 |
Главная Случайная страница Контакты | Мы поможем в написании вашей работы! | |
Принципы проведения активного аудита информационной безопасности
|
|
Проведение аудита необходимо для:
- оценка защищенности информационной системы компании.
- проведения анализа информационных рисков.
- эффективного управления ИБ компании.
Наиболее распространенными подходами к технологическому аудиту ИБ являются тест на проникновение (показательная демонстрация действий нарушителя)
| Достоинства | Недостатки |
| Имитация действий нарушителя аудитором максимально приближена к реальной среде функционирования информационной системы. Демонстрация возможности проникновения в информационную систему является эффективным способом показать недостатки в обеспечении ИБ информационной системы компании | Тест на проникновение по определению является показательной акцией, не направленной на выявление всех существующих уязвимостей информационной системы. Процедура проведения теста на проникновение трудно формализуема. Отсутствие успешного проникновения не является доказательством защищенности информационной системы В подавляющем большинстве случаев тест на проникновение применяется для анализа защищенности внешнего периметра информационной системы (проверка возможности проникновения из сети Интернет) |
Минимально необходимыми естественными требованиями к методике аудита ИБ можно считать:
Объективность (достоверность) результата. Аудитору необходимо предоставить доказательства того, что именно эти уязвимости существуют в информационной системе и детально описать возможные последствия их реализации нарушителем.
Полноту аудита. Аудитору необходимо предоставить доказательства того, что в ходе аудита не были проигнорированы какие-либо уязвимости информационной системы.
Общепризнанность критериев оценки защищенности. Простые и понятные критерии оценки защищенности - одно из важных условий корректного восприятия результатов аудита.
Дата публикования: 2015-01-26; Прочитано: 247 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!
