Автор: Пользователь скрыл имя, 22 Сентября 2011 в 19:14, курсовая работа
Целью аудита является предоставление независимой и объективной комплексной оценки текущего состояния защищенности информационной системы, позволяющей систематизировать угрозы информационной безопасности и предложить рекомендации по их устранению.
1. Введение 5
2. Основные положения 6
3. Методики аудита 8
3.1. Экспертный аудит 8
3.2. Активный аудит 11
3.3. Аудит web–приложений 13
3.4. Комплексный аудит 16
3.5. Аудит на соответствие стандартам 18
4. Заключение 20
5. Источники 21
3) тестирование методом серого ящика – при использовании данного метода сознательно игнорируется часть известной информации и применяется сочетание вышеперечисленных методов.
Работы по тесту на проникновение включают в себя ряд последовательных этапов:
– поиск и анализ всей доступной информации;
– инструментальное сканирование, предполагающее использование как специализированных средств;
– детальный анализ вручную;
– анализ и оценка выявленных уязвимостей и выработка рекомендаций;
– подготовка отчета.
Отчет, предоставляемый организации по результатам проведения тестов на проникновение, содержит детальное описание проведенных работ, все выявленные уязвимости системы, способы их применения и рекомендации по устранению данных уязвимостей.
Тест на проникновение может быть начальным этапом комплексного аудита информационной безопасности, на основании которого возможны разработка политики информационной безопасности и внедрение систем защиты.
Аудит Web–приложений необходим для обнаружения и идентификации уязвимостей, позволяющих несанкционированно получить доступ, модифицировать информацию или выполнить произвольный программный код на целевой системе.
Основные цели проведения аудита Web–приложений:
– выявление уязвимостей компрометирующих целевую систему, допущенных в процессе разработки и эксплуатации Web–приложений;
– определение надежности и достаточности применяемых систем защиты Web–ресурсов;
– отслеживание изменений в Web–приложениях;
– соблюдение требований стандартов и нормативных документов в сфере информационной безопасности, требующие проведения аудита защищенности Web–приложений.
Основные задачи проведения аудита Web–приложений:
– оценка текущего состояния Web–ресурса организации;
– выявление уязвимостей в Web–приложениях с их ранжированием по степени критичности, идентификация по международным и собственным классификаторам;
– требования международных стандартов и нормативных документов в сфере информационной безопасности;
– предоставление организации независимой оценки защищенности ресурсов;
– предоставление рекомендаций по устранению выявленных уязвимостей Web–приложений;
– подготовка данных при проведении комплексного аудита информационной безопасности.
Проведение аудита безопасности web–приложения предполагает несколько этапов работ:
1) автоматическое сканирование – на данном этапе проводится автоматическое сканирование web–узла при помощи программных средств обнаружения уязвимостей. Проводится анализ наличия типичных решений, применяемых для web–ресурса, таких форумы и гостевые книги. Большинство подобных решений имеют открытый исходный код и хорошо изучены на предмет наличия уязвимостей. Автоматическое сканирование позволяет выявить не только ошибки на уровне исходного кода web–сценария, но также и типичные ошибки администрирования сервера;
2) метод «черного ящика» – используя информацию, полученную на первом этапе, специалист проводит анализ выявленных уязвимостей, а также поиск новых уязвимостей неавтоматизированными средствами. Оценивается возможность скомпрометировать систему без каких–либо дополнительных знаний об её внутренней структуре;
3) метод «белого ящика» – данный этап предполагает всесторонний анализ структуры и исходного кода web–приложения, а также условий функционирования web–приложения на физическом сервере, таких как:
– используемая операционная система и применяемая политика безопасности;
– используемое серверное программное обеспечение и его настройка.
Основная задача – выявление
причин найденных ранее
В случае размещения web–
4) оценка рисков – на данном этапе проводится анализ всех найденных в процессе аудита угроз, описание процесса и причин их возникновения, оценка вероятности возникновения и степени влияния на бизнес–процессы;
5) выработка рекомендаций – на основе анализа угроз, вырабатывается ряд рекомендаций по их устранению;
6) внедрение мер по обеспечению информационной безопасности – на основе выработанных рекомендаций производится внедрение мер по обеспечению информационной безопасности, которые включают в себя настройку системных параметров, изменение исходного кода приложения и внедрение средств защиты.
По окончании работ
Отчет, предоставляемый по результатам проведения аудита Web–приложений, содержит детальное описание проведенных работ, все выявленные уязвимости приложений, способы их применения и рекомендации по устранению данных уязвимостей.
Комплексный аудит информационной безопасности – независимая и объективная комплексная оценка текущего состояния защищенности информационной системы, позволяющая систематизировать угрозы информационной безопасности и предложить рекомендации по их устранению.
Комплексный аудит информационной безопасности позволяет получить наиболее полную оценку защищенности информационной системы и рекомендуется для первичной оценки, объединяет в себе другие виды аудита информационной безопасности и предоставляет возможность оценить уровень и состояние информационной безопасности, как внутренних ресурсов, так и внешних.
Основные цели проведения комплексного аудита информационной безопасности:
– поиск уязвимостей, позволяющих произвести атаку на информационную систему организации;
– комплексная оценка защищенности информационной системы, отсутствие или недостатки применяемых систем защиты информации от несанкционированного воздействия;
– регулярное отслеживание изменений в информационной системе;
– получение независимой оценки;
– соблюдение требований международных стандартов и нормативных документов в сфере информационной безопасности, рекомендующие требующие периодического или разового проведения аудита информационной безопасности.
Основные задачи комплексного аудита информационной безопасности:
– анализ структуры, функций, используемых технологий обработки, хранения и передачи информации в информационной системе;
– выявление уязвимостей информационной системы с их ранжированием по степени критичности, их идентификация по международным и собственным классификаторам;
– составление модели нарушителя, применение методики активного аудита для проверки возможности реализации выявленных угроз информационной безопасности;
– требования международных стандартов и нормативных документов в сфере информационной безопасности;
– выработка рекомендаций по повышению эффективности защиты информации в информационной системе.
В общем виде, комплексный аудит информационной безопасности включает в себя следующие виды аудита ИБ:
1) Внешний аудит информационной безопасности, который включает в себя:
а) технический аудит сети;
б) внешние тесты на проникновение;
в) аудит защищенности Web–приложений.
2) Внутренний аудит информационной безопасности, который включает в себя:
а) технический аудит сети;
б) внутренние тесты на проникновение;
в) аудит защищенности от утечки информации;
г) аудит корпоративных беспроводных сетей.
Отчет,
предоставляемый организации по результатам
проведения аудита, содержит детальное
описание проведенных работ, все выявленные
уязвимости, способы их применения и рекомендации
по устранению данных уязвимостей.
Стандарт ГОСТ Р ИСО/МЭК 27001–2006 является признанным стандартом в области построения Системы Управления Информационной Безопасностью (СУИБ) организации, универсальность данного стандарта позволяет использовать его во всех типах организаций вне зависимости от профиля их деятельности. ГОСТ Р ИСО/МЭК 27001–2006 включает в себя требования для разработки и эксплуатации системы управления информационной безопасности организации.
Построение системы управления
информационной безопасности в
соответствии с требованиями
стандарта позволяет повысить
«прозрачность» компании для
инвесторов, партнеров и клиентов,
благодаря управлению рисками,
а также увеличить
Проведение аудита заключается в анализе и оценке:
– системы управления рисками информационной безопасности;
– политики безопасности, регламентов, инструкций, а также других документов, обеспечивающих информационную безопасность организации;
– принципов управления активами и персоналом;
– технических средств обеспечения информационной безопасности;
– существующей системы управления инцидентами;
– процессов управления непрерывностью бизнеса и восстановления после сбоев.
Результатом проведенных работ является:
– возможность прохождения сертификации;
– повышение конкурентоспособности на рынке;
– повешение доверия со стороны клиентов, за счет обеспечения высокой защиты информационной безопасности на мировом уровне;
– снижение рисков финансовых потерь, за счет обеспечения высокой отказоустойчивости и повышенной информационной безопасности организации;
– наличие организационно распорядительной документации, описывающего полномочия и ответственность сотрудников организации;
– прозрачная система управления информационной безопасностью предприятия.
В результате выполнения данной производственной практики, была изучена обозначенная тема и приобретены полезные навыки в сфере аудита информационной безопасности.
Выше
представлен отчёт о