пеки.
Наступний етап - аналіз інформаційних потоків організації. На даному етапі визначаються типи інформаційних потоків в інформаційній системі організації, та складається їх діаграма, де для кожного інформаційного потоку вказується його цінність і використовувані методи забезпечення безпеки, що відображають рівень захищеності інформаційного потоку. На підставі результатів даного етапу робіт пропонується захист або підвищення рівня захищеності тих компонент інформаційної системи, які беруть участь в найбільш важливих процесах передачі, зберігання та обробки інформації. Для менш цінної інформації рівень захищеності залишається колишнім, що дозволяє зберегти для кінцевого користувача простоту роботи з інформаційною системою.
Малюнок 4.1 - Загальний план аудиту lt; # 243 src= doc_zip2.jpg / gt;
Малюнок 4.2 - Аудит захищеності web-додатків
Основне завдання - виявлення причин знайдених раніше вразливостей, а також пошук нових вразливостей. Аналіз коду проводиться на основі вироблених рекомендацій щодо створення безпечного коду. У разі знаходження формальних ознак нової вразливості - вона перевіряється на предмет можливості її експлуатації.
У разі розміщення web-додатки в умовах оренди місця на сервері хостингу - додатково може бути проведена оцінка загроз, що виходять від сусідніх доменів, розміщених на даному фізичному сервері:
) оцінка ризиків - на даному етапі проводиться аналіз всіх знайдених в процесі аудиту загроз, опис процесу і причин їх виникнення, оцінка ймовірності виникнення та ступеня впливу на бізнес-процеси;
) вироблення рекомендацій - на основі аналізу загроз, виробляється ряд рекомендацій щодо їх усунення;
) впровадження заходів щодо забезпечення інформаційної безпеки - на основі вироблених рекомендацій проводиться впровадження заходів щодо забезпечення інформаційної безпеки, які включають в себе налаштування системних параметрів, зміна вихідного коду програми і впровадження засобів захисту.
Після закінчення робіт проводиться оцінка залишкового ризику.
Звіт, що надається за результатами проведення аудиту Web-додатків, містить детальний опис проведених робіт, всі виявлені вразливості додатків, способи їх застосування та рекомендації щодо усунення даних вразливостей.
Комплексний аудит
Комплексний аудит інформаційної безпеки - незалежна і об'єктивна комплексна оцінка поточного стану захищеності інформаційної системи, що дозволяє систематизувати загрози інформаційній безпеці і запропонувати рекомендації щодо їх усунення.
Комплексний аудит інформаційної безпеки дозволяє отримати найбільш повну оцінку захищеності інформаційної системи і рекомендується для первинної оцінки, об'єднує в собі інші види аудиту інформаційної безпеки і надає можливість оцінити рівень і стан інформаційної безпеки, як внутрішніх ресурсів, так і зовнішніх.
Основні цілі проведення комплексного аудиту інформаційної безпеки:
пошук вразливостей, що дозволяють провести атаку на інформаційну систему організації;
комплексна оцінка захищеності інформаційної системи, відсутність або недоліки застосовуваних систем захисту інформації від несанкціонованого впливу;
регулярне відстеження змін в інформаційній системі;
отримання незалежної оцінки;
дотримання вимог міжнародних стандартів та нормативних документів у сфері інформаційної безпеки, які рекомендують потребують періодичного або разового проведення аудиту інформаційної безпеки.
Основні завдання комплексного аудиту інформаційної безпеки:
аналіз структури, функцій, використовуваних технологій обробки, зберігання та передачі інформації в інформаційній системі;
виявлення вразливостей інформаційної системи з їх ранжуванням за ступенем критичності, їх ідентифікація з міжнародних і власним класифікаторах;
складання моделі порушника, застосування методики активного аудиту для перевірки можливості реалізації виявлених загроз інформаційній безпеці;
вимоги міжнародних стандартів та нормативних документів у сфері інформаційної безпеки;
вироблення рекомендацій щодо підвищення ефективності захисту інформації в інформаційній системі.
У загальному вигляді, комплексний аудит інформаційної безпеки включає в себе наступні види аудиту ІБ:
) зовнішній аудит інформаційної безпеки, який включає в себе:
а) технічний аудит мережі;
б) зовнішні тести на проникнення;
в) аудит захищеності Web-додатків.
) внутрішній аудит інформаційної безпеки, який включає в себе:
а) технічний аудит мережі;
б) внутрішні тести на проникнення;
в) аудит захищеності від витоку інформації;
г) аудит корпоративних бездротових мереж.
Звіт, що надається організації за результатами проведення аудиту, містить детальний опис проведених робіт, всі вияв...
