В начале проведения теста аудитор не располагает информацией о внутреннем устройстве тестируемой системы и не имеет к ней прав доступа. Она представляется ему «черным ящиком». Сбор информации о системе осуществляется через воздействие на вход системы и фиксацию результатов воздействия на ее выходе. Этот метод помогает выявить неизвестные уязвимости, но он не гарантирует, что все возможные уязвимости будут найдены и протестированы. ВАРИАНТ «БЕЛЫЙ ЯЩИК» Владелец системы предварительно предоставляет аудитору информацию о внутреннем устройстве системы и права доступа к необходимым для тестирования ресурсам. Далее тест проводится исходя из этой информации. Этот метод гарантирует, что все возможные векторы атаки будут протестированы. ВАРИАНТ «СЕРЫЙ ЯЩИК» Серый ящик является комбинацией двух методов, описанных выше. В случае проведения теста по варианту «Серый ящик», владелец системы может сообщить аудитору часть информации и(или) частично дать доступ к ресурсам системы.
Шаг 1 – Приоритезация действий На основе уровней риска ,полученных в рез-те оценки рисков (отчет за основу) – приоритезируем дальнейшие действия. При выделении ресурсов для уменьшения рисков наивысший приоритет дается рискам с неприемлемо высокими рейтингами (т.е. очень высокими (критическими) и высокими уровнями). Эти пары уязвимостей и угроз требуют немедленных коррективных действий для защиты информации банка и его функционирования. Результат – Рейтинг действий от высокого приоритета к низкому Шаг 2 – Оценка рекомендованных мероприятий по защите информации Мероприятия, рекомендованные в отчете по рискам могут не соответствовать параметрам или режимам работы отдельных ИТ систем или функциональных подразделений. На данном этапе анализируется осуществимость (совместимость и испытания реальными пользователями), а также эффективность (степень защиты и уменьшения риска) рекомендованных мероприятий. Результат – Список осуществимых мероприятий Шаг 3 – Анализ затрат и выгод Для оказания помощи менеджерам в процессе принятия ими решений и с целью идентификации экономически эффективных мероприятий проводится анализ затрат и выгод. (более детально об этом в Модуле 3)
Поддержка - главные мероприятия безопасности и лежат в основе большинства видов деятельности в области информационной безопасности. Превентивные – фокусируются на предотвращении использования брешей в безопасности. Обнаружение и восстановление – мероприятия, которые относятся к обнаружению брешей в системах безопасности и на восстановлении систем до обороноспособного уровня.