По данным исследовательского органа конгресса США, General Accounting Office (GAO), в 1996 финансовом году на федеральные компьютерные системы было предпринято около 250 тысяч атак, 65% которых (160 тысяч) оказались успешными. Это плохо, как плохо и то, что число атак каждый год удваивается. Но гораздо хуже, что было выявлено лишь 4% успешных атак, из которых только о 27% были составлены доклады. Очевидно, нужно снижать процент успешных атак (если нет возможности повлиять на их общее число) и резко увеличивать процент "раскрываемости". Активный аудит может помочь в достижении обеих целей.
Применительно к информационным технологиям и системам под аудитом традиционно принято понимать процедуру получения объективных качественных и количественных оценок соответствия текущего состояния информационных систем аудируемой организации и процессов их функционирования действующим законодательным и нормативным документам, национальным и международным стандартам и т.д. Оценка производится на всех основных уровнях обеспечения информационных технологий и систем: методологическом, организационно-управленческом, технологическом и техническом (аппаратно-программном).
В большинстве случаев, заключая договор на проведение аудита, организации заинтересованы не только в получении информации о текущем состоянии ИТ-процессов или уровне информационной безопасности. Им крайне важно получить детальные рекомендации по решению всего спектра проблем, связанных с информационно-технологическим обеспечением их деятельности, которые позволили бы правильно спланировать и организовать работу ИТ-подразделений в соответствии с потребностями основных бизнес-процессов, обеспечить непрерывность этих процессов, вскрыть имеющиеся пробелы и недостатки в использовании ИТ и обеспечении информационной безопасности.
Активный аудит направлен на выявление подозрительной (злоумышленной и/или аномальной) активности с целью оперативного принятия ответных мер. С этим сервисом связываются надежды на существенное повышение защищенности корпоративных информационных систем (может быть, потому, что недостаточность более традиционных механизмов, к сожалению, доказана практикой).
Введение 3
1 Средства анализа параметров защиты 5
1.1 Общая характеристика средств анализа параметров защиты 5
1.2 CRAMM 7
1.3 RISKWATCH и COBRA 10
1.4 Прочие средства анализа параметров защиты 11
2 Сетевые сканеры безопасности 13
2.1 Общая характеристика сетевых сканеров безопасности 13
2.2 Сетевой сканер NetRecon 15
3 Сетевой сканер XSPIDER первый российский сканер безопасности 18
4 Средства контроля защищенности системного уровня 20
4.1 Общая характеристика средств контроля защищенности системного уровня 20
4.2 Локальные вычислительные сети (ЛВС) 23
4.3 Сетевое оборудование 24
Заключение 26
Список использованных источников 29
Список использованных источников
1. Галатенко А. Активный аудит // Jet Info. 2002, № 5.
2. Котухов М. Нужна ли регламентация IT-аудита? // Информационная безопасность. 2004, № 4.
3. Медведовсикй И. Практические аспекты проведения аудита информационной безопасности в соответствии с лучшей западной практикой // Connect! Мир связи. 2006, № 10.
4. Столяров М., Трифаленков И. На пути к управляемым информационным системам. -- Jet Info, 1999, № 3.
5. Федеральный закон «Об аудиторской деятельности» № 119 ФЗ от 07.08.2001 г. (в ред. Федеральных законов от 14.12.2001 N 164-ФЗ, от 30.12.2001 N 196-ФЗ, от 30.12.2004 N 219-ФЗ, от 02.02.2006 N 19-ФЗ, от 03.11.2006 N 183-ФЗ) // http://www.consultant.ru/
6. Information Security: Computer Attacks at Department of Defense Pose Increasing Risks. -- General Accounting Office, Chapter Report , GAO/AIMD-96-84 , 05/22/96.
7. R. Power -- CSI Roundtable: Experts discuss present and future intrusion detection systems. -- Computer Security Journal , Vol. XIV, #1.
8. U.S. Drawing Plan That Will Monitor Computer Systems. -- New York Times , 28 июля 1999.
воевременно получать информацию о ходе поступления товаров, о выполнении договорных обязательств поставщиками и получателями продукции, о состоянии товарных запасов, о ходе отгрузки и реализации це
(при журнально-ордерной форме учёта);Главная книга;баланс (ф. № 1);отчёт о прибылях и убытках (ф. № 2);приложение к бухгалтерскому балансу (ф. № 5).Основные направления аудита учёта основных средств д
нежных средств, ведения кассовой книги, учета кассовых операций;проверка соблюдения кассовой дисциплины;ознакомление с условиями хранения наличных денег, ценных бумаг и других денежных документов в ка
ляют собой концентрированную мысль об известной совокупности фактов. И тут сразу возникает вопрос: насколько эта концентрированная мысль - принцип - соответствует совокупности фактов? Если между ними
ансовая деятельность. Некомплексные ревизии не позволяют в полной мере выявить состояние ведения производства, уровень внедрения достижений научно-технического прогресса и передовых технологий, поэтом