|
по степени легальности
Легальные
Нелегальные
по местонахождению аудитора по
отношению к исследуемой системе
Внешний
Внутренний
по типу
Оценка соответствия
Тестирование на основе
моделей
Испытания
Тестирование
Тестирование специальными
средствами и способами
Сетрификация
Аттестация
по формализации процесса
анализа
по степени доступности
информации об объекте
аудита
«Белый ящик»
«Серый ящик»
«Черный ящик»
Инструментальный
аудит
Тест на проникновение
Комплексный аудит
Аудит
Рис. 3. Классификация мероприятий аудита
26
По степени воздействия на объект, аудит может быть классифицирован
как:
-
пассивный;
-
активный.
Пассивный аудит, это проведение мероприятий, которые не вносят изме-
нений в реальный объект аудита и не переводят его в другое состояние. К пас-
сивному аудиту относятся любые типы аудита, проводимые на основе анализа
стандартов ИБ, а также на основе формальных моделей анализа рисков. Если
при аудите проводится тестирование на основе моделей, то такой тип аудита
тоже относится к пассивному. К пассивному аудиту также можно отнести ме-
роприятия, связанные с применением специальных средств и способов ИТВ
или ИПВ разведывательного характера, ориентированных на сбор сведений об
объекте аудита или его средств защиты.
Активный аудит, предусматривает проведение мероприятий, которые
связаны с целенаправленным воздействием на исследуемую систему с целью
провести анализ ее реакций или перевести ее в требуемое состояние, как прави-
ло, с более низким уровнем защищенности. К активному аудиту можно отнести
проведение тестирования системы целенаправленными ИТВ и ИПВ, формиро-
вание некорректных или ложных исходных данных, формирование неблаго-
приятной среды функционирования системы, внесение изменений в ее структу-
ру или встраивание в нее дополнительных функциональных элементов.
В некоторых работах, например, таких как [1, 10, 23, 24], под активным
аудитом понимается любое использование средств и способов сбора информа-
ции о состоянии подсистемы сетевой защиты, имитирующих действия зло-
умышленника/противника. Кроме того, в ряде случаев для такого активного
аудита используют понятие «инструментальный аудит». Однако, на взгляд ав-
тора, такой терминологический подход неверен. К активному аудиту можно от-
нести не все мероприятия мониторинга сетевой защиты, а только те, которые
используют или моделируют реальные воздействия на исследуемую систему.
По степени легальности, аудит может быть классифицирован как [4, 13]:
-
легальный;
-
нелегальный.
Легальный аудит, отличается правовой безопасностью и, как правило,
проводится на основании договора аудитора с заказчиком, имеющим прямое
отношение к обеспечению безопасности объекта аудита, с целью выработки
мер, направленных на повышение уровня его защиты.
Нелегальный аудит основан на получении информации об уязвимости ис-
следуемой системы нелегальными противозаконными способами. К таким не-
легальным способам можно отнести: воровство, преднамеренный обман, не-
санкционированное прослушивание, подделку идентифицирующих докумен-
тов, а также использование различных действий, которые содержат признаки
противоправных деяний. Также к нелегальным мероприятиям можно отнести
аудит, проводимый при участии или заказу третьих лиц, с целью последующего
использования результатов аудита для нанесения ущерба исследуемой системе
или организации.
27
При классификации аудита на легальный и нелегальный необходимо от-
метить следующий противоречивый момент. При проведении информационных
операций соответствующими силами («кибервойсками») данные операции ре-
гламентируются внутренними уставами той стороны, которая их проводит, т.е.
в отношении этой стороны аудит систем противника является легальным. Вме-
сте с тем, проведение такого аудита, как правило, связанно с нарушением зако-
нодательства той стороны, к которой принадлежит объект аудита, соответ-
ственно по отношению к этой стороне аудит является нелегальным.
По местонахождению аудитора по отношению к исследуемой системе
аудит может быть классифицирован на [4, 19]:
-
внешний;
-
внутренний.
Do'stlaringiz bilan baham: |
