Форум программистов, компьютерный форум, киберфорум
Наши страницы
Безопасность в интернете
Войти
Регистрация
Восстановить пароль
 
Jorge_Fisher
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 15
1

Аудит ИБ

14.01.2018, 01:53. Просмотров 400. Ответов 4
Метки нет (Все метки)

В чем разница между экспертным аудитом ИБ и аудитом на соответствие стандартам ИБ.
0
QA
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
14.01.2018, 01:53
Ответы с готовыми решениями:

Аудит за пользователем
Здравствуйте. Есть бд на postgresql: Есть форма входа на php, после того, как пользователь зашел...

Аудит сайта
Хочу структуризировать для себя данный вопрос. Что должно быть включено в отчет по аудиту сайта...

Аудит сайта
Хотелось бы в полной мере иметь представление по техническому аудиту сайта (все что входит в данный...

Аудит сайта
minona-school.su

Аудит событий
Добрый день. Подскажите, пожалуйста, как включить в Windows Server журнал аудита за изменениями в...

4
MonaxGT
Эксперт по компьютерным сетям
277 / 277 / 25
Регистрация: 02.08.2012
Сообщений: 1,232
14.01.2018, 01:56 2
Jorge_Fisher, Вопросы уровня "Вопросы.Мэйл"...
У Вас свои мысли есть на эту тему есть?
0
Jorge_Fisher
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 15
14.01.2018, 02:09  [ТС] 3
Экспертный аудит можно условно представить как сравнение состояния информационной безопасности с «идеальным» описанием, которое базируется на следующем:
• требования, которые были предъявлены руководством в процессе проведения аудита;
• описание «идеальной» системы безопасности, основанное на аккумулированном в компании-аудиторе мировом и частном опыте.
При выполнении экспертного аудита сотрудники компании-аудитора совместно с представителями заказчика проводят следующие виды работ:
• сбор исходных данных об информационной системе, об её функциях и особенностях, используемых технологиях автоматизированной обработки и передачи;
• сбор информации об имеющихся организационно-распорядительных документах по обеспечению информационной безопасности и их анализ;
• определение точек ответственности систем, устройств и серверов ИС;
• формирование перечня подсистем каждого подразделения компании с категорированием критичной информации и схемами информационных потоков.
АУДИТ НА СООТВЕТСТВИЕ СТАНДАРТАМ
Суть данного вида аудита наиболее приближена к тем формулировкам и целям, которые существуют в финансовой сфере — при проведении данного вида аудита состояние информационной безопасности сравнивается с неким абстрактным описанием, приводимым в стандартах.
Официальный отчет, подготовленный в результате проведения данного вида аудита, включает следующую информацию:
• степень соответствия проверяемой информационной системы выбранным стандартам;
• степень соответствия собственным внутренним требованиям компании в области информационной безопасности;
• количество и категории полученных несоответствий и замечаний;
• рекомендации по построению или модификации системы обеспечения информационной безопасности, позволяющие привести её в соответствие с рассматриваемым стандартом;
• подробная ссылка на основные документы заказчика, включая политику безопасности, описания процедур обеспечения информационной безопасности, дополнительные обязательные и необязательные стандарты и нормы, применяемые к данной компании.


Но в чем принципиальная разница между этими видами аудита я пока не понял, к сожалению. У нас ведь по сути и обоих случаях идет текущее сравнение состояния ИБ организации с неким идеальным состоянием, прописанном в соответствующем ГОСТе или требованиях, предъявляемых руководством организации.
0
MonaxGT
Эксперт по компьютерным сетям
277 / 277 / 25
Регистрация: 02.08.2012
Сообщений: 1,232
14.01.2018, 12:09 4
Jorge_Fisher, Нет)
Экспертное это аудит системы как он есть. Пентестеры используют техники для проникновения в систему теми техниками которые они хотят, конечно же с согласованием с руководством атакуемой организации. Вне стандартов и т.п.

А по стандартам, это например по PCI DSS. Необходимо пройтись и сделать некий check лист.Если в чек-лист не входит поймать сотрудника и засунуть ему ...... паяльник, узнать пароль и т.п. То делать это нельзя) не стандарт)

P.S. Даже если очень хочется.
0
Jorge_Fisher
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 15
14.01.2018, 21:14  [ТС] 5
А в чем тогда принципиальное различие экспертного и активного аудита ? Насколько мне известно, активный аудит подразумевает действия пентестера с позиции хакера ( или иначе говоря, проведение инструментальной проверки). И получается экспертный аудит системы - тоже проникновение в систему.
0
14.01.2018, 21:14
Answers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
14.01.2018, 21:14

Аудит в Оракле
Господа, подскажите пожалуйста, как включить аудит, чтобы я знал, кто, что, откуда и когда делал с...

Аудит SQL servers
Добрый день нужно несколько советов. Есть парк SQL серверов 5к+ небольших, все они не в домене,...

WinApi C++ Аудит каталога
Есть наблюдатель: ...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
5
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.