Отчет аудита информационной безопасности

Команда специалистов компании ProNET квалифицированно предоставит услуги по обследованию вашей информационной системы, выявлению узких мест, либо неточностей в её реализации. В результате проведенного аудита информационной безопасности предоставляется детальный отчёт, в котором даются рекомендации как по устранению обнаруженных рисков и угроз, так и по оптимизации системы в целом.

Сканирование уязвимостей сети (проверка сканером уязвимостей):

  • извне («black box»)
  • изнутри (включая сканирование с известными учётными данными, для более глубокого анализа сети)

Ревизия оборудования:

  • серверного
  • активного
  • оборудования безопасности

Анализ используемого ПО:

  • выявление опасного ПО (не обновляемого, без поддержки и т.д.)
  • анализ возможности замены на безопасные аналоги

Анализ инфраструктуры на корректность построения:

  • анализ доступа к ресурсам компании снаружи и изнутри
  • контроль доступа к ресурсам Internet
  • контроль доступа к общедоступным сервисам компании и их защищённость
  • анализ работы инфраструктурных сервисов (резервное копирование, обновление, служба каталогов, логирование, уведомления о проблемах и т.д.)

Данное исследование покажет Вам текущее состояние информационных систем, акцентируя внимание лишь на действительно важных элементах. Результаты аудита станут основой формирования плана следующих шагов по модернизации/оптимизации имеющейся ИТ инфраструктуры и информационной безопасности в целом.

Разработка комплексного решения, которое обеспечит максимальную безопасность информационной инфраструктуры компании. В процессе подбора решения мы будем отталкиваться от уже существующего у Вас оборудования, минимизируя необходимость полной замены (в случае возможности его использования).

Помощь во внедрении

Кроме разработки решения, компания ProNET можем помочь в его реализации, начиная с консультационных услуг, заканчивая полным внедрением. После внедрения мы также можем предоставить и услуги поддержки.

Оптимизация работы и настроек существующего оборудования ИБ

Проведение полной поэтапной настройки используемого оборудования безопасности, в результате чего будут получены и применены профили модулей безопасности (таких как: IPS, AV, Sandbox, Anti-bot), в которых:

  • все защиты, имеющихся информационных систем, будут выставлены в режим блокирования угроз (вместо устанавливаемых по умолчанию в режим Мониторинга, пропускающим атаки);
  • защиты, касающиеся систем, не используемых в организации, будут отключены;
  • будут минимизированы исключения из проверок (при необходимости);
  • оптимизированы правила межсетевых экранов в соответствии с лучшими практиками.

Анализ сетевого трафика (установка сетевого анализатора внутри компании)

  • Простая и безопасная инсталляция без изменений в сети (дублирование целевого трафика на выделенный порт активного оборудования)
  • Время проведения анализа – 2-3 недели
  • Решение от лидера в сфере информационной безопасности
  • Возможность привязки к службе каталогов, для получения информации по пользователям, вместо списков IP-адресов
  • Возможность настройки отчётов для отображения только необходимых данных, либо получение нескольких отчётов (например, отчёт для управляющего компанией, отчёт для офицера безопасности, отчёт для службы IT)

В результате анализа сетевого трафика выявляются:

  • скрытые бреши в системе информационной безопасности компаний
  • слабые места в системе безопасности
  • работа с небезопасными приложениями и веб-сайтами
  • вирусные атаки
  • особо опасные угрозы
  • попытки взлома системы безопасности
  • утечки конфиденциальных данных
  • уязвимости клиентских устройств
  • нецелевое использование полосы пропускания
АКТИВНЫЙ АУДИТ

Одним из самых распространенных видов аудита является активный аудит. Это исследование состояния защищенности информационной системы с точки зрения хакера (или некоего злоумышленника, обладающего высокой квалификацией в области информационных технологий).
Зачастую компании-поставщики услуг активного аудита именуют его инструментальным анализом защищенности, чтобы отделить данный вид аудита от других.
Суть активного аудита состоит в том, что с помощью специального программного обеспечения (в том числе систем анализа защищенности) и специальных методов осуществляется сбор информации о состоянии системы сетевой защиты. Под состоянием системы сетевой защиты понимаются лишь те параметры и настройки, использование которых помогает хакеру проникнуть в сети и нанести урон компании.
При осуществлении данного вида аудита на систему сетевой защиты моделируется как можно большее количество сетевых атак, которые может выполнить хакер. При этом аудитор искусственно ставится именно в те условия, в которых работает хакер, – ему предоставляется минимум информации, только та, которую можно раздобыть в открытых источниках.
Естественно, атаки только моделируются и не оказывают какого-либо деструктивного воздействия на информационную систему. Их разнообразие зависит от используемых систем анализа защищенности и квалификации аудитора.
Результатом активного аудита являются информация обо всех уязвимостях, степени их критичности и методах устранения, сведения о широкодоступной информации (информация, доступная любому потенциальному нарушителю) сети заказчика.
По окончании активного аудита выдаются рекомендации по модернизации системы сетевой защиты, которые позволяют устранить опасные уязвимости и тем самым повысить уровень защищенности информационной системы от действий «внешнего» злоумышленника при минимальных затратах на информационную безопасность.
Однако без проведения других видов аудита эти рекомендации могут оказаться недостаточными для создания «идеальной» системы сетевой защиты. Например, по результатам данного вида аудита невозможно сделать вывод о корректности, с точки зрения безопасности, проекта информационной системы.
Активный аудит – услуга, которая может и должна заказываться периодически. Выполнение активного аудита, например раз в год, позволяет удостовериться, что уровень системы сетевой безопасности остается на прежнем уровне.
Активный аудит условно можно разделить на два вида – «внешний» и «внутренний».
При «внешнем» активном аудите специалисты моделируют действия «внешнего» злоумышленника. В данном случае проводятся следующие процедуры:

  • определение доступных из внешних сетей IP-адресов заказчика;
  • сканирование данных адресов с целью определения работающих сервисов и служб, а также назначения отсканированных хостов;
  • определение версий сервисов и служб сканируемых хостов;
  • изучение маршрутов прохождения трафика к хостам заказчика;
  • сбор информации об ИС заказчика из открытых источников;
  • анализ полученных данных с целью выявления уязвимостей.

«Внутренний» активный аудит по составу работ аналогичен «внешнему», однако при его проведении с помощью специальных програм-мных средств моделируются действия «внутреннего» злоумышленника.
Данное деление активного аудита на «внешний» и «внутренний» актуально для заказчика в следующих случаях:

  • у заказчика существуют финансовые ограничения в приобретении услуг и продуктов по защите информации;
  • модель злоумышленника, которую рассматривает заказчик, не включает «внутренних» злоумышленников;
  • в компании заказчика расследуется факт обхода системы сетевой защиты.

Сопроводительные услуги

Иногда в ходе активного аудита заказчику предлагается ряд дополнительных услуг, напрямую связанных с оценкой состояния системы информационной безопасности, в частности – проведение специализированных исследований.
Зачастую организация в своей информационной системе использует специализированное программное обеспечение (ПО) собственной разработки, предназначенное для решения нестандартных задач (например, корпоративный информационный портал, различные бухгалтерские системы или системы документооборота). Подобные ПО уникальны, поэтому каких-либо готовых средств и технологий для анализа их защищенности и отказоустойчивости не существует. В данном случае проводятся специализированные исследования, направленные на оценку уровня защищенности конкретного ПО.
Еще один вид услуг, предлагаемых в ходе активного аудита, – исследование производительности и стабильности системы, или стресс-тестирование. Оно направлено на определение критических точек нагрузки, при которой система вследствие атаки на отказ в обслуживании или повышенной загруженности перестает адекватно реагировать на легитимные запросы пользователей.
Стресс-тест позволит выявить «узкие» места в процессе формирования и передачи информации и определить те условия, при которых нормальная работа системы невозможна. Тестирование включает в себя моделирование атак на отказ в обслуживании, пользовательских запросов к системе и общий анализ производительности.
Одной из самых «эффектных» услуг является тест на проникновение (Penetration Testing), который во многом похож на «внешний» активный аудит, но по своей сути аудитом не является.
Основная цель данного тестирования – демонстрация «успехов», которых может достигнуть хакер, действующий при текущем состоянии системы сетевой защиты. Результаты данной услуги более наглядны, чем результаты аудита. Однако ей свойственны множество ограничений и особенностей. Например, особенность технического характера: заказчик информируется только о факте уязвимости системы сетевой защиты, в то время как в результатах «внешнего» активного аудита заказчику сообщаются не только факт уязвимости сети, но и сведения обо всех уязвимостях и способах их устранения.

ЭКСПЕРТНЫЙ АУДИТ

Экспертный аудит можно условно представить как сравнение состояния информационной безопасности с «идеальным» описанием, которое базируется на следующем:

  • требования, которые были предъявлены руководством в процессе проведения аудита;
  • описание «идеальной» системы безопасности, основанное на аккумулированном в компании-аудиторе мировом и частном опыте.

При выполнении экспертного аудита сотрудники компании-аудитора совместно с представителями заказчика проводят следующие виды работ:

  • сбор исходных данных об информационной системе, об ее функциях и особенностях, используемых технологиях автоматизированной обработки и передачи данных (с учетом ближайших перспектив развития);
  • сбор информации об имеющихся организационно-распорядительных документах по обеспечению информационной безопасности и их анализ;
  • определение точек ответственности систем, устройств и серверов ИС;
  • формирование перечня подсистем каждого подразделения компании с категорированием критичной информации и схемами информационных потоков.

Один из самых объемных видов работ, которые проводятся при экспертном аудите, – сбор данных об информационной системе путем интервьюирования представителей заказчика и заполнения ими специальных анкет.
Основная цель интервьюирования технических специалистов – сбор информации о функционировании сети, а руководящего состава компании – выяснение требований, которые предъявляются к системе информационной безопасности.
Необходимо отметить, что при экспертном аудите безопасности информационной системы учитываются результаты предыдущих обследований (в том числе других аудиторов), выполняются обработка и анализ проектных решений и других рабочих материалов, касающихся вопросов создания информационной системы.
Ключевой этап экспертного аудита – анализ проекта информационной системы, топологии сети и технологии обработки информации, в ходе которого выявляются, например, такие недостатки существующей топологии сети, которые снижают уровень защищенности информационной системы.
По результатам работ данного этапа предлагаются изменения (если они требуются) в существующей информационной системе и технологии обработки информации, направленные на устранение найденных недостатков с целью достижения требуемого уровня информационной безопасности.
Следующий этап – анализ информационных потоков организации. На данном этапе определяются типы информационных потоков ИС организации и составляется их диаграмма, где для каждого информационного потока указываются его ценность (в том числе ценность передаваемой информации) и используемые методы обеспечения безопасности, отражающие уровень защищенности информационного потока.
На основании результатов данного этапа работ предлагается защита или повышение уровня защищенности тех компонент информационной системы, которые участвуют в наиболее важных процессах передачи, хранения и обработки информации. Для менее ценной информации уровень защищенности остается прежним, что позволяет сохранить для конечного пользователя простоту работы с информационной системой.
Применение анализа информационных потоков организации дает возможность спроектировать систему обеспечения информационной безопасности, соответствующую принципу разумной достаточности.
В рамках экспертного аудита проводится анализ организационно-распорядительных документов, таких как политика безопасности, план защиты и различного рода инструкции.
Организационно-распорядительные документы оцениваются на предмет достаточности и непротиворечивости декларируемым целям и мерам информационной безопасности.
Особое внимание на этапе анализа информационных потоков уделяется определению полномочий и ответственности конкретных лиц за обеспечение информационной безопасности различных участков/подсистем ИС. Полномочия и ответственность должны быть закреплены положениями организационно-распорядительных документов.
Результаты экспертного аудита могут содержать разноплановые предложения по построению или модернизации системы обеспечения информационной безопасности, например:

  • изменения (если они требуются) в существующей топологии сети и технологии обработки информации;
  • рекомендации по выбору и применению систем защиты информации и других дополнительных специальных технических средств;
  • предложения по совершенствованию пакета организационно-распорядительных документов;
  • рекомендации по этапам создания системы информационной безопасности;
  • ориентировочные затраты на создание или совершенствование системы обеспечения информационной безопасности (СОИБ).

АУДИТ НА СООТВЕТСТВИЕ СТАНДАРТАМ

Суть данного вида аудита наиболее приближена к тем формулировкам и целям, которые существуют в финансовой сфере. При проведении данного вида аудита состояние информационной безопасности сравнивается с неким абстрактным описанием, приводимым в стандартах.
Официальный отчет, подготовленный в результате проведения данного вида аудита, включает следующую информацию:

  • степень соответствия проверяемой информационной системы выбранным стандартам;
  • степень соответствия собственным внутренним требованиям компании в области информационной безопасности;
  • количество и категории полученных несоответствий и замечаний;
  • рекомендации по построению или модификации системы обеспечения информационной безопасности, позволяющие привести ее в соответствие с рассматриваемым стандартом;
  • подробная ссылка на основные документы заказчика, включая политику безопасности, описания процедур обеспечения информационной безопасности, дополнительные обязательные и необязательные стандарты и нормы, применяемые к данной компании.

Ниже перечислены примеры стандартов, на соответствие которым проводится аудит системы информационной безопасности:

  • существующие руководящие документы Гостехкомиссии:
    – «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (далее – РД для АС);
    – «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К);
    – «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» (ГОСТ Р ИСО/МЭК 15408-2002 или «Общие критерии»);
  • зарубежные и международные стандарты:
    – Международный стандарт ISO/IEC 17799 «Информационные технологии. Управление информационной безопасностью» (Information Technology – Information Security Management). На сегодняшний день является одним из самых распространенных и широко применяемым стандартом во всем мире;
    – Международный стандарт WebTrust. Применим для подтверждения высокого уровня защищенности системы электронной коммерции и web-сервисов.

Причины проведения аудита на соответствие стандарту (и сертификации) можно условно разделить по степени обязательности данной услуги по отношению к компании: обязательная сертификация; сертификация, вызванная «внешними» объективными причинами; сертификация, позволяющая получить выгоды в долгосрочной перспективе; добровольная сертификация.
Государственные организации, которые обрабатывают сведения, составляющие государственную тайну, в соответствии с российским законодательством обязаны проводить аттестацию информационной системы (во многом процедура аналогична сертификации). Однако чаще всего они пользуются не услугой аудита на соответствие стандартам, а в обязательном порядке проводят аттестацию собственных информационных систем при участии аттестационных центров.
Учитывая распространенность услуги аттестации и многолетний опыт работы аттестационных центров, услуга аудита на соответствие РД для АС по трудозатратам аудитора, а значит, и по стоимости, приравнивается к услуге аттестации, поэтому клиенту выгодно приобретать именно последнюю.
Среди государственных организаций (а также «полугосударственных» – организаций с большой долей уставного капитала, принадлежащего государству) велика доля тех, кто в соответствии с законодательством не обязан проводить аттестацию информационной системы. Для них аудит на соответствие стандартам более актуален. Чаще всего его проводит компания-интегратор, которая имеет большой опыт успешного взаимодействия с компанией-заказчиком. При необходимости в качестве субподрядчиков привлекаются аттестационные центры.
В последнее время все большее количество компаний рассматривают получение сертификата, подтверждающего высокий уровень информационной безопасности, как «козырь» в борьбе за крупного клиента или делового партнера.
В этом случае целесообразно проведение аудита и последующей сертификации на соответствие тем стандартам, которые являются значимыми для клиента или делового партнера.
Иногда руководство компании проявляет инициативу по сертификации системы информационной безопасности. Для таких организаций важны не только защита собственных ресурсов, но и подтверждение со стороны независимого эксперта (в роли которого выступает компания-аудитор) высокого уровня защиты.
В заключение отметим, что при планировании проверки состояния системы информационной безопасности важно не только точно выбрать вид аудита, исходя из потребностей и возможностей компании, но и не ошибиться с выбором исполнителя.
Как уже было сказано, результаты любого вида аудита содержат рекомендации по модернизации системы обеспечения информационной безопасности.
Если аудит проводит консалтинговая компания, которая кроме консалтинговой деятельности занимается еще и разработкой собственных систем защиты информации, она, по понятным причинам, заинтересована в том, чтобы результаты аудита рекомендовали заказчику использовать ее продукты. Для того чтобы рекомендации на основе аудита были действительно объективными, необходимо, чтобы компания-аудитор была независима в выборе используемых систем защиты информации и имела большой опыт работы в области информационной безопасности.

ОПРЕДЕЛЕНИЕ АУДИТА

На данный момент в информационной безопасности нет устоявшегося определения аудита. Вот лишь несколько формулировок, используемых специалистами: «Аудит информационных систем — это проверка используемых компанией информационных систем, систем безопасности, систем связи с внешней средой, корпоративной сети на предмет их соответствия бизнес-процессам, протекающим в компании, а также соответствия международным стандартам, с последующей оценкой рисков сбоев в их функционировании» («Консалтинг и аудит в сфере ИТ 2004». CNews Analytics).
«Аудит информационной безопасности – системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности»(«Аудит безопасности Intranet». С. А. Петренко, 2002 г.).
Таким образом, аудит в данном случае сводится к проверке системы информационной безопасности и сравнению ее результатов с неким идеалом.
Для различных видов аудита различаются все три составляющие услуги аудита: средства и способы проверки, результат проверки и идеал, с которым сравнивается результат проверки.

Роман Просянников

Протоколирование — это сбор и накопление информации о событиях, происходящих в информационной системе в процессе ее функционирования.

Аудит — это анализ накопленной информации, проводимый оперативно или периодически (например, один раз в день).

Реализация протоколирования и аудита в системах защиты преследует следующие основные цели:

•обеспечение подотчетности пользователей и администраторов;

•обеспечение возможности реконструкции последовательности событий;

•обнаружение попыток нарушения информационной безопасности;

•предоставление информации для выявления анализа проблем.

Принцип работы систем обнаружения нарушения информационной безопасности заключается в том, что отслеживаются аномалии сетевого трафика. Отклонения в большинстве случаев являются признаком сетевой атаки. Например, нетипичная длина сетевого пакета, неполная процедура установления соединения — все эти критерии фиксируются системами обнаружения атак (СОВ). У данного способа обнаружения атак был и остается один существенный недостаток — он имеет дело с уже свершившимися событиями, т.е. с уже реализованными атаками. Знания о совершенных несанкционированных действиях позволяют предотвратить повторение этих действий.

Примеры вопросов

1. Протоколирование действий пользователей дает возможность:

•решать вопросы управления доступом;

•восстанавливать утерянную информацию;

•обеспечивать конфиденциальность информации;

•реконструировать ход событий при реализации угрозы безопасности информации?

2.Сетевой аудит включает:

• выборочный анализ действий пользователей в сети;

• протоколирование действий всех пользователей в сети;

• анализ всех действий пользователей в сети;

• анализ безопасности каждой новой системы (как программной, так и аппаратной) при ее инсталляции в сеть?

Экранирование

Экран контролирует информационные потоки между узлами сети. Контроль потоков состоит в их фильтрации с выполнением некоторых преобразований.

Фильтрация информационных потоков осуществляется межсетевыми экранами на основе набора правил, определяемых политикой безопасности организации. Межсетевые экраны производят логический анализ получаемой информации. При этом учитываются содержание информации, порт, через который поступил сетевой запрос, и т.д.

Примеры вопросов

1. Какое средство наиболее эффективно для защиты от сетевых
атак:

• использование сетевых экранов, или Firewall;

• посещение только «надежных» интернет-узлов;

• использование антивирусных программ;

• использование только сертифицированных программ-браузеров при доступе к сети Интернет?

2. Принципиальное отличие межсетевых экранов (МЭ) от систем обнаружения атак (СОВ) заключается в том, что:

• принципиальных отличий МЭ от СОВ нет;

• МЭ работают только на сетевом уровне, а СОВ — еще и на физическом;

• МЭ были разработаны для активной или пассивной защиты, а СОВ -для активного или пассивного обнаружения;

• МЭ были разработаны для активного или пассивного обнаружения, а СОВ — для активной или пассивной защиты?

Шифрование

Различают два основных метода шифрования: симметричный и асимметричный. В первом из них один и тот же ключ (хранящийся в секрете) используется и для шифрования, и для расшифровки данных. Во втором используются два ключа. Один из них несекретный (он может публиковаться вместе с адресом пользователя), используется для шифрования сообщения, другой, секретный (известный только получателю) — для расшифровки.

Криптография необходима для реализации трех сервисов безопасности: шифрования; контроля целостности и аутентификации.

Пример вопроса

Криптографическое преобразование информации — это:

•ограничение доступа;

•резервное копирование;

•использование системы паролей;

•шифрование?

Электронная подпись

Электронная цифровая подпись (ЭЦП) — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Алгоритм шифрования подписи должен определять секретный ключ пользователя, известный только владельцу ключа. Алгоритм проверки правильности подписи должен определять открытый ключ пользователя, известный абонентам-получателям. При таком подходе воспользоваться подписью может только владелец ключа, а проверить ее подлинность — любой абонент, которому передан открытый ключ, путем дешифрования сообщения этим ключом.

Пример вопроса

1. Электронно-цифровая подпись позволяет:

• удостовериться в истинности отправителя и целостности сообщения;

• восстанавливать поврежденные сообщения:

• пересылать сообщение по секретному каналу;

• зашифровать сообщение для сохранения его секретности.

Антивирусная защита

Классификация вирусов. Компьютерный вирус — это программа, способная к самостоятельному размножению и функционированию, и имеющая защитные механизмы от обнаружения и уничтожения. В настоящее время известно более 5000 программных вирусов, которые можно классифицировать по различным признакам.

В зависимости от среды обитания вирусы подразделяются на сетевые, файловые и загрузочные.

Сетевые вирусы распространяются по различным компьютерным сетям.

Файловые вирусы инфицируют главным образом исполняемые файлы с расширениями СОМ и ЕХЕ.

Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска.

По способу заражения вирусы делятся на резидентные и нерезидентные.

Резидентные вирусы при заражении компьютера помещаются в оперативную память. Они перехватывают обращения операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т.п.) и внедряются в них.

Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия, можно лишь выделить основные типы:

•простейшие вирусы (вирусы-паразиты) изменяют содержимое файлов и секторов диска и могут быть достаточно легко
обнаружены и уничтожены;

•вирусы-репликаторы (черви) распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и
записывают по этим адресам свои копии. Вирусы-черви не изменяют содержимое файлов, однако они очень опасны, так как
уменьшают пропускную способность сети и замедляют работу серверов;

•вирусы-невидимки (стеле-вирусы) очень трудно обнаруживаются и обезвреживаются, так как они перехватывают обращения операционной системы к пораженным файлам и секторамдисков и подставляют вместо своего тела незараженные участки диска;

• вирусы-мутанты содержат алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса
не имеют ни одной повторяющейся цепочки байтов;

• квазивирусные, или «троянские», программы не способны к самораспространению, но очень опасны, так как, маскируясь под
полезную программу, разрушают загрузочный сектор и файловую систему дисков или собирают на компьютере информацию, не
подлежащую разглашению.

Основными путями проникновения вирусов в компьютер являются съемные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с носителя информации, содержащего вирус.

Основные признаки появления вирусов:

•медленная работа компьютера, частые зависания и сбои;

•исчезновение файлов и каталогов или искажение их содержимого;

•изменение размера, даты и времени модификации файлов;

•значительное увеличение количества файлов на диске;

•уменьшение размера свободной оперативной памяти;

•вывод на экран непредусмотренных сообщений или звуковых сигналов.

Примеры вопросов

1. Вирусы распространяются:

•при чтении файла;

•при выполнении исполняемого файла;

• при создании файла;

• при копировании файла?

2. Основным путем заражения вирусами по сети является:

• HTML-документ;
. SMS;

• почтовое сообщение;

• сообщения с Интернет-пейджера?

3. Вирусы по способу заражения среды обитания подразделяются:

• на растровые — векторные;

• на резидентные — нерезидентные;

•на физические — логические;

•па цифровые — аналоговые?

4. Файловые вирусы поражают:

•аппаратную часть компьютера;

•оперативную память;

•системные области компьютера;

•программы на внешних носителях памяти?

5. Сетевые черви — это:

•программы, которые изменяют файлы на дисках и распространяются в пределах компьютера;

•программы, распространяющиеся только при помощи электронной почты через Интернет;

•программы, которые не изменяют файлы на дисках, а распространяются в компьютерной сети, проникают в операционную систему компьютера, находят адреса других компьютеров или
пользователей и рассылают по этим адресам свои копии;

•вредоносные программы, действия которых заключается в создании сбоев при питании компьютера от электросети?

6. Троянской программой является:

•программа, проникающая на компьютер пользователя через Интернет;

•вредоносная программа, которая сама не размножается, а выдает себя за что-то полезное, тем самым пытаясь побудить пользователя переписать и установить на свой компьютер программу
самостоятельно;

•программа, вредоносное действие которой выражается в удалении или модификации системных файлов компьютера;

•программа, заражающая компьютер независимо от действий пользователя?

7. Заражение компьютерным вирусом не может проявляться как:

•вибрация монитора;

•изменение даты и времени модификации файлов;

•замедление работы компьютера;

•появление на экране непредусмотренных сообщений?

Классификация антивирусных программ.Антивирусные программы подразделяются на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (им-мунизаторы).

Программы- детекторыпозволяют обнаруживать файлы, зараженные одним из известных вирусов. Эти программы проверяют файлы на указанном пользователем логическом диске на наличие в них специфической для данного вируса комбинации байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Большинство программ-детекторов имеют режимы лечения или уничтожения зараженных файлов. Программы-детекторы, как правило, не способны обнаруживать в памяти компьютера «невидимые» вирусы.

Программы-ревизоры запоминают сведения о состоянии системы (до заражения), после чего на всех последующих этапах работы программа-ревизор сравнивает характеристики программ и системных областей дисков с исходным состоянием исообщает пользователю о выявленных несоответствиях. Как правило, сравнение состояний производится сразу после загрузки операционной системы. При сравнении проверяются длина файла, контрольная сумма файла, дата и время последней модификации. Многие программы-ревизоры могут отличать изменения в файлах, сделанные пользователем, от изменений, вносимых вирусом, так как вирусы обычно производят одинаковые изменения в разных программных файлах.

Программы-доктора, или фаги — программы, которые не только обнаруживают зараженные файлы и системные области дисков, но и «лечат» их в случае заражения. Вначале своей работы фаги ищут вирусы в оперативной памяти, уничтожают их, после чего переходят к «лечению» файлов. Среди фагов можно выделить полифаги, т.е. программы-доктора, предназначенные для поиска иуничтожения большого количества вирусов.

Программы-фильтры, или «сторожа» располагаются в оперативной памяти компьютера и перехватывают обращения к операционной системе, которые могут использоваться вирусами для размножения и нанесения вреда программной среде:

•попытки коррекции загрузочных файлов;

•изменение атрибутов файлов;

•прямая запись на диск по абсолютному адресу;

•запись в загрузочные сектора диска;

•загрузка резидентной программы.

При попытке какой-либо программы произвести указанные действия, «сторож» сообщает об этом пользователю и предлагает разрешить или запретить выполнение соответствующей операции. Программы-фильтры позволяют обнаружить вирус в программной среде на самых ранних этапах его существования, еще до размножения.

Программы-вакцины (или иммунизаторы) — резидентные программы, предотвращающие заражение файлов. Вакцины модифицируют программные файлы и диски таким образом, что это не отражается на их работе, но тот вирус, откоторого производится вакцинация, считает эти программы или дискиуже зараженными и поэтому в нихне внедряется.

Примеры вопросов

1. Различают антивирусные программы:

• репликаторы;

• ревизоры;

•детекторы или фаги;

•фильтры?

2.Программы-ревизоры в процессе своей работы проверяют:

• длину файла;

• версию программы;

• дату и время последней модификации;

•контрольные суммы файлов?

3.Программы-ревизоры:

• относятся к самым надежным средствам защиты от вирусов;

• обнаруженные изменения в системе постоянно выводят на экран;

• осуществляют сравнение состояний системы при выходе из нее;

• постоянно сравнивают текущее состояние системы с исходным?

4.Программы-фильтры предназначены для обнаружения таких подозрительных действий как:

• попытки изменения атрибутов файлов;

• попытки копирования файлов;

• попытки загрузки резидентной программы;

•попытки коррекции файлов с расширениями СОМ и ЕХЕ?

5.Программы вакцины:

• уничтожают вирусы;

• модифицируют программные файлы таким образом, чтобы они воспринимались как зараженные, но это не отражалось на их работе;

• выявляют зараженные файлы;

Экспресс подготовка студентов

Статьи к прочтению:

  • Протоколы в работе internet
  • Протокол передачи данных bitbus

При создании информационной инфраструктуры корпоративной автоматизированной системы (AC) неизбежно возникает вопрос о защищенности этой инфраструктуры и соответствия нормативным документам, правилам регулятора, лучшим международным практикам, доказавшим свою эффективность. Оценить уровень защищенности корпоративной АС позволяет аудит ИТ инфраструктуры предприятия.
Аудит информационной безопасности предприятия — процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности организации в соответствии с определенными критериями, стандартами и показателями.
Необходимо отметить, что аудит информационной безопасности предприятия (аудит ИБ предприятия) включает в себя аудит безопасности ИТ или автоматизированных систем (АС), а также аудит процессов безопасности всей организации.

Основными целями анализа информационной безопасности являются:

  • оценка рисков в отношении безопасности ресурсов АС;
  • оценка текущего уровня защищенности АС;
  • локализация узких мест в системе защиты АС;
  • оценка соответствия АС соответствующим стандартам в области ИБ;
  • предоставление отчета о существующих несоответствиях стандартам, критериям и системе защиты АС.

Основными целями при проведении аудита информационной безопасности предприятия являются:

  • оценка корректности постановки задачи информационной безопасности организации в разрезе бизнес-задач организации, включая требования законодательства;
  • анализ реализации задач и контроля информационной безопасности;
  • анализ выполнения задач информационной безопасности сотрудниками организации.

Комплексный аудит информационных систем предприятия дает возможность установить степень эффективности информационной безопасности каждой конкретной организации и определить план мероприятий по снижению расходов и устранению рисков, связанных с информационной безопасностью.
Проведение аудита информационной безопасности предприятия целесообразно в случаях, когда нужна актуальная информация и независимая оценка состояния информационной безопасности в организации.
Аудит ИТ инфраструктуры может понадобиться в разных ситуациях:

  • если меняется стратегия развития организации;
  • при слиянии или поглощении;
  • когда происходят значительные изменения в организационной структуре или смене руководства;
  • при появлении новых внутренних или внешних требований в области информационной безопасности;
  • в случае значительных изменений бизнес-процессов или ИТ-инфраструктуры организации.

Работы по аудиту безопасности АС включают в себя ряд последовательных этапов, которые в целом соответствуют этапам проведения комплексного ИТ аудита АС, который включает в себя следующее:

Проведение аудита информационной безопасности предприятия нашими экспертами основывается на группе международных стандартов безопасности ISO 27001, отраслевых стандартов СОУ Н НБУ 65.1 СУИБ 1.0:2010 и СОУ Н НБУ 65.1 СУИБ 2.0:2010, а также лучших практик ITIL.
Что бы оценить текущее состояние информационной безопасности АС, также рекомендуется прохождения технологического аудита – тест на проникновения (penetration test). Который позволит оценить степень защищенности АС и наличие эксплуатируемых уязвимостей.
В отличии от консалтинга, аудит информационной безопасности позволяет выявить и описать все несоответствия стандартам, критериям и показателям. Логическим продолжением аудита, является консалтинг в области информационной безопасности, в том числе и технический, где основной задачей является более детальное исследование проблем и выработка рекомендаций и решений по их устранению.

Аудит систем безопасности предприятия проводится экспертами, обладающими квалификацией, подтвержденной международными сертификатами, и богатым опытом проведения аудитов и работ в области информационной безопасности, как в организационной, так и практической сферах.

Свежие материалы

  • Отчет ведомость амортизации ОС

    Во времена Бухгалтерии 8.1 (редакция конфигурации 1.6) был замечательный отчет 1С по основным средствам –…

  • Коэффициент безопасности движения

    Основное назначение автомобильных дорог - обеспечить экономически эффективную и безопасную работу транспорта. Транспортно-эксплуатационное состояние дороги…

  • Отчет baker hughes сегодня

    Планы Саудовской Аравии сократить экспорт нефти в декабре оказали поддержку котировкам. Январские фьючерсы Брент торговались…

  • Стратегия экологической безопасности

    В Год экологии и особо охраняемых природных территорий необходимо акцентировать внимание на наиболее острых вопросах…

Оставьте комментарий