• О проекте
  • Услуги
  • Заказать услугу
  • Новости
  • Блог
  • Глоссарий
  • Акции
  • Контакты
  • Блог

    Отчет аудита информационной безопасности. Часть III. Составление плана по устранению уязвимостей

    Оглавление

    В третьей части нашей статьи мы расскажем о том, как составить корректный и эффективный план по устранению уязвимостей, обнаруженных в результате аудита безопасности информации.

    Итак, данная часть должна быть последней при составлении отчета, так как вы уже к этому времени составили отчет об обнаруженных уязвимостях и имеете объективную картину состояния безопасности информации у вашего клиента. Таким образом, вы обладаете всей нужной информацией, чтобы разработать план действий для клиента по закрытию уязвимостей.

    В вашей команде составлением отчета может заниматься отдельный человек, но если вы один, можете и сами его подготовить.

    Необходимо отметить, что при обнаружении критических уязвимостей для наиболее важных активов в процессе анализа уязвимостей или теста на проникновение  (пентест) вы должны сразу сообщить об этом клиенту.

    Помните, что ваша основная задачаповысить уровень безопасности у вашего клиента, а не просто обнаружить уязвимости, потренироваться в социальной инженерии или реализовать пару эксплойтов.

    План по закрытию уязвимостей должен повторять по структуре часть отчета, в котором описывались обнаруженные уязвимости.

    Для каждой конкретной уязвимости необходимо привести краткое описание, уязвимые компоненты и варианты решения.

    Очень часто составить план по закрытию уязвимостей совсем не сложно. Если уязвимость была обнаружена в известном программном продукте, то в данном случае нужно просто добавить ссылки на необходимые патчи или обновления. Очень часто вы сможете найти всю необходимую информацию в тех базах данных уязвимостей, которые мы ранее обсудили.

    В других случаях вы можете предложить решение в соответствии с типом уязвимости, например, при недостаточной фильтрации полей пользовательского ввода вы можете указать характеристики корректной фильтрации.

    Отчет о проведенном аудите может включать в себя несколько уровней действия. На тактическом уровне вы должны закрыть все возможные обнаруженные уязвимости, чтобы снизить текущий уровень риска до минимума. На стратегическом уровне вы можете предложить заказчику использовать результаты аудита для разработки политики безопасности, последующего проектирования и внедрения комплексной системы защиты.

    Выводы

    Составление отчета – очень важная, хотя и последняя составляющая часть аудита безопасности. При написании вашего отчета вы должны четко понять желание клиента, то, что он хочет получить в результате проведения аудита, и предоставить реальные решения к его реальным проблемам.

    Основные четыре части отчета:

    • Введение;
    • Аналитическая записка;
    • Отчет об обнаруженных уязвимостях;
    • План по закрытию уязвимостей.

    При составлении отчета вам поможет знакомство и умение работать с базами данных уязвимостей MITRECVE и CWE, OSVDB, NIST и WASC.

    Хорошо написанный отчет поможет вам контролировать изменение уровня риска в динамике, если через определенное время вы будет повторять тест. Регулярное проведение аудита информационной безопасности способствует поддержанию состояния защищенности информации на достаточно высоком уровне.

    Вы, как аудитор информационной безопасности, выполняющий тест на проникновение или анализ уязвимостей, не должны недооценивать значение презентации вашей работы. Грустная правда такова, что вас будут оценивать не по тому, насколько вы квалифицировано произвели тест на проникновение (pentest) или использовали самые сложные уязвимости, а по тому, как вы смогли осознать, что для вашего клиента значит взлом в терминах денежных потерь, вреда бизнесу и потере доверия со стороны его клиентов.