Audit intro

1,269 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,269
On SlideShare
0
From Embeds
0
Number of Embeds
865
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Audit intro

  1. 1. Введение в аудит информационной безопасности Александр Дорофеев CISSP, CISA
  2. 2. Содержание1. Основные понятия2. Аудит процессов3. Технический аудит4. Немного о социальной инженерии5. Формат отчета 2
  3. 3. Угроза, уязвимость, риск• Угроза – причина нежелательного инцидента, который может привести к негативным последствиям для организации.• Уязвимость - свойство актива, предоставляющее возможность реализации угроз безопасности обрабатываемой в ней безопасности• Риск - комбинация вероятности события и его последствий 3
  4. 4. КонтрольОт англ. controlМера минимизации риска, контрмера, мера безопасности 4
  5. 5. Аудит -систематический, независимый идокументированныйпроцесс получениясвидетельств аудита иобъективного ихоценивания с цельюустановления степенивыполнениясогласованных критериеваудита
  6. 6. Аудит -проверкавыполнениятребований
  7. 7. Аудит -оценкаэффективностиконтролей 7
  8. 8. Информационная безопасностьЛюди Процессы Технологии 8
  9. 9. Критерии аудита ИБ • требования корпоративныхПроцессы политик, международных стандартов, законодательства • уровень защищенности информационныхТехнологии систем от внутренних и внешних злоумышленников • способность сотрудников противостоять действиям злоумышленников, пытающихся Люди с помощью обмана получить конфиденциальную информацию 9
  10. 10. Процессы 10
  11. 11. Границы аудита – могут определяться подразделениями, процессами, системами конт рме угро ра за процессы конт рме угро ра затехнологии конт рме угролюди ра за 11
  12. 12. Оценка процессов и контролей в процессах Оценкаэффективности Оценка дизайна реализации контролей 12
  13. 13. Методы аудита1) Наблюдение2) Интервью3) Walkthrough4) Выборочное тестирование5) Полное тестирование 13
  14. 14. Бинарная оценка:«неэффективный» или «эффективный» контроль 14
  15. 15. Оценка зрелости процессов источник: Cobit 15
  16. 16. Возможные нюансы• Наличие компенсирующих контролей• Реализовался риск или нет 16
  17. 17. Технологии 17
  18. 18. Подходы к оценке защищенности Сканирование наКлассический тест наличиена проникновение уязвимостей Анализ Комплексный конфигурации подход системы 18
  19. 19. Классический тест на проникновение• Имитация действий реального злоумышленника – поиск первой уязвимости, позволяющей получить доступ к системе• Больше искусство, чем аудит. Качество сильно зависит от уровня специалиста• Обычный результат: несколько опасных уязвимостей• Высокий риск нарушения доступности систем 19
  20. 20. Сканирование• Использование исключительно сканеров для поиска уязвимостей• Качество сильно зависит от используемого сканера.• Результат: множество уязвимостей различного уровня опасности• Средний риск нарушения работоспособности систем 20
  21. 21. Анализ конфигурации системы• Проверка настроек систем в соответствии с рекомендуемыми вендорами или сообществами профессионалов по ИБ (NIST, Center of Internet Security).• Результат: множество уязвимостей различного уровня опасности• Низкий риск нарушения работоспособности систем 21
  22. 22. Комплексное тестированиеидентификация • сбор информации о внешних ресурсах в Интернет • сканирование сети целевых • согласование перечня с заказчиком сетевых узлов • с помощью сканеров поиск • вручную (по баннерам, ошибки конфигурации) уязвимостей эксплуатация • подбор паролей • перехват трафика уязвимостей и • запуск эксплойтовпроведение атак • и т.д. расширение • запуск локальных эксплойтов • использование собранной информации для доступа привилегий и к другим системам зоны влияния 22
  23. 23. Зачем столько видов технического аудита? Классический • Демонстрация незащищенности тест на системпроникновение • Быстрый поиск уязвимостей дляСканирование их устранения • Поиск уязвимостей при Анализ минимальном воздействии наконфигурации работу систем • Поиск максимального количестваКомплексный уязвимостей с контролируемыми подход рисками проекта 23
  24. 24. Методологии 24
  25. 25. Люди 25
  26. 26. Примеры• Провокационные письма с просьбой сообщить пароль• Фишинг-атаки• и др. 26
  27. 27. Заключительные слайды 27
  28. 28. Границы аудита и фокус процессы Фокус Фокус Анализтехнологии Аудит СУИБ конфигурации, Сканирование Тестирование на проникновениелюди 28
  29. 29. Формат отчетаFinding – Risk – (Recommendation ) 29
  30. 30. Александр Дорофеев АНО “Учебный центр “Эшелон”CISSP, CISA E-mail: adorofeev@uc-echelon.ruДиректор Тел.: +7(495) 645-38-09

×