Аудит системы
 

привет всем.
шеф озадачил, говорит, проведи аудит безопасности, нашей сети.
понятно, патчи ставлю на машины, антивирусы обновляю, немного подтюниваю машины.
а каким образом сделать аудит безопасности? есть какая то стандартная процедура, или инструменты для этого?
Гуру, подскажите плз... :idontnow:

Ээээ... Инструменты есть, но бесплатных среди них... Крайне мало...
Сначала нужно произвести assessment - оценку. То есть инвентаризация и классификация ресурсов (выч. техники, информации и т.д.). Потом построение модели нарушителя. То есть кто, как, с какой целью и с какой вероятностью будет ломать сеть.
Потом начинается собственно аудит. По большому счету стандартный аудит оценивает насколько система построена по какому-то стандарту. В области ИБ обычно это стандарт ISO 17799.
Плюс к этому можно проверить на взломоустойчивость путем проведения образцово-показательного взлома.
Из документации можно почитать MOF/ITIL - там что-то может быть из методологии и, разумеется, разнообразную учебную литературу. Например по экзамену CISA.

спасибо за ответ, сейчас скачал xspider, думаю им просканирую..
все оказалось не так просто...

Может, посоветуешь какие то курсы?

Все-таки хотелось бы понять цель аудита. И цель курсов тоже. Безопасность - она такая разная. Есть для менеджеров, есть для практиков, есть для аудиторов, есть для кодеров... В обещем - очень разная тема. Я вот микрософтовскую сертификацию по безопасности имею уже, а двигаться пока буду в сторону CISSP. То есть практик + manager. Кому-то интереснее CISM, кому-то CISA, кому-то и вообще CompTIA+. В-общем - определяйтесь. И помните, что перечисленное мной - всего лишь сертификации, подтверждающие знания в определенной области, а не цель для достижения =)

цель аудита - выявление возможных уязвимостей сети. боится хака, видимо...
цель курсов - знать и владеть инструментами аудита, знать саму методологию..
а что дает микрософтовская сертификация?
существуют ли курсы, которые позволяют сертифицировать предприятие, по стандарту 17799?

Присоединяюсь к вышесказанному. Самый простой (но в то же время самый дорогой) вариант - это пригласить экспертов из специализированных фирм. Они оценят внутреннюю инфраструктуру, риски и т.д. Выдадут рекомендации. Самому если возиться (хотя это тоже зависит прежде всего от сложности сети) - ..опа. Но интересно :) А вообще можно посмотреть здесь например : _ttp://www.dsec.ru/products/grif/

Сертификат, который ты получишь, после экзамена, всего лишь подтверждает твои знания. К примеру, когда ищешь работу. Знаний сама бумажка тебе не прибавит

Собственно, она даже знания не подтверждает. Она подтверждает только сдачу экзамена, то есть то, что ты должен нечто уметь. В случае с моим сертификатом считается, что я должен уметь проектировать системы безопасности на базе продуктов MS =)
Знаний добавит подготовка к экзамену, если, конечно, нормально к ниему готовиться =)

Слушай, а проектировать системы безопасности на их базе - насколько это полезно, нужно, вообще - это стоящая вещь?

Хмммм.... Ну мне нравится, хотя пока реального опыта мало. Проблема в том, что проектировать только на базе MS не получается - все равно приходится решения третьих фирм применять. Хотя с каждым годом делать это все проще и проще. Вот уже и антивирусы есть от MS. FireWall - давно есть...