Добавил:

AAA1 aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Харьковский национальный университет радиоэлектроники

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

4-1 Етичний хакінг / Питання лекції 1 Отримання інформації від мережевих сервісів та відкритих джерел.docx

Скачиваний:

128

Добавлен:

02.02.2021

Размер:

23.49 Кб

Скачать

☆

<<< < Предыдущая 12 / 32 3 > Следующая >>>

3. Методологія проведення аудиту безпеки;

Зазвичай аудит інформації проводять за такою схемою

1 – зустріч клієнта з замовником та обговорюються цілі та засоби проведення аудиту

2 – обов’язково підписується договорів про нерозголошення про виявленні недоліки, та договір про проведення послуг

3 – складається план проведення тестів безпеки який узгоджується з клієнтом

4 – проводяться пентести

5 – клієнту надається звіт в якому виконано аналіз, результат про проведення аналізу

Зазвичай аудит безпеки інформаційної системи можна поділити проведення пентестів на етапи:

Збір інформації за допомогою ресурсів глобальної мережі
Сканування системи
Отримання доступу, експлуатація
Закріплення в системі
Знищення слідів перебування
Пасивний збір інформації про систему

Умовно збір інформації про досліджувальну систему можна поділити на активну та пасивну фазу:

Пасивна фаза: метою цієї фази є зібрання всієї необхідної інформації про об’єкт дослідження з відкритих доступних джерел.

До пасивного збору інформації можна віднести сніфінг (процес перехоплення інформації яка надходить на наш мережевий інтерфейс і при цьому ми самі нічого не надсилаємо

Активною фазою збору інформації будемо безпосередньо вважати взаємодію з інформаціїною системою за допомогою програм роботу яких може зафіксувати система. Скоріш за все, така активність буде зафіксована цільовою системою і все це буде відображено в журналах аудиту

Використовувані аудиторами методи аналізу даних визначаються вибраними підходами до проведення аудиту, які можуть істотно різнитися.

Перший підхід, найскладніший, базується на аналізі ризиків. Спираючись на методи аналізу ризиків, аудитор визначає для обстежуваної ІС індивідуальний набір вимог безпеки, в найбільшою мірою враховує особливості даної ІС, середовища її функціонування і існуючі в даному середовищі загрози безпеки.

Другий підхід, самий практичний, спирається на використання стандартів інформаційної безпеки. Стандарти визначають базовий набір вимог безпеки для широкого класу ІС, який формується в результаті узагальнення світової практики. Стандарти можуть визначати різні набори вимог безпеки, в залежності від рівня захищеності ІС, який потрібно забезпечити, її приналежності (комерційна організація або державна установа), а також призначення (фінанси, промисловість, зв'язок і т. П.). Від аудитора в даному випадку потрібно правильно визначити набір вимог стандарту, відповідність яким потрібно забезпечити.

Третій підхід, найбільш ефективний, передбачає комбінування перших двох. Базовий набір вимог безпеки, що пред'являються до ІС, визначається стандартом. Додаткові вимоги, в максимальному ступені враховують особливості функціонування даної ІС, формуються на основі аналізу ризиків.

Рекомендації, що видаються аудитором за результатами аналізу стану ІС, визначаються використовуваним підходом, особливостями обстежуваної ІС, станом справ з інформаційною безпекою і ступенем деталізації, використовуваної при проведенні аудиту. У будь-якому випадку, рекомендації аудитора повинні бути конкретними і застосовними до даної ІС, економічно обґрунтованими, аргументованими (підкріпленими результатами аналізу) і відсортованими за ступенем важливості. При цьому заходи щодо забезпечення захисту організаційного рівня практично завжди мають пріоритет над конкретними програмно-технічними методами захисту. У той же час наївно очікувати від аудитора, як результат проведення аудиту, видачі технічного проекту підсистеми інформаційної безпеки, або детальних рекомендацій щодо впровадження конкретних програмно-технічних засобів захисту інформації. Це вимагає більш детального опрацювання конкретних питань організації захисту, хоча внутрішні аудитори можуть приймати в цих роботах найактивнішу участь.

Аудиторський звіт є основним результатом проведення аудиту. Його якість характеризує якість роботи аудитора. Він повинен, принаймні, містити опис цілей проведення аудиту, характеристику досліджуємо ІС, вказівку кордонів проведення аудиту і використовуваних методів, результати аналізу даних аудиту, висновки, узагальнюючі ці результати і містять оцінку рівня захищеності АС або відповідність її вимогам стандартів, і, звичайно , рекомендації аудитора щодо усунення існуючих недоліків та вдосконалення системи захисту.

<<< < Предыдущая 12 / 32 3 > Следующая >>>

Соседние файлы в папке 4-1 Етичний хакінг

#
02.02.2021398.5 Кб158ПЗ - 01_0 укр_Системи аналізу вразливостей та етичний хакінг.pptx
#
02.02.202119.48 Кб126ПЗ - 01_1 Web Scrapers.docx
#
02.02.2021398.45 Кб126ПЗ - 02_0 укр_Системи аналізу вразливостей та етичний хакінг.pptx
#
02.02.2021775.5 Кб126ПЗ - 02_1 Сучасна роль міжмережевого екрану та його налаштування.docx
#
02.02.202146.07 Кб125ПЗ - 02_2 Сучасна роль міжмережевого екрану та його налаштування.docx
#
02.02.202123.49 Кб128Питання лекції 1 Отримання інформації від мережевих сервісів та відкритих джерел.docx
#
02.02.202153.32 Кб123Питання лекції 2 Методологія проведення контролю безпеки інформаційної системи методами етичного хакінгу.docx
#
02.02.202129.83 Кб120Питання лекції 3.docx
#
02.02.202121.88 Кб124Питання лекції 4 Виявлення вразливостей мереж стандарту IEEE 802.11(Wi-Fi мереж).docx
#
02.02.202132.95 Кб120Питання лекції 5 Аналіз налаштувань VPN.docx
#
02.02.202129.48 Кб131Реферат Уразливості сучасних бездротових мереж маршрутизаторів і роутерів.docx