После окончания проверки, аудиторы проведут заключительный инструктаж, убеждаясь в том, что руководство в курсе всех проблем, которые должны быть решены немедленно. На вопросы от руководства следует отвечать в нормальной манере, чтобы не создать плохого впечатления об аудите. Следует подчеркнуть, что аудиторы не способны в данный момент дать четкие ответы на поставленные вопросы. Все окончательные выводы будут сделаны после окончательных анализов результатов аудита.
Обратно в офис
Возвратившись в офис, аудиторы начнут объединять свои записи для проверки и анализировать собранные данные с помощью оценочных инструментов. Должно состояться первое собрание, для того, чтобы подбить отчет результатов аудита. На этом собрании аудиторы могут определить области проблем и возможные решения. Аудиторский отчет может быть составлен в нескольких формах, но текст отчета должен быть простым и прямолинейным, содержащим конкретные данные о найденных проблемах вместе с решениями по устранению этих недостатков.
Аудиторский отчет может быть составлен в виде заключения, содержащим детали найденного и дополнений, таких как результаты сканирования. При написании отчета следует сначала сделать краткое описание, так как придется вскоре после возвращения дать краткий отчет руководству. Очень важно представлять, что сильные и слабые стороны безопасности должны быть описаны в кратком изложении, чтобы сбалансировать отчет. Далее аудитор может предоставить рапорт, основанный на проверке. Обнаруженные уязвимости должны быть представлены в простой и логичной форме на отдельном листе для каждой обнаруженной уязвимости. На таком листе должна быть описана проблема, ее значение и методы решения. На листе должно остаться место для подтверждения правильных путей аудита и блок для комментариев чтобы оспорить найденное.
Не заставляйте их ждать
Отчет должен быть представлен быстро и четко, чтобы заказчик мог исправить проблемы, обнаруженные при аудите. В зависимости от политик компании, аудиторы должны быть готовыми объяснить недостатки и помочь устранить их. Руководство должно вести наблюдение за недостатками, выявленными во время аудита до тех пор, пока они не будут устранены.
Аудит – это не событие, а процесс
Следует помнить, что с развитием организации, меры безопасности также должны меняться. С этой точки зрения аудит компьютерной безопасности – это не одноразовая задача, а продолжительные попытки защитить данные. Аудит исследует политику безопасности организации и проводит анализ эффективности этой политики в контексте структуры организации, ее целей и действий. Аудит должен быть построен на прошлой проверке, чтобы помочь вникнуть в политику и исправить уязвимости, обнаруженные в процессе аудита. Инструменты также являются важной частью процесса аудита, так как аудит не будет эффективным без использования последних и самых лучших инструментов поиска уязвимостей, а значимости ему прибавит использование организованной, последовательной, точной информации о данных и анализе, позволяющим нахождение и устранение ошибок.
Этапы проведения инструментальной проверки автоматизированных информационных систем
Для проверки корректности системных установок (или их неизменности с момента последней проверки) существуют программные продукты класса "сканер безопасности системы". Эти продукты на сегодняшний день существуют для большинства операционных систем и число достигает десятка. В их число входят такие продукты, как ASET (компонент ОС Solaris), KSA (для платформ NetWare и NT), SSS (System Security Scanner) (Unix-платформы).
System Security Scanner
Программа System Security Scanner (S3) предназначена для проведения проверки состояния безопасности на отдельных UNIX-компьютерах и поиска уязвимости ОС как снаружи (по сети с использованием Internet Scanner), так и изнутри (из самой ОС компьютера). При этом проводится проверка прав доступа и прав собственности файлов, конфигураций сетевых сервисов, установок ресурсов пользователей, программ аутентификации и других, связанных с пользователями слабых мест (например, паролей).
Характеристики
· Проверка текущей конфигурации
Анализируются особенности конфигурации, которые могут привести к получению несанкционированного доступа. К ним относятся: файлы конфигураций, версии ПО, права доступа и собственники файлов, файлы SUID/SGID, необычные файлы, ресурсы пользователей и групп пользователей, пароли.
· Проверка опасных изменений в системе.
Проводится поиск следов несанкционированного доступа в систему, к которым относятся необычные изменения в текущей конфигурации системы, например, изменения размера, прав доступа или содержания отдельных файлов, либо изменения в установках ресурсов пользователей, а также следов переключения сетевого интерфейса в режимы работы, допускающие передачу данных на внешний компьютер.
· Удобный графический интерфейс пользователя.
S3 предоставляет возможность для конфигурации и запуска сеансов сканирования и создания отчетов по их результатам.
· Удаленное сканирование.
Программа S3 позволяет выполнять проверку удаленных компьютеров в неоднородной распределенной сетевой среде с центрального хоста, используя шифрование сеансов связи.
· Отчеты по результатам проверок.
В создаваемых по результатам сканирования отчетах отражается информация об обнаруженных уязвимых местах проверяемых систем с пояснениями по каждому типу уязвимости и рекомендуемыми действиями по их коррекции. Отчеты могут быть представлены как в HTML-формате, так и в виде стандартного ASCII-текста.