Audyt bezpieczeństwa teleinformatycznego to przegląd i ocena polityki zabezpieczeń systemu informatycznego funkcjonującego w przedsiębiorstwie, oraz wskazanie rozwiązań. Zapewnienie właściwego poziomu bezpieczeństwa systemów komputerowych zawsze było zadaniem trudnym, lecz dziś jest to już znaczący problem, bo konsekwencje złego ich zabezpieczenia mogą być wręcz niewymierne.

Dawno skończyły się czasy, kiedy trzeba było posiadać dużą wiedzę i spore możliwości sprzętowe, aby włamać do systemu informatycznego. W XXI wieku każdy haker-nastolatek jest w stanie znaleźć w sieci "dziurę" i zostawić po sobie mniej lub bardziej dotkliwy ślad włamania. A im bardziej skomplikowane są dzisiejsze systemy informatyczne, tym więcej sposobów na złamanie ich zabezpieczeń.

Zapoznając się z rodzajami zagrożeń płynącymi z sieci globalnej nie należy zapominać, że odrębny problem stanowią zagrożenia pochodzące z wewnątrz firmy. Te "lokalne" zagrożenia generują pracownicy firmy. Dlatego też tak ważnym elementem polityki bezpieczeństwa w każdej firmie powinny być jasno sprecyzowane zasady korzystania z sieci i szkolenia z zakresu ochrony informacji.

Audyt bezpieczeństwa polega na:

• Praktycznym sprawdzeniu poziomu bezpieczeństwa w organizacji
• Identyfikacji słabych punktów w użytkowanych systemach i urządzeniach
• Weryfikacji ochrony danych osobowych zgodnie z ustawą o ochronie danych osobowych z dnia 29 sierpnia 1997 (Dz. U. Nr 133, poz. 883).
• Analizie potrzeb w zakresie zabezpieczenia systemu
• Dostarczeniu informacji odnośnie przestrzegania norm i procedur bezpieczeństwa
• Zbadaniu zgodności konfiguracji systemów z założeniami polityki bezpieczeństwa firmy (jeśli taką politykę dana firma posiada)
• Określeniu, jakie obszary systemu i jakie dane wymagają ochrony
• Zapewnieniu wszelkich niezbędnych usług konsultingowo-doradczych w zakresie wdrożenia skutecznych systemów bezpieczeństwa.

Podstawowe korzyści z przeprowadzenia audytu bezpieczeństwa:

• Uzyskanie opinii niezależnego audytora na temat poziomu realizowanej polityki bezpieczeństwa
• Ograniczenie ryzyka odpowiedzialności karnej za umyślne lub nieumyślne ujawnienie danych osobowych podlegających ochronie
• Doradztwo w zakresie usprawnień polityki bezpieczeństwa
• Przygotowanie organizacji do spełnienia wymogów zarządzania bezpieczeństwem informacji w oparciu o normę PN-ISO/IEC-17799
• Wiarygodność dla kontrahentów
• Audyt będzie wykonany zgodnie z wybranymi wytycznymi normy PN-ISO/IEC-17799.

Elementy składające się na audyt bezpieczeństwa:

• Sprawdzenie wpływu "czynnika ludzkiego" na systemy informatyczne
• Szczegółowe testy bezpieczeństwa sprzętu sieciowego
• Analiza budowy i funkcjonowania sieci komputerowej
  - przebadanie jej architektury pod kątem bezpieczeństwa
  - analiza zastosowanych aktywnych urządzeń sieciowych, takich jak: huby, switche, routery
  - test poprawności ich konfiguracji oraz poziomu bezpieczeństwa
  - przeprowadzenie ataku typu "sniffing"
  
  
• Testowanie systemu firewall
  Test ten obejmuje następujące elementy:
- analizę konfiguracji systemu zabezpieczeń firewall
- szczegółowe skanowanie usług udostępnianych przez chronioną sieć
- próby ominięcia lub destabilizacji systemu firewall
- wykorzystanie błędów implementacji protokołów sieciowych celem uzyskania dostępu do chronionej sieci
- wykorzystanie błędów konfiguracyjnych celem uzyskania dostępu do chronionej sieci


• Nasłuchiwanie na portach
  Test ten obejmuje następujące elementy:
  
  - określenie wszystkich udostępnianych usług pracujących w protokołach TCP, UDP, ICMP
  - poszukiwanie śladów wcześniejszej działalności hackerów
  - poszukiwanie śladów pozostawionych furtek (backdoor)
  - określenie stopnia i rodzaju "zainteresowania" klientów sieci Internet adresacją publiczną firmy
  - wyszukanie aktywnych wirusów
  
  
• Test systemu obsługi poczty
  Test ten obejmuje następujące elementy:
  
  - analiza konfiguracji serwera pocztowego
  - wskazanie potencjalnych błędów mogących zagrażać bezpieczeństwu systemu
  - testy oprogramowania serwera pocztowego pod kątem możliwości uzyskania dostępu do serwera
  - testy oprogramowania serwera pocztowego pod kątem możliwości przejęcia kontroli nad serwerem
  - badanie stabilności systemu operacyjnego serwera
  - badanie stabilności oprogramowania MX
  - próbę penetracji sieci wewnętrznej z wykorzystaniem błędów w konfiguracji MTA (Mail Transport Agent)
  - próbę przeciążenia serwera pocztowego
  - test SPAM-u
  
  
• Wyszukanie alternatywnych dróg do systemu
  Test ten obejmuje następujące elementy:
  
  - skanowanie numerów telefonicznych w poszukiwaniu modemów
  - analiza logów i informacji znajdujących się w Internecie w celu wykrycia śladów działalności pracowników
  
  
• Ocena prawidłowości konfiguracji
  
  - wyszukanie wszelkich nieprawidłowości w konfiguracji systemów informatycznych odpowiedzialnych bezpośrednio i pośrednio za bezpieczeństwo punktu styku sieci LAN z Internetem
  - test poprawności konfiguracji routera
  - atak typu „spoofing”
  
  
• Kontrola procedur firmowych
• Próba bezpieczeństwa serwera WWW
  
  - testy bezpieczeństwa oprogramowania obsługującego WWW pod kątem możliwości modyfikacji informacji lub zdobycia poufnych danych
  - testy bezpieczeństwa zainstalowanych komponentów dynamicznych (skrypty, SSI/ASP/PHP/SGL/CGI)
  - próbę penetracji sieci wewnętrznej z wykorzystaniem błędów w konfiguracji serwera Proxy
  
  
• Kontrolowana próba wtargnięcia do sieci LAN
  
  - próbę dotarcia do zasobów sieci LAN przy wykorzystaniu wszystkich dostępnych technik ataków (z wyłączeniem inżynierii społecznej)
  - pozostawienie śladu z ingerencji w sieci lokalnej
  - dokładne sprecyzowanie zasobów, do których można uzyskać nieautoryzowany dostęp
  
  
• Test inżynierii społecznej
  
  - próbę pozyskania poufnych informacji (np. o strukturze sieci, hasłach dostępowych, funkcjonowaniu firmy itp.) od pracowników firmy
  - próbę wprowadzenia do wnętrza sieci komputerowej oprogramowania typu koń trojański z wykorzystaniem naiwności użytkowników stacji roboczych
  - zastosowanie wiedzy o strukturze firmy i sieci w celu wykorzystania błędów m.in. w oprogramowaniu do czytania poczty w celu uzyskania dostępu do komputerów pracowników
  - zastosowanie wiedzy o strukturze firmy i sieci w celu wykorzystania błędów oprogramowania do przeglądania stron WWW w celu uzyskania dostępu do komputerów pracowników