Глава методы, средства и механизмы обеспечения безопасности базы

112 
Глава 4. АУДИТ БЕЗОПАСНОСТИ И РЕЗЕРВНОЕ КОПИРОВАНИЕ 
БАЗЫ ДАННЫХ 
4.1. Особенности проведения аудита безопасности в системах 
управления базами данных 
Под аудитом информационной системы (ИС) или информационной 
технологии (ИТ) понимается системный процесс получения и оценки 
объективных данных о текущем состоянии системы, технологии, действиях и 
событиях, происходящих в ней, устанавливающий уровень их соответствия 
определенному критерию и предоставляющий результаты заказчику. 
Проведение аудита позволяет оценить текущую безопасность 
функционирования ИТ, оценить риски и управлять ими, прогнозировать их 
влияние на бизнес-процессы организации, корректно и обоснованно 
подходить к вопросу обеспечения безопасности информационных активов 
организации, основными из которых являются: 

идеи; 

знания; 

проекты; 

результаты внутренних обследований. 
Общее понятие аудита. 
Датой рождения аудита принято считать 
1844г., когда в Англии приняли закон об акционерных компаниях, согласно 
которому их правления должны были ежегодно отчитываться перед 
аукционерами, причем отчет должен был быть проверен и подтвержден 
специальным человеком - независимым аудитором. 
В настоящее время аудит, пройдя несколько этапов своего развития 
стал частью хозяйственной жизни стран. От проверки бухгалтерских счетов 
акционерных компании отдельными профессиональными аудиторами аудит 
развивался до комплексного понятия, включающего в себя ряд услуг 
(проверку 
бухгалтерской 
отчетности, 
финансовый 
анализ, 
консультирование), оказываемых профессиональными аудиторами и 

113 
аудиторскими фирмами. Среди таких фирм есть и небольшие, включающие в 
себя десяток сотрудников, и гиганты с численностью до нескольких тысяч 
человек.
Виды аудита.
Аудит безопасности информационных систем обычно 
подразделяют на внешний и внутренний. 
Внешний аудит
проводится в основном вне организации и, как 
правило, специализированными организациями, занимающимися аудитом 
информационной безопасности. В этом случае, анализируются меры риска от 
внешних атак и атак со стороны (даже если организация защищена 
межсетевыми экранами). При проведении внешнего аудита осуществляется 
сканирование портов, поиск уязвимостей в сетевом и прикладном 
программном обеспечении, 
Осуществляются попытки взаимодействия с Web-серверами, почтовым 
и файловыми серверами, попытки вхождения в локальные сети организации. 
По желанию руководства организации, может проводиться специальный вид 
внешнего аудита - Ethical Hacking. В этом случае специальная организация (в 
мире это является широко распространенной практикой, такие 
подразделении имеют специальное название Tiger Team) осуществляет 
избранные атаки на серверы, сайты и хосты организации. Такие атаки могут 
продемонстрировать уязвимости ИС организации. 
Внутренний аудит
, как правило, проводился специальной командой из 
числа персонала организации. Его задачей является оценка риска 
существующей технологии применения ИС. Этот вид аудита выполняется с 
привлечением средств автоматизации аудита, реализующих какой-либо 
стандарт. Внутренний аудит проводится внутри сетевого пространства, 
ограниченного межсетевым экраном организации. Он также включает в себя 
сканирование портов и уязвимостей внутренних хостов организации. Кроме 
того, анализируются организация и выполнение установленной политики 
безопасности, контроль и управление доступом к ресурсам, парольная 
политика персонала организации и ее выполнение, Данный вид аудита 

114 
дополняет стандартные методики проведения аудита более исчерпывающим 
рассмотрением сетевых уязвимостей. 

Download 1,7 Mb.

Do'stlaringiz bilan baham: