Аудит Информационной Безопасности

Автор: Пользователь скрыл имя, 22 Сентября 2011 в 19:14, курсовая работа

Описание работы

Целью аудита является предоставление независимой и объективной комплексной оценки текущего состояния защищенности информационной системы, позволяющей систематизировать угрозы информационной безопасности и предложить рекомендации по их устранению.

Содержание

1. Введение 5
2. Основные положения 6
3. Методики аудита 8
3.1. Экспертный аудит 8
3.2. Активный аудит 11
3.3. Аудит web–приложений 13
3.4. Комплексный аудит 16
3.5. Аудит на соответствие стандартам 18
4. Заключение 20
5. Источники 21

Работа содержит 1 файл

Аудит Информационной Безопасности.doc

— 116.00 Кб (Скачать)

    3) тестирование методом серого ящика – при использовании данного метода сознательно игнорируется часть известной информации и применяется сочетание вышеперечисленных методов.

    Работы  по тесту на проникновение включают в себя ряд последовательных этапов:

    –  поиск и анализ всей доступной информации;

    –  инструментальное сканирование, предполагающее использование как специализированных средств;

    – детальный анализ вручную;

    – анализ и оценка выявленных уязвимостей и выработка рекомендаций;

    –  подготовка отчета.

    Отчет, предоставляемый организации по результатам проведения тестов на проникновение, содержит детальное описание проведенных работ, все выявленные уязвимости системы, способы их применения и рекомендации по устранению данных уязвимостей.

    Тест  на проникновение может быть начальным  этапом комплексного аудита информационной безопасности, на основании которого возможны разработка политики информационной безопасности и внедрение систем защиты.

    1.   Аудит webприложений

    Аудит Web–приложений необходим для обнаружения и идентификации уязвимостей, позволяющих несанкционированно получить доступ, модифицировать информацию или выполнить произвольный программный код на целевой системе.

    Основные  цели проведения аудита Web–приложений:

    – выявление уязвимостей компрометирующих целевую систему, допущенных в процессе разработки и эксплуатации Web–приложений;

    – определение надежности и достаточности применяемых систем защиты Web–ресурсов;

    – отслеживание изменений в Web–приложениях;

    – соблюдение требований стандартов и нормативных документов в сфере информационной безопасности, требующие проведения аудита защищенности Web–приложений.

    Основные задачи проведения аудита Web–приложений:

    – оценка текущего состояния Web–ресурса организации;

    –  выявление уязвимостей в Web–приложениях с их ранжированием по степени критичности, идентификация по международным и собственным классификаторам;

    – требования международных стандартов и нормативных документов в сфере информационной безопасности;

    – предоставление организации независимой оценки защищенности ресурсов;

    – предоставление рекомендаций по устранению выявленных уязвимостей Web–приложений;

    – подготовка данных при проведении комплексного аудита информационной безопасности.

    Проведение  аудита безопасности web–приложения предполагает несколько этапов работ:

    1) автоматическое сканирование – на данном этапе проводится автоматическое сканирование web–узла при помощи программных средств обнаружения уязвимостей. Проводится анализ наличия типичных решений, применяемых для web–ресурса, таких форумы и гостевые книги. Большинство подобных решений имеют открытый исходный код и хорошо изучены на предмет наличия уязвимостей. Автоматическое сканирование позволяет выявить не только ошибки на уровне исходного кода web–сценария, но также и типичные ошибки администрирования сервера;

    2) метод «черного ящика» – используя информацию, полученную на первом этапе, специалист проводит анализ выявленных уязвимостей, а также поиск новых уязвимостей неавтоматизированными средствами. Оценивается возможность скомпрометировать систему без каких–либо дополнительных знаний об её внутренней структуре;

    3) метод «белого ящика» – данный этап предполагает всесторонний анализ структуры и исходного кода web–приложения, а также условий функционирования web–приложения на физическом сервере, таких как:

    – используемая операционная система и применяемая политика безопасности;

    – используемое серверное программное обеспечение и его настройка.

      Основная задача – выявление  причин найденных ранее уязвимостей,  а также поиск новых уязвимостей.  Анализ кода проводится на  основе выработанных рекомендаций  по созданию безопасного кода. В случае нахождения формальных признаков новой уязвимости – она проверяется на предмет возможности её эксплуатации.

      В случае размещения web–приложения в условиях аренды места на сервере хостинга – дополнительно может быть проведена оценка угроз, исходящих от соседних доменов, размещенных на данном физическом сервере;

    4) оценка рисков –  на данном этапе проводится анализ всех найденных в процессе аудита угроз, описание процесса и причин их возникновения, оценка вероятности возникновения и степени влияния на бизнес–процессы;

    5) выработка рекомендаций – на основе анализа угроз, вырабатывается ряд рекомендаций по их устранению;

    6) внедрение мер по обеспечению информационной безопасности – на основе выработанных рекомендаций производится внедрение мер по обеспечению информационной безопасности, которые включают в себя настройку системных параметров, изменение исходного кода приложения и внедрение средств защиты.

      По окончании работ производится  оценка остаточного риска.

    Отчет, предоставляемый по результатам проведения аудита Web–приложений, содержит детальное описание проведенных работ, все выявленные уязвимости приложений, способы их применения и рекомендации по устранению данных уязвимостей.

    1.   Комплексный аудит

    Комплексный аудит информационной безопасности – независимая и объективная комплексная оценка текущего состояния защищенности информационной системы, позволяющая систематизировать угрозы информационной безопасности и предложить рекомендации по их устранению.

    Комплексный аудит информационной безопасности позволяет получить наиболее полную оценку защищенности информационной системы и рекомендуется для первичной оценки, объединяет в себе другие виды аудита информационной безопасности и предоставляет возможность оценить уровень и состояние информационной безопасности, как внутренних ресурсов, так и внешних.

    Основные  цели проведения комплексного аудита информационной безопасности:

    – поиск уязвимостей, позволяющих произвести атаку на информационную систему организации;

    – комплексная оценка защищенности информационной системы, отсутствие или недостатки применяемых систем защиты информации от несанкционированного воздействия;

    –  регулярное отслеживание изменений в информационной системе;

    –  получение независимой оценки;

    – соблюдение требований международных стандартов и нормативных документов в сфере информационной безопасности, рекомендующие требующие периодического или разового проведения аудита информационной безопасности.

    Основные  задачи комплексного аудита информационной безопасности:

    –  анализ структуры, функций, используемых технологий обработки, хранения и передачи информации в информационной системе;

    – выявление уязвимостей информационной системы с их ранжированием по степени критичности, их идентификация по международным и собственным классификаторам;

    – составление модели нарушителя, применение методики активного аудита для проверки возможности реализации выявленных угроз информационной безопасности;

    – требования международных стандартов и нормативных документов в сфере информационной безопасности;

    – выработка рекомендаций по повышению эффективности защиты информации в информационной системе.

    В общем виде, комплексный аудит  информационной безопасности включает в себя следующие виды аудита ИБ:

    1) Внешний аудит информационной безопасности, который включает в себя:

    а) технический аудит сети;

    б)  внешние тесты на проникновение;

    в)  аудит защищенности Web–приложений.

    2) Внутренний аудит информационной безопасности, который включает в себя:

    а) технический аудит сети;

    б) внутренние тесты на проникновение;

    в) аудит защищенности от утечки информации;

    г) аудит корпоративных беспроводных сетей.

    Отчет, предоставляемый организации по результатам проведения аудита, содержит детальное описание проведенных работ, все выявленные уязвимости, способы их применения и рекомендации по устранению данных уязвимостей. 

    1.   Аудит на соответствие стандартам

    Стандарт ГОСТ Р ИСО/МЭК 27001–2006 является признанным стандартом в области построения Системы Управления Информационной Безопасностью (СУИБ) организации, универсальность данного стандарта позволяет использовать его во всех типах организаций вне зависимости от профиля их деятельности. ГОСТ Р ИСО/МЭК 27001–2006 включает в себя требования для разработки и эксплуатации системы управления информационной безопасности организации.

      Построение системы управления  информационной безопасности в  соответствии с требованиями  стандарта позволяет повысить  «прозрачность» компании для  инвесторов, партнеров и клиентов, благодаря управлению рисками,  а также увеличить защищенность  компании от угроз информационной безопасности.

    Проведение  аудита заключается в анализе  и оценке:

    –  системы управления рисками информационной безопасности;

    – политики безопасности, регламентов, инструкций, а также других документов, обеспечивающих информационную безопасность организации;

    – принципов управления активами и персоналом;

    – технических средств обеспечения информационной безопасности;

    – существующей системы управления инцидентами;

    – процессов управления непрерывностью бизнеса и восстановления после сбоев.

    Результатом проведенных работ является:

    –  возможность прохождения сертификации;

    –  повышение конкурентоспособности на рынке;

    – повешение доверия со стороны клиентов, за счет обеспечения высокой защиты информационной безопасности на мировом уровне;

    – снижение рисков финансовых потерь, за счет обеспечения высокой отказоустойчивости и повышенной информационной безопасности организации;

    – наличие организационно распорядительной документации, описывающего полномочия и ответственность сотрудников организации;

    – прозрачная система управления информационной безопасностью предприятия.

 

  1. Заключение

     В результате выполнения данной производственной практики, была изучена обозначенная тема и приобретены полезные навыки в сфере аудита информационной безопасности. 

     Выше  представлен отчёт о проделанной  работе и продемонстрированы навыки, которые были приобретены за время прохождения практики. Задание было полностью выполнено, но следует заметить, что при более детальном анализе предложенной темы, будет возможно использовать данный материал в практической деятельности.  

Информация о работе Аудит Информационной Безопасности