• О проекте
  • Услуги
  • Заказать услугу
  • Новости
  • Блог
  • Глоссарий
  • Акции
  • Контакты
  • Блог

    Отчет аудита информационной безопасности. Часть I. Основы составления отчета аудита

    Оглавление

    Мы начинаем цикл статей, посвященных составлению отчета о проведении аудита информационной безопасности. В данном цикле мы попытаемся рассказать вам, почему составлению отчета о проведенном аудите безопасности должно быть уделено совсем не меньше внимания, чем проведению самого аудита. Мы приведем приблизительную структуру отчета, а также расскажем вам о таких отраслевых стандартах, как шкала риска CVSSv2, базах уязвимостей MITRECVE и CWE, OSVDB, NIST и WASC. Осильте эти много букв, это точно принесет вам пользу.

    В первой статье цикла мы начнем с особенностей составления отчета о проведении аудита информационной безопасности.

    Аудит информационной безопасности – важный этап в построении любого комплексного решения для защиты автоматизированных систем предприятий от возможных угроз информационной безопасности. Ведь именно аудит, который вы можете проводить в виде анализа уязвимостей или тестирования на проникновение (пентеста), даст интегратору, проводящему построение системы безопасности информации на предприятии, точку начального отсчета.

    Т.о., если вы проводите аудит безопасности информации в любом его виде, в результате вы должны предоставить клиенту исчерпывающую характеристику состояния информационной безопасности активов клиента. Помимо этого, необходимо провести тщательное и детальное исследование всех обнаруженных уязвимостей. И наконец, в разделе по устранению уязвимостей от вас потребуется превратить полученный вами на ранних этапах аудита массив информации об активе клиента в четкий план действий по устранению проблем с безопасностью информации.

    Разработка отчета – очень важная фаза аудита информационной безопасности, а хорошее понимание ожиданий клиента – краеугольный камень вашего успеха. Дело в том, что ваш клиент будет не в состоянии оценить, насколько виртуозно вы провели пентест и как технично вы выполнили эксплуатацию уязвимостей. Вне зависимости от того, являетесь ли вы штатным сотрудником службы информационной безопасности, привлечены ли на аутсорсинге или вы фрилансер, вы должны донести результаты аудита информационной безопасности до клиента так, как он ожидает этого от вас.

    Независимо от того, как вы провели аудит информационной безопасности сайта, именно отчет – это то, в соответствии с чем вас оценит клиент. Поэтому к этой фазе нельзя относиться спустя рукава.

    Прежде чем перейти к содержанию, необходимо несколько слов сказать о форме. Ваш отчет должен выглядеть солидно и профессионально. Освойте навыки презентации своей работы. Это очень важно.

    Также необходимо отметить, что подготовка к составлению отчета о проведенном аудите начинается вместе с самим аудитом. Понятно, что ключом к успешному написанию отчета об аудите безопасности информации является грамотная и четкая систематизация данных, полученных в процессе проведения аудита.

    Когда вы проводите аудит информационной безопасности сайта, вы обязательно должны сохранять:

    • Время и дату начала аудита;
    • Объекты, которые подлежат аудиту (IP, домены, области сайтов);
    • Обнаруженные уязвимости;
    • Тип уязвимости;
    • Краткое описание;
    • Уязвимые компоненты сайта;
    • Используемый эксплойт или подробную схему проникновения (в случае проведения пентеста).

    Если в процессе проведения аудита информационной безопасности вы сохраните эти данные, то можете считать, что полдела по составлению отчета вы уже сделали.

    Есть еще одна вещь, которая не должна быть лишена вашего внимания. Написанный вами отчет будут изучать на совершенно разных уровнях в компании, заказавшей ваши услуги. Обычно, таких уровней два: руководство компанией и технические специалисты.

    Вы должны быть уверены, что смогли донести до каждого уровня иерархии компании результаты вашего исследования, используя правильные доводы и соответствующий язык.

    В следующей статье цикла мы расскажем о том, как это (см. абзац выше) сделать, а также приведем приблизительную структуру отчета.