- •Экспертный аудит
- •Тест на проникновение (пентест)
- •Аудит безопасности web-приложений
- •Автоматическое сканирование
- •Метод «черного ящика» (Black Box)
- •Метод «белого ящика» (White Box)
- •Оценка рисков
- •Выработка рекомендаций
- •Внедрение мер по обеспечению информационной безопасности
- •Аудит информационных систем
- •Комплексный аудит
- •Подготовка к сертификации на соответствие международному стандарту iso/iec 27001:2005
-
Метод «черного ящика» (Black Box)
Используя информацию, полученную на первом этапе, специалист проводит анализ выявленных уязвимостей, а также поиск новых уязвимостей неавтоматизированными средствами. Оценивается возможность скомпрометировать систему без каких-либо дополнительных знаний об её внутренней структуре.
-
Метод «белого ящика» (White Box)
Данный этап предполагает всесторонний анализ структуры и исходного кода web-приложения, а также условий функционирования web-приложения на физическом сервере, таких как:
-
ОС и применяемая политика безопасности
-
используемое серверное ПО и его настройка
Основная задача – выявление причин найденных ранее уязвимостей, а также поиск новых уязвимостей. Анализ кода проводится на основе выработанных рекомендаций по созданию безопасного кода. В случае нахождения формальных признаков новой уязвимости – она проверяется на предмет возможности её эксплуатации. В случае размещения web-приложения в условиях аренды места на сервере хостинга – дополнительно может быть проведена оценка угроз, исходящих от соседних доменов, размещенных на данном физическом сервере.
-
Оценка рисков
На данном этапе проводится анализ всех найденных в процессе аудита угроз, описание процесса и причин их возникновения, оценка вероятности возникновения и степени влияния на бизнес-процессы Заказчика. Все выявленные уязвимости классифицируются согласно Web Application Security Consortium Web Security Threat Classification (WASC WSTCv2)
-
Выработка рекомендаций
На основе анализа угроз, вырабатывается ряд рекомендаций по их устранению.
-
Внедрение мер по обеспечению информационной безопасности
На основе выработанных рекомендаций по согласованию с Заказчиком производится внедрение мер по обеспечению информационной безопасности, которые включают в себя настройку системных параметров, изменение исходного кода приложения и внедрение средств защиты. По окончании работ производится оценка остаточного риска.
Аудит информационных систем
О проблеме
В наше время достаточно трудно представить себе преуспевающую компанию, у которой нет корпоративной информационной системы. И действительно, жесткие условия современного бизнеса, высокая конкуренция и колоссальный рост объемов информации, стимулируют организации на внедрение информационных систем, все больше и больше информации в них хранится и все более ценной и стратегически важной становится информационная система. Во многом эффективность информационных систем зависит от того, насколько хорошо обеспечена их защита с точки зрения информационной безопасности. Ведь согласно исследованию Gartner, 70% атак направлены на бизнес-приложения и базы данных (БД) организаций. Основные угрозы информационной системы:
-
Нарушение целостности и доступности информации;
-
Нарушение конфиденциальности информации.
Хищение и уничтожение корпоративной информации уже не редкость, к большому сожалению, число подобных инцидентов только растет. Для предотвращения подобных угроз необходимо проведение аудита информационных систем.
Основная цель аудита:
В первую очередь аудит информационной системы предназначен для получения объективной и независимой оценки степени ее защищенности, как от внешних, так и от внутренних злоумышленников, а так же формирование организационно распорядительной документации, описывающей полномочия и ответственность сотрудников организации имеющих доступ к информационной системе.
Когда необходим аудит информационных систем?
-
При внедрении информационной системы (CRM, ERP и т.д.);
-
При внедрении нового модуля, к уже существующей информационной системе;
-
Перед тем как осуществляется интеграция нового приложения с уже существующим;
-
При подозрении на некорректное функционирования информационной системы с точки зрения информационной безопасности.
Этапы аудита информационных систем
Основные этапы аудита информационной системы следующие:
-
Формирование плана аудита;
-
Формирование рабочей группы;
-
Сбор первичной информации и ее анализ;
-
Оценка рисков на основе полученной информации;
-
Создание плана по управлению рисками;
-
Разработка рекомендаций по управлению рисками;
-
Реализация мероприятий по снижению рисков.
Стандарты, используемые при проведении аудита безопасности информационных систем
Результатом проведения аудита, в последнее время, все чаще становится сертификат, удостоверяющих соответствие обследуемой ИС требованиям признанного международного стандарта. Наличие такого сертификата позволяет организации получать конкурентные преимущества, связанные с большим доверием со стороны клиентов и партнеров.
Значение международных стандартов ISO17799 и ISO15408 трудно переоценить. Эти стандарты служат основой для проведения любых работ в области информационной безопасности, в том числе и аудита. ISO17799 сосредоточен на вопросах организации и управления безопасностью, в то время как ISO15408 определяет детальные требования, предъявляемые к программно-техническим механизмам защиты информации.
Спецификация SysTrust в настоящее время достаточно широко используется аудиторскими компаниями, традиционно выполняющими финансовый аудит для своих клиентов и предлагающих услугу ИТ аудита в качестве дополнения к финансовому аудиту.
Немецкий стандарт «BSI\IT Baseline Protection Manual» содержит, пожалуй, наиболее содержательное руководство по обеспечению безопасности ИТ и представляет несомненную практическую ценность для всех специалистов, занимающихся вопросами информационной безопасности.
Практические стандарты и руководства по обеспечению информационной безопасности, разрабатываемые в рамках проекта SCORE, ориентированны на технических специалистов и являются в техническом плане наиболее совершенными в настоящее время.
Программа сертификации Интернет сайтов по требованиям информационной безопасности и соответствующая спецификация «SANS/GIAC Site Certification», предложенная институтом SANS, рассматривается в связи с неизменно возрастающей актуальностью вопросов защиты ИС организаций от атак со стороны сети Интернет и увеличением доли соответствующих работ при проведении аудита безопасности.
Результаты аудита
Результатом аудита информационной системы является:
-
Актуальная информация о текущем уровне защищенности информационной системы.
-
Возможность продолжать деятельность без опасения, что информация может быть похищена или уничтожена;
-
Повышение конкурентоспособности на рынке, за счет высокого уровня информационной безопасности;
-
Наличие организационно распорядительной документации, описывающей полномочия и ответственность сотрудников организации;
-
Снижение рисков финансовых потерь, за счет обеспечения высокой отказоустойчивости информационной системы;