4-1 Етичний хакінг / Питання лекції 2 Методологія проведення контролю безпеки інформаційної системи методами етичного хакінгу
.docxМіністерство освіти і науки України
Харківський національний університет радіоелектроніки
Факультет Інфокомунікацій .
(повна назва)
Кафедра Інфокомунікаційної інженерії імені В.В. Поповського .
(повна назва)
Відповіді на питання №2
з дисципліни
Основи аналізу вразливостей та етичний хакінг
на тему: «Методологія проведення контролю безпеки інформаційної системи методами етичного хакінгу»
2020 р.
Питання на повторення: Методологія проведення контролю безпеки інформаційної системи методами етичного хакінгу
1.Схема аудиту інформаційної системи;
8.Аудіт безпеки інформаційної системи;
Аудит інформаційної безпеки – системний процес отримання об’єктивних якісних і / або кількісних оцінок про поточний стан інформаційної безпеки компанії відповідно до визначених критеріїв та показників безпеки.
Аудит дозволяє оцінити поточний стан безпеки функціонування інформаційної системи (ІС), оцінити і зпрогнозувати ризики, управляти їх впливом на бізнес-процеси компанії, коректно і обґрунтовано підійти до питання забезпечення безпеки інформаційних активів, стратегічних планів розвитку, маркетингових програм, вмісту корпоративних баз даних .
2. Види і цілі аудиту:
Розрізняють зовнішній і внутрішній аудит.
Зовнішній аудит – це, як правило, разовий захід, що проводиться за ініціативою керівництва компанії або акціонерів. Зовнішній аудит рекомендується (а для ряду фінансових установ і акціонерних товариств необхідний) проводити регулярно.
Внутрішній аудит являє собою безперервну діяльність, яка здійснюється відповідно до плану, підготовка якого здійснюється підрозділом внутрішнього аудиту та затверджується керівництвом компанії. Аудит безпеки інформаційних систем є однією зі складових ІТ-аудиту.
Цілями проведення аудиту інформаційної безпеки є:
аналіз ризиків, пов’язаних з можливістю здійснення загроз безпеки щодо ресурсів ІС;
оцінка поточного рівня захищеності ІС;
локалізація вузьких місць в системі захисту ІС;
оцінка відповідності ІС існуючим стандартам в області інформаційної безпеки;
вироблення рекомендацій щодо впровадження нових та підвищення ефективності існуючих механізмів безпеки ІС.
3. Основні етапи аудиту безпеки
Роботи з аудиту безпеки ІС включають в себе ряд послідовних етапів, які в цілому відповідають етапам проведення комплексного ІТ-аудиту ІС, що включає в себе:
ініціювання процедури аудиту;
збір інформації аудиту;
аналіз даних аудиту;
вироблення рекомендацій;
підготовку аудиторського звіту.
На етапі ініціювання процедури аудиту повинні бути вирішені наступні організаційні питання:
права і обов’язки аудитора повинні бути чітко визначені і документально закріплені в його посадових інструкціях, а також в положенні про внутрішній (зовнішній) аудит;
аудитором повинен бути підготовлений і узгоджений із керівництвом план проведення аудиту;
в положенні про внутрішній аудит має бути закріплено, зокрема, що співробітники компанії зобов’язані сприяти аудитору і надавати всю необхідну для проведення аудиту інформацію. На етапі ініціювання процедури аудиту повинні бути визначені межі проведення обстеження. План і кордони проведення аудиту обговорюються на робочих зборах, в якому беруть участь аудитори, керівництво компанії і керівники структурних підрозділів.
4. Законное проведення аудиту;
Аудит інформаційної безпеки — системний процес одержання об'єктивних якісних і кількісних оцінок про поточний стан інформаційної безпеки компанії у відповідності з визначеними критеріями та показниками безпеки.
Аудит являється законним, якщо під час його проведення, інформаційна система не піддається активним атакам, а тільки пассивним (OSINT, sniffing).