Keva

Методики аудита антивирусной безопасности предприятия

В этой теме 20 сообщений

Доброго всем времени суток, существует ли сабж?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мальцев Тимофей, какие конкретные действия у вас подразумеваются под "Аудитом на соответствие требованиям стандарта ISO 17799"?

.. даёт возможность Заказчику оценить уровень защищённости организации от типовых угроз информационной безопасности, связанных с вирусной активностью, несанкционированным доступом к конфиденциальной информации, атаками типа «отказ в обслуживании», сбоями программно-аппаратного обеспечения и др. В процессе аудита осуществляется также проверка эффективности противодействия угрозам информационной безопасности существующих организационно-технических мер защиты.

Именно методология не раскрывается ... :?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ага. :)

И документы типовые не даются. :)

Здесь же была статья В. Сердюка - там подробнее рассказывалось...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

... к конечном итоге все сводится к банальному pen-тесту, проведенному при помощи nmap и xspider на уровне научившегося нажимать кнопки в интерфейсе скрипт-киддиса.

это я не применительно к кому-либо. это мой вгляд на российский рынок аудита и консалтинга in general...

сплошная профанация

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
какие конкретные действия у вас подразумеваются под "Аудитом на соответствие требованиям стандарта ISO 17799"

А какие могут быть серьезные документы в аудите в чисто рекомендательном стандарте? :) Вот в 27001 - там более менее ясно - описаны процедурные моменты. Кстати, обратите внимание, что сначала описывается работа якобы по 17799, а потом боком ли, обиняками ли - всплыват пресловутый британский стандарт, с котрого все это списывалось :) Но ведь 17799 и BS 7799 - это не одно и то же! Только с появлением 27001 появлся нормативный аналог британского стандарта. Потому сейчас указывают два - а ранее давали ссылочку на BS

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Серьезные документы могут быть вполне. Все упирается в ответственность исполнителя. И в требования заказчика.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

в чисто рекомендательном? а в чем тогда состоит аудит? :) когда не описаны основные процедуры? Иль все же по британскому шли? Тогда нет вопросов. Практика показала, что в рекомендациях по 17799 везде торчат уши BS. Юридически - нарушение, поскольку документы разные и разного уровня применимости

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мальцев Тимофей

По ссылке говориться

Комплексный аудит информационной безопасности включает оценку соответствия требованиям отечественных и Международных стандартов

Международные стандарты это как я понял 17799, 7799, 27001. Интересуют именно Российские стандарты. Может кто-то занимался этим вопросом, и проводил аудит антивирусной безопасности предприятия, поделитесь опытом, буду очень признателен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Тема об аудите вирусной безопасности. В 27001 есть раздел посвященный вирусной безопасности. 17799 был принят в Росии как Гост Р ИСО 17799

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

alexgr, ходить можно по чему угодно. :)

Я, как обычно, выскажу свою точку зрения.

Изначально аудит (в широком смысле этого слова) к стандартам не привязан. И цель у него несколько другая - определить возможные дыры и, самое главное, риски предприятия. Понятие матрицы рисков вполне общеизвестно и не особо привязано к определенному стандарту, правда?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr, ходить можно по чему угодно.

Можно тогда и вовсе не ходить. Аудит не может быть не привязанным ни к чему. Иначе возникает вопрос - а что есть матрица рисков, откуда она выпала? Что такое риски? Какие они? Чем отличны угрозы от рисков и т.д. А аудит, кроме всего, заканчивается неким актом с рекомендациями. По рекомендательному стандарту? Как то тавтологию здорово напоминает - рекомендуем по рекомендательному стандарту, проверяем с помощью вопросника

... к конечном итоге все сводится к банальному pen-тесту, проведенному при помощи nmap и xspider на уровне научившегося нажимать кнопки в интерфейсе скрипт-киддиса.

это я не применительно к кому-либо. это мой вгляд на российский рынок аудита и консалтинга in general...

сплошная профанация

именно в этом плане +1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Аудит не может быть не привязанным ни к чему. Иначе возникает вопрос - а что есть матрица рисков, откуда она выпала? Что такое риски? Какие они? Чем отличны угрозы от рисков и т.д. А аудит, кроме всего, заканчивается неким актом с рекомендациями.

Начнём с конца:

Для начала, Вам надо решить для себя (внутри Компании, сегмента, области деятельности, внутри бизнес-процесса), какие последствия могут быть при заражении различными вредоносами (различными вирусами).

Увидели? Промоделировали?

Получили список Вредоносов, распределенный по различным признакам и действиям

Получили?

Теперь рассмотрите функционирование каждого вредоноса по отдельности в Вашей системе.

Пример:

Вредонос - троянский конь (вор информации)

Попадание в Компанию - Интернет, e-mail, устройства i/o

Контр меры на данном этапе - Антивирус на шлюзах, Антивирус на рабочей станции. Запрет работы i/o устройств. Мультивендорный подход

Инсталляция - на рабочей станции под управлением Windows

Контр меры - запрещено работать с привилегиями администратора, имеется система контролирующая запуск исполняемых файлов с белым списком

Функционирование - на рабочей станции открывает локальный TCP порт, начинает сканировать локальный диск на предмет наличия каких-либо файлов, пытается что-то куда то отослать.

Контр меры - локальный файрвол блокирует открытие портов, все секретные данные хранятся в зашифрованных областях, к данным областям имеют право обращаться только конкретные приложения. Файрвол на периметре отслеживает и блокирует все несанкционированные исходящие сообщения.

Список доступных ресурсов сети интернет ограничен (по СПИСКУ)

Доступы на SMTP с авторизацией

Рассмотрели?

После подобного анализа Вы получите огромный список рекомендаций -- чего Вам надо поставить, внедрить рассмотреть.. Какие мероприятия провести технические или организационные..

Вы определите угрозы и уязвимости..и увидите риски, определили контр меры. После внедрения контр мер можно ещё раз посмотреть на угрозы и так далее..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Начнём с конца:

Для начала, Вам надо решить для себя (внутри Компании, сегмента, области деятельности, внутри бизнес-процесса), какие последствия могут быть при заражении различными вредоносами (различными вирусами).

для меня в целом это не нужно - я знаком с методологией! Полемика идет по другому поводу - из топика - как быть со стандартами? ИСО Р 15408, ИСО Р 17799, ИСО Р 27001 - их применимость для аудита антивирусной безопасности как конкретной сферы безопасности, какие еще подзаконные акты нужны для этого

А тут как раз национальная система подзаконных актов вступает в силу - уровни гарантий, класс системы м т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ИМХО, broker схематично и понятно ответил на вопрос топик-стартера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Схематично - это да, а для предприятий во время аудита важно знать, на какой уровень гарантий все это рассчитывается. Иначе - так показывает практика - все уйдет на уровень профанации и будет сведено к программно - техническим мерам. А этого - из практики - недостаточно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
уровень гарантий

я так понимаю имеется ввиду понятие остаточный риск.

Остаточный риск Вы должны каким-либо образом определить и начать им управлять.

все уйдет на уровень профанации

не совсем понятен смысл

будет сведено к программно - техническим мерам

по любимому стандарту ISO 27001 все политики по ИБ должны быть превентивными.

А этого - из практики - недостаточно

никто не спорит, но поверьте.. правильные технические мероприятия - лучше всяких организационных. А в данном случае технические меры являются основными.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

С этим нельзя не согласиться, но - возвращаясь к запросу - я просто попытался дополнить ответ вопрошаещему, как необходимый раздел -оргмеры

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1. Начнем с того, что речь должна идти не только о вредоносах. Есть и другие воздействия. :)

2. Безусловно, любая стандартизация лучше, чем ее отсутствие, но, если говорить о топике, то все-таки аудит можно делать и без стандарта. А вот внедрение политик безопасности в случае серьезных организаций - это да, тут уж надо использовать все рычаги.

3. В случае гарантий мы говорим, скорее всего, о пониженных вероятностях сбоев в том или ином случае, но не о стопроцентной гарантии навсегда.

4. А оргмеры - нужны в обязательном порядке. куда ж без них...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Наверно есть необходимость задаться вопросом:

есть ли статистика: какие угрозы бизнес-процессам наиболее часто реализоваываются при помощи вредоносов?

Есть ли хоть какие-нибудь исследования, по поводу того сколько утечек информации было связано именно с вредоносами?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Wenderoy
      Обновляю: https://mega.nz/#!0FYBnRzT!Kh8GaRMVOzm99QJZX0NsDD51vDaFzPI-Vil02kw53rQ
    • Sergey22101979s
      Площадку надо свою делать и развивать её. А потом продавать места на ней. И не важно какую площадку - сайт, группу в соцсети, или что-то тому подобное.
    • homeobed
      На дому за копейки работать - дело нехитрое) Вот чтобы зарабатывать приличные деньги, на одних комментариях далеко не уедешь)
    • Mike
      Вышел McAfee VirusScan Enterprise 8.8.0 Patch 10  
    • Wenderoy
      Да, лучше удалить. Но это, разумеется, решает администрация... Я никакой не тролль, ANDYBOND прекрасно это понимает, просто именно с ним был разлад безо всякой причины, подробности приводить не буду, но теперь он старается как можно больше "навредить" мне. Собственно, вот отзывы про PS - https://www.mywot.com/ru/scorecard/provisionsecurity.ru Думаю, комментарии будут излишними. Есть очень много свидетелей, которых "примерная" администрация Provisionsecurity даже "поливала" нецензурной лексикой, у меня есть все скриншоты и т. д. И после всего этого надо подумать, а стоит ли верить таким людям? Это я в качестве отступления. Главное - то, что я устал здесь распинаться, тратя свое личное время, что идет только на руку уже упомянутым участниками форума. Все, что мне надо было доказать, я доказал, пользователи моего приложения знают и понимают мои цели и стремления, я ни от кого ничего не скрываю. Поэтому программу уже используют многие, а это значит, что дело поставлено на рельсы. Самое смешное, что на каждый мой аргумент, который я не поленился снабдить всей необходимой информацией в форме ссылок, скриншотов, записей, копий писем, сообщений лабораторий etc, в ответ мне летят одни и те же фразы: "мошенник", "вирусописатель", "тролль". Так кто же больше попадает под значение последнего слова? Просто упомяну еще пару вещей. Когда я объяснял, почему продукт детектит пустой файл, все равно меня никто не слышал. Каким же, интересно, образом мне следует растолковать это? Были приведены доказательства, что я часть баз собираю с ресурса VirusShare (благо, имеются очень хорошие источники самой разнообразной информации), где AVP в свое время почему-то пометил файл как Trojan... (где-то на предыдущих страницах все чрезвычайно подробно описано). Так вот, копируя MD5, в комплект попала и хеш-сумма пустого файла, вследствие чего как бы Вы его ни переименовывали, все рано будет сработка продукта (кстати, ее уже нет). Далее. Насчет "мошенник" и "вирусописатель". Если зимние переписки (не просто отчетов автоматического анализа лабораторий) с вирусным аналитиком McAfee ни о чем Вам не говорят, это, как говорится, не мои проблемы. Другие вендоры, да практически все (даже популярные Avast, Qihoo и др.) устанавливаются втихомолку вместе с другим ПО (DRP Solutions, различные дополнения для монетизации в пакеты дистрибутивов), но их Вы почему-то "вирусописателями"  не называете. И последнее. Насчет "мошенник". Я никого не принуждаю устанавливать KAR, каждый делает это добровольно. Лицензионное соглашение и Privacy Statment присутствуют на сайте, там все четко и ясно описано. На сервер высылаются исключительно анонимные отчеты, как и в любых других разработках аналогичного типа, не более того.  Kuranin Anti-Ransomware распространяется абсолютно бесплатно, никакой рекламы ни в продукте, ни даже на сайте, т. к. это мое хобби. Поэтому здесь не вижу ничего, связанного с мошенничеством. Это очень краткое обобщение, все мои подробные ночные отписки на однотипные бессмысленные сообщения можно посмотреть, листая предыдущие ни много ни мало двенадцать страниц. @VMS, радует, что еще есть адекватные люди, которые умеют слушать. Да, к сожалению, это не те времена, когда жизнь кипела в каждом уголке Anti-Malware и других подобных форумов. Обидно, что перевились разработчики-добровольцы, которые были очень активны в 2004-2014 годах. Сейчас в основном крупные компании все вытеснили, да есть те, кто просто сдался (Александр Калинин, его судьба мне не известна, но смею предположить, что он воплотил свое хобби в жизнь; Kerish, который, правда, стал чрезвычайно полезной утилитой Kerish Doctor, а ведь совсем немногие знают прошлое этого творения; ScreamAV, бесплатныq антивирус то ли из Индонезии, то ли с Филиппин; путем долгого анализа удалось выяснить, что создатели данного антивируса примкнули к проекту SmadAV;  SMK антивирус, когда-то известный в узких кругах; "Зоркий глаз" Петелина Александра;  AWS Core, приостановивший свое развитие и т. п.) Вообще обожаю древние сайты, особенно варианты на narod.ru и им подобные, пропахшие стариной и историей. Очень приятные ощущения, как будто бы открыл давно забытую, но вновь найденную на чердаке книгу с пожелтевшими от времени листами.  А еще очень много полезных ресурсов, которых уже нет, но они сохранились в "архиве". Все это "богатство" сложно отыскать, но зато там есть чрезвычайно много полезной информации... Вот, кстати, один из примеров: https://web.archive.org/web/20040905203536/http://www.winchanger.narod.ru:80/ Или https://web.archive.org/web/20070624081145/http://winchanger.whatis.ru:80/ Как бонус прилагаю собственную коллекцию малоизвестных продуктов любителей информационной безопасности, среди них, кстати, все вышеупомянутые образцы! https://mega.nz/#!tZBkkCKa!0WzfYt4A1zK4aCvVLtu3FLt7pfPIp7wWtyPIr9c-cbo Может, кому пригодится...