• Защита электронного банкинга

    Надежные решения в области аутентификации, электронной подписи

  • Информационная безопасность

    Комплекс программных средств эффективной защиты конечных точек - Lumension

  • Инструментальный анализ (аудит)

    Комплексный технический анализ корпоративных информационных систем

Что в себя включает инструментальный анализ?


26 октября 2015
Инструментальный анализ в АлматыИнструментальный аудит информационной безопасности (далее – ИБ) позволяет получить объективную и независимую оценку эффективности ряда ключевых процессов обеспечения ИБ в Компании, определить уровень защищённости ее информационных активов, а так же определить ряд приоритетных мер по улучшению данных процессов для снижения существующих рисков ИБ.
 
Целями проведения инструментального обследования ИБ являются:
  • получение объективных данных о текущем состоянии обеспечения информационной безопасности корпоративной информационной системы Компании (в том числе от внешних угроз со стороны потенциальных злоумышленников);
  • разработка рекомендаций по повышению уровня информационной безопасности корпоративной информационной системы. Работы проводятся в один этап.
Первым шагом при выполнении работ, совместно с уполномоченными представителями Компании, определяются границы проведения аудита ИБ. Для определения границ проведения аудита ИБ идентифицируются подлежащие аудиту активы Компании. После их идентификации определяется их физическое и логическое местоположения, и на основании полученной информации производится:
  • определение физической области аудита (список и местоположение объектов Заказчика, подлежащих аудиту);
  • определение логической области аудита (например, названия подсетей, диапазоны IP адресов и т.д.);
Инструментальный анализ защищённости проводится для выявления технологических уязвимостей в программно-аппаратном обеспечении автоматизированных систем (далее – АС) Компании. Технологические уязвимости обусловлены наличием ошибок в программно-аппаратном обеспечении АС, использование которых нарушителем может привести к успешной реализации атаки. Примерами технологических уязвимостей являются уязвимости типа «buffer overflow» (переполнение буфера), «SQL Injection» (модификация SQL-запроса) или «format string» (форматирующая строка).
 
В процессе инструментального обследования используются специализированные программные средства. Сетевое сканирование реализуется в два основных этапа. На первом этапе осуществлялся сбор исходной информации о хосте, включающей в себя перечень открытых портов, список пользователей, зарегистрированных на хосте, информацию о типе сетевых служб, запущенных на хосте и т.д. На втором этапе проводится поиск уязвимостей в тех сетевых службах, информация о которых была собрана на первом этапе. Так, например, если на первом этапе определяется, что на хосте запущен только Web-сервер Microsoft Information Services, то все проверки второго этапа направляются на выявление уязвимостей именно в этой сетевой службе. В процессе проведения сканирования не моделируются атаки типа «отказ в обслуживании» для того, чтобы не нарушить штатной работы АС. Таким образом, при проведении сканирования определяется факт наличия в АС уязвимостей без их активизации.
 
В рамках инструментального аудита также проводится анализ конфигурационных настроек общесистемного и прикладного программного обеспечения АС. Данный аудит направлен на выявление эксплуатационных уязвимостей, к которым относятся ошибки в настройке программного или аппаратного обеспечения АС. В качестве примеров уязвимостей этого типа можно привести использование нестойких к угадыванию паролей, отсутствие модулей обновления, некорректную конфигурацию сетевых служб и т.д. В процессе проведения инструментального аудита ИБ проводится базовая оценка следующих процессов обеспечения ИБ:
  • управление аутентификацией и парольная защита;
  • криптографическая защита и управление ключами;
  • управление конфигурациями;
  • управление уязвимостями.
Базовая оценка эффективности процессов обеспечения ИБ основывается только на результатах инструментальных проверок и не включает в себя анализ нормативно-методического обеспечения.
 
 
Источник: dialognauka.ru
 

Инструментальный анализ в Алматы


Вернуться