Файловый архив студентов. Файловый архив студентов.
1267 вузов, 4649 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Национальный исследовательский технологический университет "МИСиС"
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
кр3.docx
Скачиваний:
36
Добавлен:
10.12.2018
Размер:
54.59 Кб
Скачать
►Содержание►

  1. Метод «черного ящика» (Black Box)

Используя информацию, полученную на первом этапе, специалист проводит анализ выявленных уязвимостей, а также поиск новых уязвимостей неавтоматизированными средствами. Оценивается возможность скомпрометировать систему без каких-либо дополнительных знаний об её внутренней структуре.

  1. Метод «белого ящика» (White Box)

Данный этап предполагает всесторонний анализ структуры и исходного кода web-приложения, а также условий функционирования web-приложения на физическом сервере, таких как:

  • ОС и применяемая политика безопасности

  • используемое серверное ПО и его настройка

Основная задача – выявление причин найденных ранее уязвимостей, а также поиск новых уязвимостей. Анализ кода проводится на основе выработанных рекомендаций по созданию безопасного кода. В случае нахождения формальных признаков новой уязвимости – она проверяется на предмет возможности её эксплуатации. В случае размещения web-приложения в условиях аренды места на сервере хостинга – дополнительно может быть проведена оценка угроз, исходящих от соседних доменов, размещенных на данном физическом сервере.

  1. Оценка рисков

На данном этапе проводится анализ всех найденных в процессе аудита угроз, описание процесса и причин их возникновения, оценка вероятности возникновения и степени влияния на бизнес-процессы Заказчика. Все выявленные уязвимости классифицируются согласно Web Application Security Consortium Web Security Threat Classification (WASC WSTCv2)

  1. Выработка рекомендаций

На основе анализа угроз, вырабатывается ряд рекомендаций по их устранению.

  1. Внедрение мер по обеспечению информационной безопасности

На основе выработанных рекомендаций по согласованию с Заказчиком производится внедрение мер по обеспечению информационной безопасности, которые включают в себя настройку системных параметров, изменение исходного кода приложения и внедрение средств защиты. По окончании работ производится оценка остаточного риска.

Аудит информационных систем

О проблеме

В наше время достаточно трудно представить себе преуспевающую компанию, у которой нет корпоративной информационной системы. И действительно, жесткие условия современного бизнеса, высокая конкуренция и колоссальный рост объемов информации, стимулируют организации на внедрение информационных систем, все больше и больше информации в них хранится и все более ценной и стратегически важной становится информационная система. Во многом эффективность информационных систем зависит от того, насколько хорошо обеспечена их защита с точки зрения информационной безопасности. Ведь согласно исследованию Gartner, 70% атак направлены на бизнес-приложения и базы данных (БД) организаций. Основные угрозы информационной системы:

  • Нарушение целостности и доступности информации;

  • Нарушение конфиденциальности информации.

Хищение и уничтожение корпоративной информации уже не редкость, к большому сожалению, число подобных инцидентов только растет. Для предотвращения подобных угроз необходимо проведение аудита информационных систем.

Основная цель аудита:

В первую очередь аудит информационной системы предназначен для получения объективной и независимой оценки степени ее защищенности, как от внешних, так и от внутренних злоумышленников, а так же формирование организационно распорядительной документации, описывающей полномочия и ответственность сотрудников организации имеющих доступ к информационной системе.

Когда необходим аудит информационных систем?

  • При внедрении информационной системы (CRM, ERP и т.д.);

  • При внедрении нового модуля, к уже существующей информационной системе;

  • Перед тем как осуществляется интеграция нового приложения с уже существующим;

  • При подозрении на некорректное функционирования информационной системы с точки зрения информационной безопасности.

Этапы аудита информационных систем

Основные этапы аудита информационной системы следующие:

  • Формирование плана аудита;

  • Формирование рабочей группы;

  • Сбор первичной информации и ее анализ;

  • Оценка рисков на основе полученной информации;

  • Создание плана по управлению рисками;

  • Разработка рекомендаций по управлению рисками;

  • Реализация мероприятий по снижению рисков.

Стандарты, используемые при проведении аудита безопасности информационных систем

Результатом проведения аудита, в последнее время, все чаще становится сертификат, удостоверяющих соответствие обследуемой ИС требованиям признанного международного стандарта. Наличие такого сертификата позволяет организации получать конкурентные преимущества, связанные с большим доверием со стороны клиентов и партнеров.

Значение международных стандартов ISO17799 и ISO15408 трудно переоценить. Эти стандарты служат основой для проведения любых работ в области информационной безопасности, в том числе и аудита. ISO17799 сосредоточен на вопросах организации и управления безопасностью, в то время как ISO15408 определяет детальные требования, предъявляемые к программно-техническим механизмам защиты информации.

Спецификация SysTrust в настоящее время достаточно широко используется аудиторскими компаниями, традиционно выполняющими финансовый аудит для своих клиентов и предлагающих услугу ИТ аудита в качестве дополнения к финансовому аудиту.

Немецкий стандарт «BSI\IT Baseline Protection Manual» содержит, пожалуй, наиболее содержательное руководство по обеспечению безопасности ИТ и представляет несомненную практическую ценность для всех специалистов, занимающихся вопросами информационной безопасности.

Практические стандарты и руководства по обеспечению информационной безопасности, разрабатываемые в рамках проекта SCORE, ориентированны на технических специалистов и являются в техническом плане наиболее совершенными в настоящее время.

Программа сертификации Интернет сайтов по требованиям информационной безопасности и соответствующая спецификация «SANS/GIAC Site Certification», предложенная институтом SANS, рассматривается в связи с неизменно возрастающей актуальностью вопросов защиты ИС организаций от атак со стороны сети Интернет и увеличением доли соответствующих работ при проведении аудита безопасности.

Результаты аудита

Результатом аудита информационной системы является:

  • Актуальная информация о текущем уровне защищенности информационной системы.

  • Возможность продолжать деятельность без опасения, что информация может быть похищена или уничтожена;

  • Повышение конкурентоспособности на рынке, за счет высокого уровня информационной безопасности;

  • Наличие организационно распорядительной документации, описывающей полномочия и ответственность сотрудников организации;

  • Снижение рисков финансовых потерь, за счет обеспечения высокой отказоустойчивости информационной системы;

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности