин» и «Пароль» верные данные для входа в систему. Затем нажать кнопку «Войти» Откроется форма с выбором способа подтверждения второго фактора.
На мобильное устройство придёт подтверждение действия. Появится всплывающая форма , с вопросом «это вы подключаетесь к [ресурсу] как [логин пользователя] из [флаг страны] [ip адрес]
Подтвердить действие в мобильном приложении Вход успешно выполнен
Перейдите во вкладку «Журнал» Откроется «Журнал действий сотрудников»
Убедиться, что в журнале присутствуют события «Вход в админ-панель» со статусом «Fail» События присутствую в списке.
Убедиться, что в журнале присутствуют события «Автоматическая блокировка» и «Автоматическая разблокировка» со статусом «Success» События присутствую в списке.
Тест 2: Проверка логирования действий с ресурсами
Зайти во вкладку ресурсы и нажать «Добавить» Откроется форма создания ресурса
Выбрать произвольный ресурс и ввести произвольные данные чтобы проходила валидация Ресурс успешно создан
Удалить ранее созданный ресурс Ресурс успешно удалён
Перейти в «Журнал» убедиться, что в списке присутствую события «Удаление ресурса» и «Создание ресурса» События присутствуют в списке
Нажать на событие «Удаление ресурса» и убедиться, что у события присутствуют поля: Все поля присутствуют
Сотрудник_
Действие Удаление ресурса
Статус Success
Время_
Имя ресурса_
Тип ресурса_
ActionId_
Тест 3: Проверка логирования запросов доступа к ресурсам
Перейти на вкладку «Доступы» Откроется список ранее созданных запросов доступа
Нажать на любое событие с полем «Доступ» и значением «разрешён» Откроется страница с информацией о запросе доступа
Убедиться, что в запросе присутствует «Пользователь Поля присутствуют
Ресурс
Статус
Доступ предоставлен
Создан
Доступ предоставлен
Способ аутентификации
Устройство
IP адрес
Geolocation
2FA Device IP
[su_animate type=»bounceIn» duration=»1″]Animated content[/su_animate]
4. Анализ покрытия тестами
Соответствие тестов интерфейсам, подсистемам и модулям подтверждено. Все функции безопасности покрыты тестами.
Приложения
Сокращения:
[su_animate type="bounceIn" duration="1"]Animated content[/su_animate]
ОО — объект оценки.
-
ФБ — функция безопасности.
-
ФТ — функциональное тестирование.
