• О проекте
  • Услуги
  • Заказать услугу
  • Новости
  • Блог
  • Глоссарий
  • Акции
  • Контакты
  • Блог

    Аудит безопасности - необходимость для надежной защиты сайта

    Чем шире распространяется Интернет в повседневной жизни, тем больше в нём появляется злоумышленников:аудит информационной безопасности мошенничество, взлом паролей, распространение вредоносных вирусов, кражи номеров кредитных карточек, – со всем этим сегодня можно столкнуться на просторах всемирной паутины. И, если раньше хакерство было признаком своеобразной, но всё же элитарности, то сейчас все стало намного проще. Сегодня Интернет предлагает огромный выбор разнообразных, в том числе и свободно распространяемых, движков, на которых создать сайт сумеет и домохозяйка. Но опасность кроется не столько в простоте таких сайтов, сколько в том, что можно так же легко найти скрипты для их взлома. Достаточно скопировать код в строку браузера – и, вуаля, - вы имеете все данные со страницы. Таким образом, злоумышленникам стало намного проще достигать своих целей. Достаточно найти слабо защищённый сайт, и дело в шляпе. Как оказывается, сделать это не так сложно. Ведь, согласно последним новостям, даже сайты огромных корпораций (Sony, Apple, ASUS, даже ЦРУ США) подчас становятся объектами взлома. Что уж говорить о сайтах небольших компаний и частных лиц, которые порой собираются чуть ли не на коленке?

    Не у всех хватает средств, что бы нанять команду профессиональных web-разработчиков, которые смогут правильно «собрать» сайт и обеспечить должный уровень защиты. А даже если разработкой занимались профессионалы, как получить гарантии полной безопасности? Ни один владелец сайта не желает, чтобы его детище взломали. Что же делать?

    Аудит безопасности - основной источник информации, используемой для повышения уровня защиты сайта

    Для начала стоит разобраться с тем, что же это такое. Аудит безопасности это процесс получения объективных качественных и количественных оценок текущего состояния информационной безопасности сайта, в соответствии с определёнными критериями и показателями. Если по-простому, то аудит безопасности сайта это ряд действий, с помощью которых можно определить степень защищённости сайта и наличие в нём «дыр» которыми могут воспользоваться хакеры.

    Польза и необходимость аудита очевидны: он позволяет определить мероприятия необходимые для повышения безопасности сайта, например, помогает выявить ошибки в написании кода, исправление которых снизит риск взлома.

    Основные этапы аудита безопасности

    1. - Инициирование процедуры аудита – на этом этапе определяются права и обязанности аудитора, составляются список задач и план проведения аудита;
    2. - Сбор информации аудита – наиболее длительный и сложный этап аудита, но и наиболее важный. На этом этапе происходит сбор информации для последующего анализа и создания аудиторского отчёта;
    3. - Анализ данных аудита;
    4. - Подготовка рекомендаций;
    5. - Создание аудиторского отчёта.

    аудит информационной безопасности

    Следует несколько подробнее остановиться на втором этапе проведения аудита, поскольку есть несколько видов сбора и оценки информации:

    - тест на проникновение (жарг. пентест, англ. penetration testing) – метод определения защищённости ресурса путём моделирования хакерской атаки. Основная цель теста на проникновение – обнаружить слабые места в защите ресурса и, при необходимости, осуществить его показательный взлом;

    - инструментальный анализ защищённости системы – метод похожий на тест на проникновение, однако выполняющийся автоматизировано согласно модели нарушителя;

    - оценка и анализ рисков безопасности – при использовании этого метода каждой потенциальной угрозе сопоставляют ее вероятность возникновения, оценивают ущерб и по полученным значениям оценивается ее уровень.

    - аудит наличия конфиденциальной информации в сети интернет – представляет собой процесс поиска конфиденциальной информации за пределами ресурса при помощи средств конкурентной разведки.

    Аудиторский отчёт - основной результат проведения аудита. В нём содержатся: описание целей проведения аудита, характеристика ресурса, указание границ проведения аудита, использованные методы, результаты анализа данных, выводы, обобщающие результаты анализа, информация об обнаруженных угрозах, доказательство их враждебности ресурсу, и, что самое главное, рекомендации по устранению существующих недостатков (уязвимостей) и совершенствованию системы защиты.