Аудит безопасности и контроль защищенности
Операции с документом
Аудит информационной безопасности — системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности.
- Статьи по аудиту информационной безопасности
- в читальном зале ISO27000.ru
- Статьи о стандартах информационной безопасности
- в читальном зале ISO27000.ru
- Сайты, публикующие информацию об уязвимостях
- Уязвимости Интернет, сетевых протоколов, операционных систем, приложений и технических средств.
- Списки проверки настроек безопасности для ИТ продуктов от Национального Института Стандартов и Технологий США
- Списки проверки безопасности (security configuration checklist), которые иногда называют руководством по настройке параметров защиты или техническими стандартами на защищенные конфигурации ИТ продуктов, - это документы, содержащие инструкции и процедуры по настройке ИТ продуктов для обеспечения базового уровня безопасности.
- Руководство по аудиту и управлению уязвимостями ИТ
- Институт Внутренних Аудиторов (IIA) выпустил шестой том в серии руководств по технологическому аудиту (Global Technology Audit Guide (GTAG®) series) под названием "Аудит и управление уязвимостями ИТ" (Managing and Auditing IT Vulnerabilities) на 24 стр.
- Технические стандарты и инструменты для анализа защищенности ИТ платформ
- SCORE (Security Consensus Operational Readiness Evaluation) является совместным проектом института SANS и Центра безопасности Интернет (Center for Internet Security(CIS)). Профессионалы-практики в области информационной безопасности из различных организаций объединились в рамках проекта SCORE с целью разработки базового (минимально необходимого) набора практических стандартов и руководств по обеспечению безопасности для различных операционных платформ. Требования и рекомендации, предлагаемые для включения в стандарты, широко обсуждаются и проверяются участниками проекта SCORE, и только после их одобрения всеми участниками, передаются в CIS, который занимается их формализацией и оформлением, а также разрабатывает программные средства (minimum standards benchmarks) для оценки соответствия операционных платформ предложенным стандартам.
- Часто задаваемые вопросы об использовании базовых конфигураций безопасности
- В марте 2007 года Административно-бюджетное управление США выпустило виртуальные машины на основе Windows XP Professional SP2 и Vista с Базовой Конфигурацией для Федеральных Настольных Систем (Federal Desktop Core Configuration (FDCC)) и предписало обязательное использование FDCC на компьютерах с Windows в государственных учреждениях США, начиная с 1 февраля 2008 года.
- SANS Топ20 - список основных уязвимостей Интернет
- 7 лет тому назад, институт SANS и национальный центр защиты инфраструктуры (NIPC) при ФБР выпустили документ, обобщивший 10 наиболее критических уязвимостей безопасности Интернет. Тысячи организаций зависят от этого списка и расширенных версий Топ20, подготовленных в последующие годы, с точки зрения выработки приоритетов по устранению наиболее опасных прорех.
- Соображения по аудиту информационных систем (BS ISO/IEC 27002:2005 RU, раздел 15.3)
- Цель: Максимизировать эффективность и минимизировать вмешательство в/со стороны процесс(а) аудита информационных систем. Должны существовать механизмы контроля для защиты действующих систем и средств аудита в ходе проведения аудитов информационных систем. Требуется также обеспечить защиту для сохранения целостности и предотвращения ненадлежащего использования средств аудита.
- Методики анализа защищенности информационных систем, используемые в GlobalTrust
- Краткое описание подходов, методов, инструментальных средств и компетенций компании GlobalTrust в области анализа защищенности корпоративных информационных систем и проведения тестов на проникновение (пентестов).
- Open Source Security Testing Methodology Manual (OSSTMM)
- Open Source Security Testing Methodology Manual also known as the OSSTMM is a peer-reviewed manual of security testing and analysis which result in verified facts. These facts provide actionable information that can measurably improve your operational security. By using the OSSTMM you no longer have to rely on general best practices, anecdotal evidence, or superstitions because you will have verified information specific to your needs on which to base your security decisions.
- OWASP Testing Project
- Open Web Application Security Project (OWASP) Testing Project has been in development for many years. The aim of the project is to help people understand the what, why, when, where, and how of testing web applications. The project has delivered a complete testing framework, not merely a simple checklist or prescription of issues that should be addressed. Readers can use this framework as a template to build their own testing programs or to qualify other people’s processes. The Testing Guide describes in detail both the general testing framework and the techniques required to implement the framework in practice.
- OWASP Top Ten 2013 Project
- Реестр уязвимостей веб-приложений OWASP Top 10.
- SANS Top 20 Critical Security Controls
- The SANS Top 20 Critical Security Controls focuses first on prioritizing security functions that are effective against the latest Advanced Targeted Threats, with a strong emphasis on "What Works" - security controls where products, processes, architectures and services are in use that have demonstrated real world effectiveness. SANS has an active effort to collect, document successful What Works case studies that highlight success stories in cybersecurity.
- Common Vulnerabilities and Exposures (CVE)
- Common Vulnerabilities and Exposures (CVE) is a dictionary of common names (i.e., CVE Identifiers) for publicly known information security vulnerabilities. CVE’s common identifiers make it easier to share data across separate network security databases and tools, and provide a baseline for evaluating the coverage of an organization’s security tools. If a report from one of your security tools incorporates CVE Identifiers, you may then quickly and accurately access fix information in one or more separate CVE-compatible databases to remediate the problem.
- Пример программы технического аудита офисной сети
- Программа однодневного визита технического специалиста к заказчику.
- Пример списка внутренних проверок по информационной безопасности
- Данный список проверок может использоваться при планировании внутренних и внешних аудитов ИБ.
- Пример перечня исходных данных аудита ИБ
- Перечень исходных данных, предоставляемых Заказчиком для аудита ИБ (документы и данные из настоящего перечня предоставляются в случае их наличия).
- SANS "Must Have" Free Resources for Open-Source Intelligence (OSINT)
- To best protect your organization, you need to understand what kind of information is publicly available. It’s important to know the tools, skills, and techniques available to scour the massive amounts of information found on the Internet. Here are some free resources about OSINT to help in any investigation, pen test or to just see if your organization is exposed.
