Аудит информационной безопасности реферат

Обновлено: 04.07.2024

Целью аудита является предоставление независимой и объективной комплексной оценки текущего состояния защищенности информационной системы, позволяющей систематизировать угрозы информационной безопасности и предложить рекомендации по их устранению.

Содержание

1. Введение 5
2. Основные положения 6
3. Методики аудита 8
3.1. Экспертный аудит 8
3.2. Активный аудит 11
3.3. Аудит web–приложений 13
3.4. Комплексный аудит 16
3.5. Аудит на соответствие стандартам 18
4. Заключение 20
5. Источники 21

Работа содержит 1 файл

Аудит Информационной Безопасности.doc

Тема данной практической работы обозначена, как: “Аудит информационной безопасности”.

Для реализации поставленных задач, следует изучить основные положения, цели, задачи, применяемые методики аудита информационной безопасности. Для закрепления полученных знаний, будет необходимо выполнить письменный отчёт, в котором должны быть отражены основные аспекты данный темы. В заключение работы следует проанализировать проделанную работу и полученные результаты.

Производственная практика проходит в главном здании АлтГТУ, на кафедре вычислительных систем и информационной безопасности.

Аудит информационной безопасности – независимая оценка текущего состояния системы информационной безопасности, устанавливающая уровень ее соответствия определенным критериям, и предоставление результатов в виде рекомендаций.

Целью аудита является предоставление независимой и объективной комплексной оценки текущего состояния защищенности информационной системы, позволяющей систематизировать угрозы информационной безопасности и предложить рекомендации по их устранению.

Задачи, которые решаются в ходе аудита защищенности информационной системы:

– анализ структуры, функций, используемых технологий автоматизированной обработки и передачи информации в информационной системе, анализ бизнес–процессов, нормативно–распорядительной и технической документации;

– выявление значимых угроз информационной безопасности и путей их реализации, выявление и ранжирование по степени опасности существующих уязвимостей технологического и организационного характера в информационной системе;

– составление неформальной модели нарушителя, применение методики активного аудита для проверки возможности реализации нарушителем выявленных угроз информационной безопасности;

– проведение теста на проникновение по внешнему периметру IP–адресов, проверка возможности проникновения в информационную систему при помощи методов социальной инженерии;

– анализ и оценка рисков, связанных с угрозами безопасности информационных ресурсов;

– оценка системы управления информационной безопасностью на соответствие требованиям стандарта ГОСТ Р ИСО/МЭК 27001–2006 и разработка рекомендаций по совершенствованию системы управления информационной безопасностью;

– разработка предложений и рекомендаций по внедрению новых и повышению эффективности существующих механизмов обеспечения информационной безопасности.

Аудит информационной безопасности состоит из следующих этапов:

– инициирование работ и планирование;

– обследование и сбор информации;

– поиск уязвимостей и несоответствий;

– выработка рекомендаций и подготовка отчетных документов.

Результатом аудита информационной безопасности является создание документа, который содержит детальную информацию о:

– всех выявленных уязвимостях объекта аудита;

– критичности найденных уязвимостях;

– последствие в случае реализации угроз;

– рекомендации по устранению уязвимостей.

На основании результатов аудита информационной безопасности, организация сможет выстроить грамотную систему безопасности, минимизировать возможные риски информационной безопасности, а также повысить свой авторитет в глазах партнеров и клиентов.

Аудит информационной безопасности позволит руководству организации увидеть реальное состояние информационных активов и оценить их защищенность.

Экспертный аудит необходим, когда оценивается уровень защищенности только тех компонентов информационных систем, которые, по мнению владельца организации, являются наиболее значимыми, то есть, отсутствует необходимость в полном обследовании организации. Таким образом, появляется возможность сосредоточиться на наиболее критичных ресурсах и минимизировать затраты на комплексный аудит.

Основные этапы экспертного аудита включают в себя:

– анализ информационной системы;

– анализ наиболее значимых активов;

– формирование модели угроз, модели нарушителя;

– анализ требований к безопасности информационной среды;

– оценка текущего состояния;

– разработка рекомендаций по устранению обнаруженных недочетов и уязвимостей;

– создание отчетной рекомендации.

При выполнении экспертного аудита сотрудники компании–аудитора совместно с представителями организации проводят следующие виды работ:

– сбор исходных данных об информационной системе, об её функциях и особенностях, используемых технологиях автоматизированной обработки и передачи данных;

– сбор информации об имеющихся организационно– распорядительных документах по обеспечению информационной безопасности и их анализ;

– определение точек ответственности систем, устройств и серверов информационной системы;

– формирование перечня подсистем каждого подразделения компании с категорированием критичной информации и схемами информационных потоков.

Один из самых объемных видов работ, которые проводятся при экспертном аудите, – сбор данных об информационной системе путем интервьюирования представителей организации и заполнения ими специальных анкет. Основная цель интервьюирования технических специалистов — сбор информации о функционировании сети, а руководящего состава компании – выяснение требований, которые предъявляются к системе информационной безопасности.

Ключевой этап экспертного аудита — анализ проекта информационной системы, топологии сети и технологии обработки информации, в ходе, которого выявляются, такие недостатки существующей топологии сети, которые снижают уровень защищенности информационной системы. По результатам работ данного этапа предлагаются изменения в существующей информационной системе и технологии обработки информации, направленные на устранение найденных недостатков с целью достижения требуемого уровня информационной безопасности.

Следующий этап – анализ информационных потоков организации. На данном этапе определяются типы информационных потоков в информационной системе организации, и составляется их диаграмма, где для каждого информационного потока указывается его ценность и используемые методы обеспечения безопасности, отражающие уровень защищенности информационного потока. На основании результатов данного этапа работ предлагается защита или повышение уровня защищенности тех компонент информационной системы, которые участвуют в наиболее важных процессах передачи, хранения и обработки информации. Для менее ценной информации уровень защищенности остается прежним, что позволяет сохранить для конечного пользователя простоту работы с информационной системой.

Применение анализа информационных потоков организации позволяет спроектировать систему обеспечения информационной безопасности, которая будет соответствовать принципу разумной достаточности.

В рамках экспертного аудита производится анализ организационно– распорядительных документов, таких как политика безопасности, план защиты и различного рода инструкции. Организационно– распорядительные документы оцениваются на предмет достаточности и непротиворечивости, декларируемым целям и мерам информационной безопасности. Особое внимание на этапе анализа информационных потоков уделяется определению полномочий и ответственности конкретных лиц за обеспечение информационной безопасности различных участков информационной системы. Полномочия и ответственность должны быть закреплены положениями организационно– распорядительных документов.

Результаты экспертного аудита могут содержать разноплановые предложения по построению или модернизации системы обеспечения информационной безопасности:

– изменения в существующей топологии сети и технологии обработки информации;

– рекомендации по выбору и применению систем защиты информации и других дополнительных специальных технических средств;

– предложения по совершенствованию пакета организационно– распорядительных документов;

– предложения по этапам создания системы информационной безопасности;

– ориентировочные затраты на создание или совершенствование СОИБ.

Основными преимуществами экспертного аудита является возможность сэкономить средства и время, путем отказа от более масштабного комплексного аудита, а так же сосредоточиться на анализе наиболее значимых объектов информационной среды.

Тест на проникновение (пентест) в информационную систему является оптимальным способом, позволяющий оценить защищенность информационной системы в целом, обнаружить отдельные уязвимости и проверить надежность существующих механизмов защиты информационной системы от несанкционированного воздействия, используя различные модели нарушителей. Организации предоставляется детальный отчет, содержащий результаты всестороннего анализа текущего состояния его информационной системы, выявленные уязвимости и способы их использования, рекомендации по их устранению.

Основные цели проведения тестов на проникновение:

– поиск уязвимостей, позволяющих произвести атаку на информационную систему;

– определение защищенности информационной системы;

– актуальность применяемых методов защиты информации от несанкционированного воздействия;

– регулярный контроль изменений в информационной системе;

– требования международных стандартов и нормативных документов в сфере информационной безопасности требующие проведение регулярных тестов на проникновение.

Основные задачи проведения тестов на проникновение:

– оценка текущего состояния информационной безопасности;

– выявление уязвимостей информационной системы с их ранжированием по степени критичности и идентификацией по международным, собственным классификаторам;

– требования международных стандартов и законодательства;

– разработка рекомендаций по повышению эффективности защиты информации в информационной системе;

– предоставление организации независимой оценки выбранных мер и методик информационной защиты;

– подготовка данных для проведения комплексного аудита информационной безопасности.

Объектами тестирования являются: внешние серверы, внешнее сетевое оборудование, отдельные сервисы.

Виды тестов на проникновение:

1) тестирование методом черного ящика – тестирование без предварительных знаний о тестируемом объекте. При выборе данного метода тестирования организация предоставляет лишь диапазон внешних IP–адресов или адреса серверов. Данный подход максимально приближен к действиям злоумышленника не знакомого с целевой системой. Данные о тестируемом объекте будут собираться при помощи общедоступных источников;

2) тестирование методом белого ящика – более детальное исследование, основанное на дополнительной информации о тестируемом объекте. При выборе данного метода тестирования может запрашиваться дополнительная документация, исходные коды, структура сети, полный доступ к тестируемому объекту. Тест моделирует ситуацию, возможную в случае утечки информации, когда атакующий знает архитектуру информационной системы, знаком с исходными кодами или схемами, возможно, даже некоторыми паролями;

Читайте также:

  
• Реферат виды гражданского судопроизводства
  
• Правовая охрана морской среды континентального шельфа исключительной экономической зоны рф реферат
  
• Качество жизни в информационном обществе реферат
  
• Земельный кадастр в европе реферат
  
• Реферат по теме закалка понятие способы и методы