Kategoria:
Komantarze:
0 
Wyświetlono:
366 Zadaniem audytu bezpieczeństwa jest porównanie stanu rzeczywistego ze stanem oczekiwanym. Sprawdzany jest również stopień zgodności realizacji z wytycznymi polityki bezpieczeństwa.
W praktyce sprawdzają się następujące kroki przy przeprowadzaniu audytu[1]:
- rozmowa wstępna i ustalenie zakresu audytu,
- przygotowanie audytu,
- przeprowadzenie testów,
- analiza wyników,
- opracowanie raportu,
- prezentacja wyników i ich omówienie.
Rozmowa wstępna służyć ma określeniu zakresu audytu. Ustala się podczas niej czego faktycznie ma dotyczyć dany audyt. Jednym z głównych punktów audytu bezpieczeństwa jest jasne wskazanie, co zostało sprawdzone, a co nie.
Przygotowanie audytu obejmuje wybór sprzętu i oprogramowania do audytu, kalibrację i weryfikację materiał oraz, planowanie projektu kontroli , rozmów i wywiadów.
Właściwy audyt, a wiec przeprowadzanie różnego rodzaju testów i badań, powinno odbywać się zawsze w oparciu o politykę bezpieczeństwa. Należy tutaj znaleźć odpowiedź na następujące pytanie: jak dowieść, że rzeczywisty system zachowuje się tak, jak opisano w polityce bezpieczeństwa? Do zrealizowania tego zadania można wykorzystywać m.in. takie metody jak:
- stosowanie komercyjnych narzędzi programowych,
- stosowanie darmowych narzędzi programowych,
- analiza zasad dostępu do plików konfiguracyjnych metodą manualną,
- kontrola istniejącej dokumentacji np. dzienników, rejestrów wejść/wyjść,
- przeprowadzenie wywiadów z różnymi grupami użytkowników.
Teoretycznie przeprowadzenie takiego audytu nie jest skomplikowane. Jako punkt wyjścia należy wziąć wytyczne polityki bezpieczeństwa, koncentrując się na istotnych obszarach, nie wierzyć w ani jedno słowo i próbować zweryfikować wypowiedzi zdanie po zdaniu. Metody tej można trzymać się tak długo, jak długo istnieją punkty polityki bezpieczeństwa, które trzeba sprawdzić. Nie wolno jednak w żadnym przypadku przyjmować postawy obojętnej, tzn. jeżeli w wytycznych polityki bezpieczeństwa wyraźnie brakuje istotnych regulacji, nie oznacza to, iż można pominąć ich kontrolę. Wprost przeciwnie, w szczególności te nieuregulowane kwestie należy zweryfikować, a następnie uwzględniać w polityce bezpieczeństwa. Naturalnie konieczne jest wtedy również rozszerzenie koncepcji i podjęcie odpowiednich działań realizacyjnych. Ta część audytu bezpieczeństwa zazwyczaj znacznie komplikuje pracę i wymaga zaangażowania eksperta dysponującego pewnym doświadczeniem.
Takie audyty należy przeprowadzać zawsze, gdy przewiduje to polityka bezpieczeństwa oraz w następującej sytuacji:
- dokonanie pomiaru uzyskanego do tej pory bezpieczeństwa,
- dokonanie istotnych zmian w sieci przedsiębiorstwa,
- wystąpienie naruszenia bezpieczeństwa,
- wymagane przepisami prawa.
Źródło artykułu: 
Opublikowany przez:
Opublikowany: Luty 1, 2012 
Opublikowane artykuły: 55 
