таких форуми та гостьові книги. Більшість подібних рішень мають відкритий вихідний код і добре вивчені на предмет наявності вразливостей. Автоматичне сканування дозволяє виявити не тільки помилки на рівні вихідного коду web-сценарію, але також і типові помилки адміністрування сервера;
) метод В«чорного ящикаВ» - використовуючи інформацію, отриману на першому етапі, фахівець проводить аналіз виявлених вразливостей, а також пошук нових вразливостей неавтоматизованими засобами. Оцінюється можливість скомпрометувати систему без будь-яких додаткових знань про її внутрішній структурі;
) метод "білого ящика" - даний етап передбачає всебічний аналіз структури і вихідного коду web-додатки, а також умов функціонування web-додатки на фізичному сервері, таких як:
використовувана операційна система і застосовувана політика безпеки;
використовуване серверне програмне забезпечення та його налаштування.
Основне завдання - виявлення причин знайдених раніше вразливостей, а також пошук нових вразливостей. Аналіз коду проводиться на основі вироблених рекомендацій щодо створення безпечного коду. У разі знаходження формальних ознак нової вразливості - вона перевіряється на предмет можливості її експлуатації. p align="justify"> У разі розміщення web-додатки в умовах оренди місця на сервері хостингу - додатково може бути проведена оцінка загроз, що виходять від сусідніх доменів, розміщених на даному фізичному сервері;
) оцінка ризиків - на даному етапі проводиться аналіз всіх знайдених в процесі аудиту загроз, опис процесу і причин їх виникнення, оцінка ймовірності виникнення та ступеня впливу на бізнес-процеси;
) вироблення рекомендацій - на основі аналізу загроз, виробляється ряд рекомендацій щодо їх усунення;
) впровадження заходів щодо забезпечення інформаційної безпеки - на основі вироблених рекомендацій проводиться впровадження заходів щодо забезпечення інформаційної безпеки, які включають в себе налаштування системних параметрів, зміна вихідного коду програми і впровадження засобів захисту.
Після закінчення робіт проводиться оцінка залишкового ризику.
Звіт, наданий за результатами проведення аудиту Web-додатків, містить детальний опис проведених робіт, всі виявлені вразливості додатків, способи їх застосування та рекомендації щодо усунення даних вразливостей.
Комплексний аудит
Комплексний аудит інформаційної безпеки - незалежна і об'єктивна комплексна оцінка поточного стану захищеності інформаційної системи, що дозволяє систематизувати загрози інформаційної безпеки і запропонувати рекомендації щодо їх усунення. p align="justify"> Комплексний аудит інформаційної безпеки дозволяє отримати найбільш повну оцінку захищеності інформаційної системи і рекомендується для первинної оцінки, об'єднує в собі інші види аудиту інформаційної безпеки і надає можливість оцінити рівень і стан інформаційної безпеки, як внутрішніх ресурсів, так і зовнішніх.
Основні цілі проведення комплексного аудиту інформаційної безпеки:
пошук вразливостей, що дозволяють провести атаку на інформаційну систему організації;
комплексна оцінка захищеності інформаційної системи, відсутність або недоліки застосовуваних систем захисту інформації від несанкціонованого впливу;
регулярне відстеження змін в інформаційній системі;
отримання незалежної оцінки;
дотримання вимог міжнародних стандартів та нормативних документів у сфері інформаційної безпеки, які рекомендують потребують періодичного або разового проведення аудиту інформаційної безпеки.
Основні завдання комплексного аудиту інформаційної безпеки:
аналіз структури, функцій, використовуваних технологій обробки, зберігання та передачі інформації в інформаційній системі;
виявлення вразливостей інформаційної системи з їх ранжуванням за ступенем критичності, їх ідентифікація з міжнародних і власним класифікаторах;
складання моделі порушника, застосування методики активного аудиту для перевірки можливості реалізації виявлених загроз інформаційної безпеки;
вимоги міжнародних стандартів та нормативних документів у сфері інформаційної безпеки;
вироблення рекомендацій щодо підвищення ефективності захисту інформації в інформаційній системі.
У загальному вигляді, комплексний аудит інформаційної безпеки включає в себе наступні види аудиту ІБ:
) Зовнішній аудит інформаційної безпеки, який включає в себе:
а) технічний аудит мережі;