ign="justify"> регулярний контроль змін в інформаційній системі;
вимоги міжнародних стандартів та нормативних документів у сфері інформаційної безпеки вимагають проведення регулярних тестів на проникнення.
Основні завдання проведення тестів на проникнення:
оцінка поточного стану інформаційної безпеки;
виявлення вразливостей інформаційної системи з їх ранжуванням за ступенем критичності та ідентифікацією з міжнародних, власним класифікаторах;
вимоги міжнародних стандартів та законодавства;
розробка рекомендацій щодо підвищення ефективності захисту інформації в інформаційній системі;
надання організації незалежної оцінки вибраних заходів і методик інформаційного захисту;
підготовка даних для проведення комплексного аудиту інформаційної безпеки.
Об'єктами тестування є: зовнішні сервери, зовнішнє мережеве обладнання, окремі сервіси.
Види тестів на проникнення:
) тестування методом чорного ящика - тестування без попередніх знань про тестируемом об'єкті. При виборі даного методу тестування організація надає лише діапазон зовнішніх IP-адрес або адреси серверів. Даний підхід максимально наближений до дій зловмисника не знайомої з цільовою системою. Дані про тестируемом об'єкті будуть збиратися за допомогою загальнодоступних джерел;
) тестування методом білого ящика - більш детальне дослідження, засноване на додаткової інформації про тестируемом об'єкті. При виборі даного методу тестування може запитуватися додаткова документація, вихідні коди, структура мережі, повний доступ до тестируемому об'єкту. Тест моделює ситуацію, можливу в разі витоку інформації, коли атакуючий знає архітектуру інформаційної системи, знайомий з вихідними кодами або схемами, можливо, навіть деякими паролями;
) тестування методом сірого ящика - при використанні даного методу свідомо ігнорується частина відомої інформації та застосовується поєднання перерахованих вище методів. p align="justify"> Роботи по тесту на проникнення включають в себе ряд послідовних етапів:
пошук та аналіз всієї доступної інформації;
інструментальне сканування, що припускає використання як спеціалізованих засобів;
детальний аналіз вручну;
аналіз і оцінка виявлених вразливостей і вироблення рекомендацій;
підготовка звіту.
Звіт, наданий організації за результатами проведення тестів на проникнення, містить детальний опис проведених робіт, всі виявлені вразливості системи, способи їх застосування та рекомендації щодо усунення даних вразливостей.
Тест на проникнення може бути початковим етапом комплексного аудиту інформаційної безпеки, на підставі якого можливі розробка політики інформаційної безпеки та впровадження систем захисту.
Аудит web-додатків
Аудит Web-додатків необхідний для виявлення та ідентифікації вразливостей, що дозволяють несанкціоновано отримати доступ, модифікувати інформацію або виконати довільний програмний код на цільовій системі.
Основні цілі проведення аудиту Web-додатків:
виявлення вразливостей компрометуючих цільову систему, допущених в процесі розробки та експлуатації Web-додатків;
визначення надійності та достатності застосовуваних систем захисту Web-ресурсів;
відстеження змін в Web-додатках;
дотримання вимог стандартів і нормативних документів у сфері інформаційної безпеки, що вимагають проведення аудиту захищеності Web-додатків.
Основні завдання проведення аудиту Web-додатків:
оцінка поточного стану Web-ресурсу організації;
виявлення вразливостей в Web-додатках з їх ранжуванням за ступенем критичності, ідентифікація з міжнародних і власним класифікаторах;
вимоги міжнародних стандартів та нормативних документів у сфері інформаційної безпеки;
надання організації незалежної оцінки захищеності ресурсів;
надання рекомендацій щодо усунення виявлених вразливостей Web-додатків;
підготовка даних при проведенні комплексного аудиту інформаційної безпеки.
Проведення аудиту безпеки web-додатку передбачає кілька етапів робіт:
) автоматичне сканування - на даному етапі проводиться автоматичне сканування web-вузла за допомогою програмних засобів виявлення вразливостей. Проводиться аналіз наявності типових рішень, застосовуваних для web-ресурсу, ...