Теми рефератів
> Реферати > Курсові роботи > Звіти з практики > Курсові проекти > Питання та відповіді > Ессе > Доклади > Учбові матеріали > Контрольні роботи > Методички > Лекції > Твори > Підручники > Статті Контакти
Реферати, твори, дипломи, практика » Отчеты по практике » Аудит інформаційної безпеки

Реферат Аудит інформаційної безпеки





таких форуми та гостьові книги. Більшість подібних рішень мають відкритий вихідний код і добре вивчені на предмет наявності вразливостей. Автоматичне сканування дозволяє виявити не тільки помилки на рівні вихідного коду web-сценарію, але також і типові помилки адміністрування сервера;

) метод В«чорного ящикаВ» - використовуючи інформацію, отриману на першому етапі, фахівець проводить аналіз виявлених вразливостей, а також пошук нових вразливостей неавтоматизованими засобами. Оцінюється можливість скомпрометувати систему без будь-яких додаткових знань про її внутрішній структурі;

) метод "білого ящика" - даний етап передбачає всебічний аналіз структури і вихідного коду web-додатки, а також умов функціонування web-додатки на фізичному сервері, таких як:

використовувана операційна система і застосовувана політика безпеки;

використовуване серверне програмне забезпечення та його налаштування.

Основне завдання - виявлення причин знайдених раніше вразливостей, а також пошук нових вразливостей. Аналіз коду проводиться на основі вироблених рекомендацій щодо створення безпечного коду. У разі знаходження формальних ознак нової вразливості - вона перевіряється на предмет можливості її експлуатації. p align="justify"> У разі розміщення web-додатки в умовах оренди місця на сервері хостингу - додатково може бути проведена оцінка загроз, що виходять від сусідніх доменів, розміщених на даному фізичному сервері;

) оцінка ризиків - на даному етапі проводиться аналіз всіх знайдених в процесі аудиту загроз, опис процесу і причин їх виникнення, оцінка ймовірності виникнення та ступеня впливу на бізнес-процеси;

) вироблення рекомендацій - на основі аналізу загроз, виробляється ряд рекомендацій щодо їх усунення;

) впровадження заходів щодо забезпечення інформаційної безпеки - на основі вироблених рекомендацій проводиться впровадження заходів щодо забезпечення інформаційної безпеки, які включають в себе налаштування системних параметрів, зміна вихідного коду програми і впровадження засобів захисту.

Після закінчення робіт проводиться оцінка залишкового ризику.

Звіт, наданий за результатами проведення аудиту Web-додатків, містить детальний опис проведених робіт, всі виявлені вразливості додатків, способи їх застосування та рекомендації щодо усунення даних вразливостей.

Комплексний аудит

Комплексний аудит інформаційної безпеки - незалежна і об'єктивна комплексна оцінка поточного стану захищеності інформаційної системи, що дозволяє систематизувати загрози інформаційної безпеки і запропонувати рекомендації щодо їх усунення. p align="justify"> Комплексний аудит інформаційної безпеки дозволяє отримати найбільш повну оцінку захищеності інформаційної системи і рекомендується для первинної оцінки, об'єднує в собі інші види аудиту інформаційної безпеки і надає можливість оцінити рівень і стан інформаційної безпеки, як внутрішніх ресурсів, так і зовнішніх.

Основні цілі проведення комплексного аудиту інформаційної безпеки:

пошук вразливостей, що дозволяють провести атаку на інформаційну систему організації;

комплексна оцінка захищеності інформаційної системи, відсутність або недоліки застосовуваних систем захисту інформації від несанкціонованого впливу;

регулярне відстеження змін в інформаційній системі;

отримання незалежної оцінки;

дотримання вимог міжнародних стандартів та нормативних документів у сфері інформаційної безпеки, які рекомендують потребують періодичного або разового проведення аудиту інформаційної безпеки.

Основні завдання комплексного аудиту інформаційної безпеки:

аналіз структури, функцій, використовуваних технологій обробки, зберігання та передачі інформації в інформаційній системі;

виявлення вразливостей інформаційної системи з їх ранжуванням за ступенем критичності, їх ідентифікація з міжнародних і власним класифікаторах;

складання моделі порушника, застосування методики активного аудиту для перевірки можливості реалізації виявлених загроз інформаційної безпеки;

вимоги міжнародних стандартів та нормативних документів у сфері інформаційної безпеки;

вироблення рекомендацій щодо підвищення ефективності захисту інформації в інформаційній системі.

У загальному вигляді, комплексний аудит інформаційної безпеки включає в себе наступні види аудиту ІБ:

) Зовнішній аудит інформаційної безпеки, який включає в себе:

а) технічний аудит мережі;

Назад | сторінка 4 з 5 | Наступна сторінка





Схожі реферати:

  • Реферат на тему: Розробка та впровадження комплексу заходів щодо забезпечення інформаційної ...
  • Реферат на тему: Місце інформаційної безпеки в системі національної безпеки
  • Реферат на тему: Сучасний стан ІНФОРМАЦІЙНОЇ БЕЗПЕКИ. Проблеми захисту комп'ютерної ІНФ ...
  • Реферат на тему: Забезпечення інформаційної безпеки в системі організаційного управління SAP ...
  • Реферат на тему: Розробка мережевого рішення і комплексних заходів безпеки для розподіленої ...