Скачать 1.68 Mb.
|
Аудит По прибытии на фирму, аудиторы не должны мешать ведению бизнеса во время проверки. Им следует провести инструктаж, в котором аудиторы снова подчеркнут масштаб своей работы и их планы. Любые вопросы, возникшие у сотрудников фирмы, должны быть разъяснены, и в конце беседы подведены итоги настоящей цели аудита. Аудиторы должны быть строгими и беспристрастными и проводить аудит согласно стандартам и методам. Во время аудита они будут собирать данные о физической безопасности компьютеров и проводить интервью. Они могут произвести оценку уязвимости сети, безопасности операционных систем и приложений, оценку контроля за доступом и другие вычисления. Во время процесса проверки аудиторам следует придерживаться заранее определенного плана, и в то же время быть готовыми к неожиданным проблемам. Они должны действовать между сложившимися понятиями или ожиданиями того, что они должны найти и того, что есть на самом деле. Проведение заключительного инструктажа После окончания проверки, аудиторы проведут заключительный инструктаж, убеждаясь в том, что руководство в курсе всех проблем, которые должны быть решены немедленно. На вопросы от руководства следует отвечать в нормальной манере, чтобы не создать плохого впечатления об аудите. Следует подчеркнуть, что аудиторы не способны в данный момент дать четкие ответы на поставленные вопросы. Все окончательные выводы будут сделаны после окончательных анализов результатов аудита. Обратно в офис Возвратившись в офис, аудиторы начнут объединять свои записи для проверки и анализировать собранные данные с помощью оценочных инструментов. Должно состояться первое собрание, для того, чтобы подбить отчет результатов аудита. На этом собрании аудиторы могут определить области проблем и возможные решения. Аудиторский отчет может быть составлен в нескольких формах, но текст отчета должен быть простым и прямолинейным, содержащим конкретные данные о найденных проблемах вместе с решениями по устранению этих недостатков. Аудиторский отчет может быть составлен в виде заключения, содержащим детали найденного и дополнений, таких как результаты сканирования. При написании отчета следует сначала сделать краткое описание, так как придется вскоре после возвращения дать краткий отчет руководству. Очень важно представлять, что сильные и слабые стороны безопасности должны быть описаны в кратком изложении, чтобы сбалансировать отчет. Далее аудитор может предоставить рапорт, основанный на проверке. Обнаруженные уязвимости должны быть представлены в простой и логичной форме на отдельном листе для каждой обнаруженной уязвимости. На таком листе должна быть описана проблема, ее значение и методы решения. На листе должно остаться место для подтверждения правильных путей аудита и блок для комментариев чтобы оспорить найденное. Не заставляйте их ждать Отчет должен быть представлен быстро и четко, чтобы заказчик мог исправить проблемы, обнаруженные при аудите. В зависимости от политик компании, аудиторы должны быть готовыми объяснить недостатки и помочь устранить их. Руководство должно вести наблюдение за недостатками, выявленными во время аудита до тех пор, пока они не будут устранены. Аудит – это не событие, а процесс Следует помнить, что с развитием организации, меры безопасности также должны меняться. С этой точки зрения аудит компьютерной безопасности – это не одноразовая задача, а продолжительные попытки защитить данные. Аудит исследует политику безопасности организации и проводит анализ эффективности этой политики в контексте структуры организации, ее целей и действий. Аудит должен быть построен на прошлой проверке, чтобы помочь вникнуть в политику и исправить уязвимости, обнаруженные в процессе аудита. Инструменты также являются важной частью процесса аудита, так как аудит не будет эффективным без использования последних и самых лучших инструментов поиска уязвимостей, а значимости ему прибавит использование организованной, последовательной, точной информации о данных и анализе, позволяющим нахождение и устранение ошибок. 43. Этапы проведения инструментальной проверки автоматизированных информационных систем Для проверки корректности системных установок (или их неизменности с момента последней проверки) существуют программные продукты класса "сканер безопасности системы". Эти продукты на сегодняшний день существуют для большинства операционных систем и число достигает десятка. В их число входят такие продукты, как ASET (компонент ОС Solaris), KSA (для платформ NetWare и NT), SSS (System Security Scanner) (Unix-платформы ). System Security Scanner Программа System Security Scanner (S3) предназначена для проведения проверки состояния безопасности на отдельных UNIX-компьютерах и поиска уязвимости ОС как снаружи (по сети с использованием Internet Scanner), так и изнутри (из самой ОС компьютера). При этом проводится проверка прав доступа и прав собственности файлов, конфигураций сетевых сервисов, установок ресурсов пользователей, программ аутентификации и других, связанных с пользователями слабых мест (например, паролей). Характеристики
Анализируются особенности конфигурации, которые могут привести к получению несанкционированного доступа. К ним относятся: файлы конфигураций, версии ПО, права доступа и собственники файлов, файлы SUID/SGID, необычные файлы, ресурсы пользователей и групп пользователей, пароли.
Проводится поиск следов несанкционированного доступа в систему, к которым относятся необычные изменения в текущей конфигурации системы, например, изменения размера, прав доступа или содержания отдельных файлов, либо изменения в установках ресурсов пользователей , а также следов переключения сетевого интерфейса в режимы работы, допускающие передачу данных на внешний компьютер.
S3 предоставляет возможность для конфигурации и запуска сеансов сканирования и создания отчетов по их результатам.
Программа S3 позволяет выполнять проверку удаленных компьютеров в неоднородной распределенной сетевой среде с центрального хоста, используя шифрование сеансов связи.
В создаваемых по результатам сканирования отчетах отражается информация об обнаруженных уязвимых местах проверяемых систем с пояснениями по каждому типу уязвимости и рекомендуемыми действиями по их коррекции. Отчеты могут быть представлены как в HTML-формате, так и в виде стандартного ASCII-текста. Средства анализа защищенности сетевых сервисов Слабости, заложенные в реализации сетевых сервисов протокола TCP/IP известны достаточно давно. Поскольку именно сетевые сервисы во многих случаях служили объектом атак на распределенные информационные системы, возникла задача автоматизированной проверки сетевых систем на уязвимость со стороны известных атак. Первым продуктом, выполняющим данную функцию был пакет программ SATAN, сделанный F.Venema и распространяемый бесплатно. В состав пакета включены около двух десятков проверок уязвимостей сетевых сервисов. Несмотря на значительное время, прошедшее с момента создания пакета, практическая проверка любой системы с его помощью может быть весьма полезна - даже старые уязвимости не всегда адекватно учитываются администраторами ИС. Если требования к системе включают периодические проверки по наиболее полному списку уязвимостей (это, например необходимо для межсетевых экранов, где такие проверки должны проводиться периодически), то необходимо использовать более поздние коммерческие продукты сканирования уязвимостей. В качестве примера одного из наиболее продвинутых продуктов этого класса можно привести Internet Scanner SAFEsuite. Пакет программ Internet Scanner SAFEsuite предназначен для проведения комплексной оценки эффективности политики безопасности на уровне сетевых сервисов. Он предоставляет возможности для идентификации и коррекции более 140 известных слабых мест и постоянного наблюдения за состоянием безопасности для широкого диапазона сетевых устройств - от web-узлов и межсетевых экранов и до серверов и рабочих станций UNIX, Windows 95, Windows NT и всех других устройств работающих с TCP/IP. Состоит из трех программ: Web Security Scanner, Firewall Scanner, Intranet Scanner. Общие характеристики пакета программ Internet Scanner SAFEsuite Автоматизированное и конфигурируемое сканирование:
Обеспечение безопасности:
Простота пользования:
Web Secure Scanner Предназначен для поиска слабых мест безопасности на web-серверах. Обеспечивает аудит ОС, под управлением которой работает web-сервер, программ-приложений, установленных на web-сервере, и CSI scripts в web-приложениях. Проводит тестирование конфигурации web-сервера, оценивает уровень безопасности основной файловой системы и просматривает CSI scripts на наличие слабых мест. По итогам тестирования создается отчет с описанием обнаруженных слабых мест и с рекомендациями по корректирующим действиям. Firewall Scanner Обеспечивает поиск слабых мест в межсетевых экранах, прежде всего в их конфигурации, и предоставляет рекомендации по их коррекции. Проводит тестирование реакции межсетевых экранов на различные типы попыток нарушения безопасности. Выполняет сканирование сервисов - идентификацию всех сетевых сервисов, доступ к которым осуществляется через межсетевой экран. Firewall Scanner рекомендуется сделать частью установки межсетевого экрана и составной частью программы обеспечения безопасности. Intranet Scanner Предназначен для автоматического обнаружения потенциальных слабых мест внутри сетей с использованием различных тестов для проверки реакции на несанкционированные проникновения. Обеспечивает проверку различных сетевых устройств, включая UNIX hosts, системы, работающие под Microsoft NT/Windows 95, маршрутизаторы, web-серверы и X-терминалы. 44, 45. Внутренний и внешний аудит информационных систем Внутренний аудит информационной системы – это независимая и объективная оценка защищенности информационной системы от внутреннего несанкционированного воздействия и утечки конфиденциальной информации. Внутренний аудит информационной безопасности включает в себя:
Почему это необходимо? Основные цели проведения внутреннего аудита информационной системы:
Основные задачи проведения внутреннего аудита информационной системы:
Внешний аудит информационной системы – это независимая и объективная оценка защищенности информационной системы от внешнего несанкционированного воздействия. Внешний аудит информационной системы предполагает выполнение: Почему это необходимо? Основные цели проведения внешнего аудита информационной системы:
Основные задачи проведения внешнего аудита информационной системы:
|
Изучение кадровых вопросов с помощью «Путеводителя по кадровым вопросам» через Быстрый поиск 7 | Талон амбулаторного пациента: Поиск. Отобразится форма Талон амбулаторного пациента: поиск, которая дает возможность найти ранее... | ||
Обязанности: Поиск и подбор специалистов в сфере бухгалтерии и юриспруденции по заявкам клиентов центра: размещение вакансий в Интернете,... | Но лишь немногие хорошо владеют арсеналом соответствующих методов и средств. Приводим краткий обзор основных способов поиска работы.... | ||
Базовый поиск – основной инструмент для поиска необходимой информации в системе гарант. Он расположен в центре Основного меню и состоит... | Базовый поиск – основной инструмент для поиска необходимой информации в системе гарант. Он расположен в центре Основного меню и состоит... | ||
При отсутствии опыта работы поиск через сайты кадровых агентств редко дает положительные результаты, т к агентства преимущественно... | Для указания области на карте, внутри которой требуется провести поиск ресурсов и осуществления поиска только среди ресурсов, экстент... | ||
С открытыми данными по жалобам (обращениям) налогоплательщиков можно ознакомиться на сайте фнс россии | Обязано ли физическое лицо заплатить ндфл с продажи автомобиля, который принадлежит ему на основании договора дарения близким родственником... |
Поиск Главная страница   Заполнение бланков   Бланки   Договоры   Документы    |