Аудит безопасности ПО. Самые главные вопросы
Аудит безопасности ПО. Самые главные вопросы
Каждой компании есть что терять. Причём, не только в плане финансов, но и в плане информации: важных сведений, от которых зависит успех и дальнейшее развитие.
Чтобы потерь не происходило, а также, чтобы минимизировать риски и снизить вероятность внешних и внутренних угроз, необходимо провести аудит безопасности ПО. Эта процедура позволит выяснить уязвимые точки и откроет многие скрытые проблемы, решение которых позволит увеличить сохранность важных ИТ-ресурсов фирмы.
Регулярно проводимый аудит безопасности ПО представляет собой систематическую оценку устройства политики безопасности конкретной компании. Специалисты, осуществляющие аудит начинают действовать лишь после того, как получат основательную информацию о компании и, в частности, о том, каким образом ведётся политика обеспечения безопасности.
Аудит безопасности ПО включает в себя инспектирование посредством проведения опросов персонала, сканирование ИТ-продуктов, действующих на данный момент. Также осуществляется проверка корректности настроек и алгоритмов действия операционной системы, ведётся анализ действия открытых сетевых ресурсов и истории содержащихся в них сведений.
Главнейшим этапом проведения аудита безопасности ПО является постановка ряда вопросов и поиска ответов на них.
Обозначим главные из них:
1) Являются ли пароли, открывающие доступ к информационным ресурсам компании сложными, состоящими из комбинаций различных символов или же они весьма просты и состоят из последовательного чередования букв либо цифр?
2) Применяет ли персонал компании Access Control List – список контроля доступа к разнообразной ключевой информации?
3) Насколько корректно проводится аудит доступа к сведениям?
4) Удаётся ли просмотреть файлы регистрации ранее проведённых аудитов безопасности ПО?
5) Насколько соответствуют настройки параметров безопасности применяемой информационной системы стандартам сохранения данных?
6) Удаляются ли неиспользуемые приложения либо же остаются в системе?
7) Насколько грамотно использовались патчи?
8) В каких условиях сохраняются копии сведений, сколько лиц и кто конкретно имеет доступ к таковым, насколько часто осуществляется сохранение?
9) Имеется ли план восстановления сведений на случай возникновения непредвиденных ситуаций?
10) Располагает ли персонал знаниями о том, как восстанавливать утраченные файлы?
11) Имеются ли утилиты криптографического плана, предназначенные для шифрования сведений?
12) Как происходят проверки кода и кто отвечает за данный процесс?
Источник: АртБаннер.ру.