Аудит безопасности ПО. Самые главные вопросы

Аудит безопасности ПО. Самые главные вопросы

Каждой компании есть что терять. Причём, не только в плане финансов, но и в плане информации: важных сведений, от которых зависит успех и дальнейшее развитие.

Чтобы потерь не происходило, а также, чтобы минимизировать риски и снизить вероятность внешних и внутренних угроз, необходимо провести аудит безопасности ПО. Эта процедура позволит выяснить уязвимые точки и откроет многие скрытые проблемы, решение которых позволит увеличить сохранность важных ИТ-ресурсов фирмы.

Регулярно проводимый аудит безопасности ПО представляет собой систематическую оценку устройства политики безопасности конкретной компании. Специалисты, осуществляющие аудит начинают действовать лишь после того, как получат основательную информацию о компании и, в частности, о том, каким образом ведётся политика обеспечения безопасности.

Аудит безопасности ПО включает в себя инспектирование посредством проведения опросов персонала, сканирование ИТ-продуктов, действующих на данный момент. Также осуществляется проверка корректности настроек и алгоритмов действия операционной системы, ведётся анализ действия открытых сетевых ресурсов и истории содержащихся в них сведений.

Главнейшим этапом проведения аудита безопасности ПО является постановка ряда вопросов и поиска ответов на них.

Обозначим главные из них:

1)    Являются ли пароли, открывающие доступ к информационным ресурсам компании сложными, состоящими из комбинаций различных символов или же они весьма просты и состоят из последовательного чередования букв либо цифр?

2)    Применяет ли персонал компании Access Control List – список контроля доступа к разнообразной ключевой информации?

3)    Насколько корректно проводится аудит доступа к сведениям?

4)    Удаётся ли просмотреть файлы регистрации ранее проведённых аудитов безопасности ПО?

5)    Насколько соответствуют настройки параметров безопасности применяемой информационной системы стандартам сохранения данных?

6)    Удаляются ли неиспользуемые приложения либо же остаются в системе?

7)    Насколько грамотно использовались патчи?

8)    В каких условиях сохраняются копии сведений, сколько лиц и кто конкретно имеет доступ к таковым, насколько часто осуществляется сохранение?

9)    Имеется ли план восстановления сведений на случай возникновения непредвиденных ситуаций?

10) Располагает ли персонал знаниями о том, как восстанавливать утраченные файлы?

11) Имеются ли утилиты криптографического плана, предназначенные для шифрования сведений?

12) Как происходят проверки кода и кто отвечает за данный процесс?

Источник: АртБаннер.ру.