+7(499)-938-42-58 Москва
+7(800)-333-37-98 Горячая линия

Аудит информационных систем. Угрозы информационной безопасности. Информационные технологии

Аудит информационной безопасности | Интегратор Amica

Аудит информационных систем. Угрозы информационной безопасности. Информационные технологии

Аудит представляет собой независимую экспертизу отдельных областей функционирования организации. Аудит бывает внешний и внутренний.

Внешний аудит – это, как правило, разовое мероприятие, которое проводится по инициативе руководства, или акционеров. Для многих финансовых компаний внешний аудит является обязательным требованием.

Внутренний аудит – это непрерывная деятельность, которая осуществляется подразделением внутреннего аудита в соответствии с “Положением о внутреннем аудите” и утверждается руководством компании.

Аудит IT безопасности является одной из составляющих IT аудита.

Цели проведения аудита IT безопасности:

  • Анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов информационной сети (ИС).
  • Оценка текущего уровня защищенности ИС.
  • Локализация узких мест в системе защиты ИС.
  • Оценка соответствия ИС существующим стандартам в области IT безопасности.
  • Выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.

Когда возникает необходимость проведения аудита ИБ:

  • При изменении стратегии развития компании
  • При слиянии, присоединении, или поглощении компании.
  • При смене курса управления компанией, изменениях в организационной структуре, или смене руководства.
  • При появлении новых внутренних, или внешних требований (например, при изменении законодательства, или международного стандарта)
  • При значительных изменениях в бизнес-процессах.
  • При значительном расширении компании
  • При значительных изменениях в IT-инфраструктуре компании.

Сегодня, аудит информационной безопасности можно разделить на 2 класса:

  • Экспертный аудит информационной безопасности

В ходе данного аудита выявляются недостатки в существующей системе защиты информации, основанные на опыте экспертов, которые проводят аудит.

Основная цель данного вида аудита – оценка состояния безопасности информационной системы и разработка рекомендаций по внедрению комплекса организационных мер и программно-аппаратных средств для повышения защиты ресурсов ИС компании.

  • Аудит информационной безопасности на соответствие международным стандартам

В ходе данного аудита определяется степень соответствия существующей информационной системы международному стандарту с возможностью прохождения сертификации.

Нужно помнить, что объектом аудита не обязательно выступает вся информационная система компании. Объектом аудита может выступать отдельный сегмент, в котором осуществляется обработка информации, подлежащая защите.

Основные задачи аудита:

  • Сбор и анализ исходных данных об организационной и функциональной структуре ИС компании.
  • Анализ существующих политик и процедур обеспечения информационной безопасности
  • Анализ существующих рисков
  • Формирование рекомендаций по разработке/доработке политик и процедур ИБ на основании анализа существующего уровня ИБ.
  • Формирование предложения по использованию существующих и установке дополнительных средств защиты, для повышения уровня надежности и безопасности ИС компании.
  • Постановка задач, касающихся обеспечения защиты информации, для IT специалистов компании
  • Участие в обучении пользователей и обслуживающего персонала ИС информационной безопасности
  • Участие в разборе инцидентов, связанных с нарушением ИБ

Этапы проведения аудита ИБ:

  • Инициирование процедуры аудита
  • Сбор информации аудита
  • Анализ данных аудита
  • Выработка рекомендаций
  • Подготовка аудиторского отчета

Инициирование процедуры аудита

Инициатором аудита является руководство компании, которое в данном вопросе является основной заинтересованной стороной. Поддержка руководства компании является необходимым условием для проведения аудита.

Поскольку аудит – это комплекс мероприятий, в котором задействован не только аудитор, но и представители большинства структурных подразделений компании, все участники данного процесса должны быть скоординированы.

Исходя из этого, на этапе инициирования аудита должны быть решены след. организационные вопросы:

  • Права и обязанности аудитора должны быть четко определены и документально закреплены.
  • Аудитор должен подготовить и согласовать с руководством компании план проведения аудита
  • Документально должно быть закреплено что сотрудники компании обязаны оказывать содействие аудитору и предоставлять всю необходимую ему информацию.

Так же, на данном этапе должны быть определены границы проведения аудита. Одни подсистемы могут не являться критичными и их можно исключить, а другие подсистемы могут оказаться недоступными из-за соображения конфиденциальности.

Границы аудита определяются след. понятиями:

  • Список обследуемых физических, программных и информационных ресурсов
  • Площадки (помещения)
  • Основные рассматриваемые виды угроз безопасности
  • Организационные, физические и программно-технические аспекты обеспечения безопасности.

Сбор информации аудита

Данный этап является наиболее сложным и длительным. Обычно это связано с отсутствием необходимой документации и плотного взаимодействия со многими должностными лицами компании.

Получение информации осуществляется в ходе специально организованных интервью с ответственными лицами, изучения технической и организационной документации и исследования информационной системы с помощью специализированного ПО.

Какая информация необходима аудитору для анализа?

  • Схема организационной структуры пользователей
  • Схема организационной структуры обслуживающих подразделений
  • Кто является владельцем информации
  • Кто является пользователем информации
  • Кто является провайдером услуг
  • Какие услуги и каким образом предоставляются конечным пользователям
  • Какие основные виды приложений используются в ИС
  • Количество и виды пользователей, использующих данные приложения.

Так же, очень полезным будут функциональные схемы, описание автоматизированных функций, описание основных технических решений, другая проектная и рабочая документация на ИС.

Наиболее требуемой является информация о структуре ИС, в связи с чем понадобятся ответы на такие вопросы, как:

  • Из каких компонентов (подсистем) состоит ИС
  • Функциональность отдельных компонентов
  • Где проходят границы системы
  • Какие точки входа имеются
  • Как ИС взаимодействует с другими системами
  • Какие каналы связи используются для взаимодействия с другими ИС
  • Какие каналы связи используются для взаимодействия между компонентами системы
  • По каким протоколам осуществляется взаимодействие
  • Какие программно-аппаратные средства используются при построении системы

Анализ данных аудита

В данном случае есть 3 подхода.

Первый подход, самый сложный, базируется на анализе рисков. Аудитор опираясь на методы анализа рисков, определяет индивидуальный набор требований безопасности, в наибольшей степени учитывающий особенности среды и существующие в ней угрозы. Данный подход является наиболее трудоемким.

Второй подход, самый практичный, опирается на международные стандарты. Стандарты определяют базовый набор требований информационной безопасности для широкого класса ИС.

Данный подход является самым распространенным и наименее затратным (набор требований уже прописан стандартом, инструкции по проверке тоже уже есть).

Третий подход, наиболее эффективный, предполагает комбинирование первых двух подходов.

В чем состоит анализ рисков?

Анализ рисков состоит в том, чтобы выявить существующие риски и оценить их величину (дать им качественную, либо количественную оценку). Процесс анализа рисков можно разделить на несколько последовательных этапов:

  • Идентификация ключевых ресурсов ИС;
  • Определение важности тех или иных ресурсов для организации;
  • Идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз;
  • Вычисление рисков, связанных с осуществлением угроз безопасности. Ресурсы ИС можно разделить на следующие категории:
  • Информационные ресурсы;
  • Программное обеспечение;
  • Технические средства (серверы, рабочие станции, активное сетевое оборудование и т. п.);
  • Человеческие ресурсы.

В каждой категории ресурсы делятся на классы и подклассы. Необходимо идентифицировать только те ресурсы, которые определяют функциональность ИС и существенны с точки зрения обеспечения безопасности.

Важность (или стоимость) ресурса определяется величиной ущерба, наносимого в случае нарушения конфиденциальности, целостности или доступности этого ресурса. Обычно рассматриваются следующие виды ущерба:

  • Данные были раскрыты, изменены, удалены или стали недоступны;
  • Аппаратура была повреждена или разрушена;
  • Нарушена целостность программного обеспечения.

Ущерб может быть нанесен организации в результате успешного осуществления следующих видов угроз безопасности:

  • локальные и удаленные атаки на ресурсы ИС;
  • стихийные бедствия;
  • ошибки, либо умышленные действия персонала ИС;
  • сбои в работе ИС, вызванные ошибками в программном обеспечении или неисправностями аппаратуры.

 Величина риска определяется на основе стоимости ресурса, вероятности осуществления угрозы и величины уязвимости по следующей формуле:

Риск = (стоимость ресурса * вероятность угрозы) / величина уязвимости

 Задача управления рисками заключается в выборе обоснованного набора контрмер, позволяющих снизить уровни рисков до приемлемой величины.

Методы анализа рисков

Обычно аудиторы выполняют следующие группы задач:

  • Анализ ресурсов ИС, включая информационные ресурсы, программные и технические средства, а также людские ресурсы.
  • Анализ групп задач, решаемых системой, и бизнес процессов.
  • Построение (неформальной) модели ресурсов ИС, определяющей взаимосвязи между информационными, программными, техническими и людскими ресурсами, их взаимное расположение и способы взаимодействия.
  • Оценка критичности информационных ресурсов, а также программных и технических средств.
  • Определение критичности ресурсов с учетом их взаимозависимостей
  • Определение наиболее вероятных угроз безопасности в отношении ресурсов ИС и уязвимостей защиты, делающих возможным осуществление этих угроз.
  • Оценка вероятности осуществления угроз, величины уязвимостей и ущерба, наносимого организации в случае успешного осуществления угроз.
  • Определение величины рисков для каждой тройки: угроза группа ресурсов — уязвимость.

Оценка рисков может даваться с использованием различных как качественных, так и количественных шкал. Главное, чтобы существующие риски были правильно идентифицированы и проранжированы в соответствии со степенью их критичности для организации. На основе такого анализа может быть разработана система первоочередных мероприятий по уменьшению величины рисков до приемлемого уровня.

Соответствие международным стандартам

В данном случае аудитор, полагаясь на свой опыт, оценивает применимость требований стандарта к обследуемой ИС и ее соответствие этим требованиям.

Данные о соответствии различных областей функционирования ИС требованиям стандарта, обычно, представляются в табличной форме. Из таблицы видно, какие требования безопасности в системе не реализованы.

Исходя из этого, делаются выводы о соответствии обследуемой ИС требованиям стандарта и даются рекомендации по реализации в системе механизмов безопасности, позволяющих обеспечить такое соответствие.

 Выработка рекомендаций

Рекомендации, выдаваемые аудитором по результатам анализа состояния ИС, определяются используемым подходом, особенностями обследуемой ИС, состоянием дел с информационной безопасностью и степенью детализации, используемой при проведении аудита.

В любом случае, рекомендации аудитора должны быть конкретными и применимыми к данной ИС, экономически обоснованными, аргументированными (подкрепленными результатами анализа) и отсортированными по степени важности. При этом мероприятия по обеспечению защиты организационного уровня практически всегда имеют приоритет над конкретными программно-техническими методами защиты.

В то же время, наивно ожидать от аудитора, в качестве результата проведения аудита, выдачи технического проекта подсистемы информационной безопасности, либо детальных рекомендаций по внедрению конкретных программно технических средств защиты информации. Это требует более детальной проработки конкретных вопросов организации защиты, хотя, внутренние аудиторы могут принимать в этих работах самое активное участие.

Отчетные документы

Аудиторский отчет является основным результатом проведения аудита. Его качество характеризует качество работы аудитора. Структура отчета может существенно различаться в зависимости от характера и целей проводимого аудита. Однако определенные разделы должны обязательно присутствовать в аудиторском отчете. Он должен, по крайней мере, содержать:

  • описание целей проведения аудита,
  • характеристику обследуемой ИС,
  • указание границ проведения аудита и используемых методов,
  • результаты анализа данных аудита,
  • выводы, обобщающие эти результаты и содержащие оценку уровня защищенности АС или соответствие ее требованиям стандартов,
  • и, конечно, рекомендации аудитора по устранению существующих недостатков и совершенствованию системы защиты.

Источник: https://amica.ua/information-security-audit/

Аудит информационной безопасности по-новому

Аудит информационных систем. Угрозы информационной безопасности. Информационные технологии

23.03.2006 Олег Седов

Еще недавно основным побудительным мотивом для аудита было внедрение ИТ-средств или проведение организационных мероприятий, способных повлиять на уровень информационной безопасности. За последние полтора года картина несколько изменилась.

Еще недавно основным побудительным мотивом для аудита было внедрение ИТ-средств или проведение организационных мероприятий, способных повлиять на уровень информационной безопасности. За последние полтора года картина несколько изменилась

Развитие информационных систем ведет к тому, что рано или поздно может обозначиться критический порог, когда система еще работает, но неизвестно, как себя проявит завтра при возникновении угрозы безопасности.

Попытаемся определить несколько путей эволюции информационных систем. Первый — простое масштабирование. Например, количество рабочих мест увеличивается, в то время как архитектура и набор используемых сервисов системы не меняются.

С точки зрения информационной безопасности система остается неизменной до тех пор, пока изначально заложенные механизмы защиты информации надежны. В частности, парольная защита, идеальная на небольшой системе, оказывается совершенно неэффективной, если число пользователей достигает тысячи.

Как правило, сумма учетных записей для доступа пользователей к различным подсистемам растет при этом нелинейно. Администрирование становится крайне затруднительно, поскольку администратор системы, по сути, теряет контроль над использованием учетных записей и идентификацией пользователей.

Очень важно вовремя распознать момент, когда информационная безопасность растущей системы окажется сниженной.

Обеспечить защиту системы в условиях простого масштабирования возможно. Так, в конце 90-х годов в сетевую архитектуру «МежПромБанка» были заложены принципы, позволяющие сегментировать корпоративную сеть по важности информации и разграничению прав доступа.

В результате, по словам Алексея Забродина, директора департамента информационно-технического обеспечения «МежПромБанка», разумно выбранная топология сети и сегодня дает возможность справляться с задачей масштабирования систем без существенных проблем.

Второй путь эволюции — оптимизация системы. В этом случае и число пользователей, и набор сервисов системы остаются прежними. Поскольку в системе произошли внутренние изменения, вполне возможно, что уровень ее защищенности тоже станет другим.

Необходимо исследовать, насколько сохраняют свою работоспособность в оптимизированной среде механизмы, работавшие в первоначальной системе, и проверить, в какой мере изменения в системе способствуют возникновению дополнительных уязвимостей.

Третий путь связан с появлением в системе новых сервисов. С каждым из них может быть связан свой набор уязвимостей. Необходимо оценить, насколько эти уязвимости «закрыты» имеющимися механизмами безопасности.

От теории к практике

«Введение новых сервисов — очень тяжелая проблема.

Руководство, которое ставит ИТ-службе новую бизнес-задачу, не всегда понимает, что потребуется не просто инсталляция какой-то системы, но и ее стыковка с другими решениями в соответствии с принципами развития и стандартами ИТ, принятыми на предприятии, — считает Забродин.

— Примеров тому много, в частности, документооборот. Мы разделили корпоративный документооборот на общий и специальные, которые доступны далеко не всем и реализованы в виде отдельных полностью сегментированных систем».

Руководство организации должно целиком полагаться на ИТ-специалистов. Но доверие руководства нужно заслужить, а для этого необходимо обеспечить максимальную прозрачность информационной системы.

По словам Забродина, в «МежПромБанке» никогда не скрывают от руководства информацию о каких-либо инцидентах. В их числе одна из внешних атак, направленная на отказ в обслуживании, в результате которой на почтовые серверы банка вместо 8-10 тыс.

писем в день неожиданно из разных частей света посыпалось в сто раз больше.

https://www.youtube.com/watch?v=WOs_rhF5g1M

Справедливости ради надо сказать, что подобная форма поведения ИТ-службы составляет скорее исключение, чем правило. И напротив, есть множество примеров, когда служба информационной безопасности существует как бы сама в себе.

«Руководители служб информационной безопасности нередко любят поиграть в секретность. Хотя под эти службы закладываются колоссальные бюджеты, которые полностью не вырабатываются.

Деятельность таких служб часто непрозрачна, а негативные последствия — очевидны», — полагает Алексей Забродин.

Когда эволюция системы развивается по первому из указанных путей, заказчик обычно сам обращается к стороннему аудиту информационной безопасности. Инициатива исходит со стороны системного администратора или иных эксплуатирующих структур. В этом случае характерны жалобы на проблемы с администрированием системы и желание использовать для таких целей более совершенные механизмы.

Вопрос о необходимости внешнего аудита после оптимизации системы напрямую зависит от того, насколько изменения затронули ключевые компоненты информационной безопасности. С точки зрения специалиста по безопасности, любая оптимизация системы — достаточное основание для анализа ее защищенности.

С позиции ИТ-специалиста, замена одних маршрутизаторов на другие или введение в эксплуатацию новых каналов связи, строго говоря, не является побудительным мотивом к аудиту безопасности системы.

Окончательное решение во многом будет зависеть от распределения ответственности между ИТ-службой и подразделением службы безопасности.

И, наконец, появление в системе новых сервисов требует поставить вопрос о влиянии изменений на уровень защиты информации параллельно с внедрением сервисов.

Нередки ситуации, когда существенными оказываются сразу несколько побудительных мотивов.

Например, в ноябре 2004 года в связи с переездом головного офиса компании «МегаФон» перед службой информационной безопасности поставили вопрос о модернизации ИТ-инфраструктуры.

Предполагалось, что в новом здании стиль и способы общения сотрудников «МегаФона» с коллегами, гостями и партнерами существенно изменятся. Соответствующим образом выстраивалась и ИТ-инфраструктура.

Возможность приема гостей и включение их в информационные потоки компании обязывало принять дополнительные меры по защите внутренних корпоративных информационных ресурсов.

Был проведен аудит подсистемы безопасности, который показал, что простой логический перенос топологии локальной сети из одного офиса в другой скрывает потенциальную угрозу проникновения злоумышленников во внутреннюю сеть.

Для предотвращения инцидентов была разработана концепция перехода на новый уровень организации внутренней сетевой инфраструктуры.

«Итогом проведенных работ явился простой и естественный для конечных пользователей переезд из старого здания в новое, — вспоминает Петр Прокофьев, специалист отдела информационно-вычислительных систем и сетей компании ?МегаФон?.

— В пятницу сотрудники выключили свои рабочие станции в старой сети, а в понедельник включили в новой. Прежняя функциональность полностью сохранилась, вместе с тем удалось избежать ущерба безопасности для защищаемых ресурсов».

Разумеется, за этой «простотой» скрывался целый комплекс заранее осуществленных работ.

На очередном этапе эволюции системы (сети офиса и ее компонентов) потребовались аудит информационной безопасности и проведение ряда мероприятий, направленных на модернизацию подсистемы.

Сторонними аудиторами выступили квалифицированные партнеры, что, по мнению Петра Прокофьева, позволило минимизировать затраты и в кратчайшие сроки реализовать систему.

От эпизодичности к постоянству

Приведенные примеры развития информационных систем свидетельствуют о том, что обращения к вопросам аудита информационной безопасности возникают, как правило, лишь по мере необходимости. Между тем, при современной динамике развития информационных систем все более актуальной становится задача постоянного аудита.

Первыми могут прочувствовать эту потребность компании, основная бизнес-деятельность которых во многом зависит от качества ИТ-поддержки. Прежде всего, к этой группе относятся телекоммуникационные компании.

Специфика их бизнеса требует, чтобы постоянно появлялись новые услуги и внедрялись решения, способные их реализовать.

Постоянный аудит актуален и для производственных компаний, демонстрирующих высокую динамику развития: они активно применяют электронные технологии для успешного ведения бизнеса, электронных торгов, работы с контрагентами на зарубежных рынках, где вопросам безопасности уделяется существенно больше внимания. Зависимость от ИТ велика в финансовых компаниях, но изменения в их системах, как правило, происходят реже, к тому же они тщательно продумываются и планируются, поэтому потребность в постоянном аудите информационной безопасности там не столь остра.

Строго говоря, мониторинг безопасности информационных систем могут выполнять и сами сотрудники компаний при помощи средств инструментального аудита. Подобных решений на рынке представлено немало, среди них CiscoWorks Security, Symantec Incident Manager, соответствующие решения от компании BMC и прочие.

По мнению директора центра информационной безопасности компании «Инфосистемы Джет» Ильи Трифаленкова, инструментальный аудит — лишь одна из составных частей обследования, возможно, не самая обременительная по трудозатратам и стоимости. Весьма существенной является задача аудита архитектуры системы.

Особенности «нового» аудита

Поскольку аудиту подвергают уже работающие системы, ИТ-руководству компании в определенной степени приходится нести ответственность за те решения, которые были реализованы ранее.

Действовать следует в рамках обеспечения изменений в области информационной безопасности, которые сопутствуют преобразованиям, происходящим в системе.

Желательно, чтобы решение принималось с учетом результатов предварительного обследования и учитывалось при проектировании модификаций в системе.

Эта задача требует участия опытного специалиста, который мог бы проанализировать логику работы системы, чтобы выяснить, насколько логика самой системы позволяет «обходить» средства безопасности.

Подготовка и проведение аудита информационной безопасности требуют принять во внимание как потенциальные угрозы, так и риски, иными словами нужно учитывать не только вероятность негативных акций, но и возможный ущерб. Одна из ключевых задач аудита — определить риски, актуальные сегодня, и назвать те, которые появились недавно и в рассмотрение ранее не брались.

К сожалению, даже самые современные методики не дают возможности количественно определить ущерб, нанесенный при реализации угрозы.

Не менее сложно дать и качественную оценку, применяя такие простые, на первый взгляд, показатели ущерба, как «маленький», «большой», «очень большой», «критичный».

Для точной оценки ущерба необходимо привлечь не только штатных и внешних специалистов в области ИТ и информационной безопасности, но прежде всего сотрудников профильных бизнес-подразделений.

Таким образом, реальный эффект сможет дать сложный вариант аудита, который достигается в процессе тесного взаимодействия самых разных специалистов как внутри компании, так и привлеченных со стороны.

Скрытый конфликт служб

Очевидно, что помимо взаимодействия внешних и штатных специалистов необходим плотный союз представителей ИТ-подразделения и сотрудников информационной безопасности. Но иногда в отношениях между этими службами наблюдаются конфликты.

По мнению Трифаленкова, такие противоречия возникают, как правило, в двух случаях. Во-первых, когда области их ответственности нечетко разделены.

В этом случае причиной разногласия оказывается некая сфера полномочий, на которую претендуют обе службы или, напротив, ни одна из них. Во-вторых, когда накопились исторические предпосылки для конфликта.

Например, если полномочия и ответственность за определенную область несколько раз передавалась из одной службы в другую, в результате чего граница интересов постепенно размылась.

Стоит признать, что внешний консультант обладает рядом преимуществ в решении подобных вопросов.

С одной стороны, он не ангажирован в отношении какой-либо из противоборствующих служб, а с другой — может разговаривать со специалистом по безопасности на его профессиональном языке, а с ИТ-специалистом использовать лексикон информационных технологий. Именно поэтому у него есть серьезные основания выступить посредником между заинтересованными сторонами.

Ближайшие перспективы

В условиях растущих темпов бизнеса становятся все более необходимыми проведение высокоуровневого аудита информационных систем, методов и средств безопасности, построение моделей оценки рисков.

Следует ожидать постепенного слияния аудита с процессом сопровождения системы и переход к аудиту на постоянной основе.

Высокоуровневый аудит становится командным видом ?спорта? , в основе которого – гармоничные конструктивные взаимоотношения между всеми заинтересованными сторонами.

Источник: https://www.osp.ru/cio/2006/03/379951/

Аудит информационных систем. Угрозы информационной безопасности. Информационные технологии

Аудит информационных систем. Угрозы информационной безопасности. Информационные технологии

Целями проведения аудита информационных систем (далее — ИС) являются:

  • Оценка текущего состояния обеспечения безопасности информации;
  • Определение требований по защите информации;
  • Выработка рекомендаций по внедрению дополнительных и повышению эффективности существующих организационных мер и программно-технических средств и методов защиты информации.

Аудит ИС позволяет принять обоснованные решения относительно использования мер защиты, адекватных с точки зрения соотношения их стоимости и негативных последствий при реализации угроз информационной безопасности (далее — ИБ).

Задачи, решаемые при проведении аудита

В число задач, решаемых при проведении аудита, входят:

  • Информационное обследование ИС (как объекта защиты), анализ организационной и функциональной структуры, используемых технологий автоматизированной обработки, хранения и передачи информации в ИС;
  • Оценка текущего уровня защищенности ИС, выявление значимых угроз информационной безопасности, основных путей их реализации (несанкционированных воздействий на подсистемы ИС и циркулирующую в них информацию);
  • Построение модели нарушителей и угроз информационной безопасности по отношению к ресурсам ИС;
  • Анализ существующей политики информационной безопасности на предмет ее полноты и актуальности и разработка рекомендаций по ее изменению на основании анализа существующего режима информационной безопасности;
  • Осуществление инструментального анализа и тестовых попыток несанкционированного доступа к критически важным ресурсам ИС, определение уязвимостей в настройках защиты данных ресурсов (инструментальное тестирование защищенности ИС);
  • Выработка рекомендаций по повышению уровня безопасности информационной системы, техническим решениям по обеспечению защиты информации при ее обработке, хранении и передаче по каналам связи ИС.

Типовой проект может включать следующие этапы:

  • Планирование проекта – определение границ проведения аудита и согласование объема выполняемых работ.
  • Сбор информации — получение актуальной и достоверной информации о текущем состоянии информационной безопасности.
  • Анализ текущего уровня защищенности — на данном этапе производится оценка текущих показателей защищенности основных ресурсов ИС (локальных сетей, серверов и рабочих станций, коммуникационного оборудования, каналов передачи данных и организационных процедур).
  • Анализ существующей политики информационной безопасности — на данном этапе производится анализ существующих организационно-распорядительных и регламентирующих документов по информационной безопасности.
  • Построение модели угроз и модели нарушителя — на данном этапе оценивается критичность ресурсов ИС, связанных с осуществлением угроз безопасности, которые могут нанести ущерб, а также разрабатывается модель угроз и модель нарушителя.
  • Инструментальный анализ защищенности – на данном этапе определяется возможность нарушения конфиденциальности, целостности и доступности информационных ресурсов внешними и внутренними нарушителями, с использованием уязвимостей в системном и прикладном программном обеспечении.
  • Разработка рекомендаций по применению комплекса организационных мер и программно-технических средств, способных повысить уровень информационной безопасности ИС и минимизировать существующие риски, связанные с осуществлением угроз информационной безопасности.

Результат работ

Результатами проведения работ являются основной «Отчет о проведении работ по аудиту» и «Презентация по результатам аудита ИС по требованиям ИБ».

Отчет содержит структурированные и детальные сведения об объекте защиты, необходимые для оценки текущего уровня защищенности ИС. На основании оценки текущего уровня защищенности выдаются рекомендации по повышению уровня информационной безопасности ИС и план-график работ по повышению уровня информационной безопасности.

Рекомендации и план-график работ включают в себя комплекс первоочередных мер (ряд технических и организационных мероприятий, реализация которых должна быть выполнена незамедлительно), а также технические и организационные мероприятия, реализация которых обеспечит требуемый уровень информационной безопасности ИС.

Презентация по результатам аудита ИС разрабатывается по материалам основного Отчета, содержит концентрированную информацию, характеризующую состояние дел по информационной безопасности на момент проведения аудита, основные угрозы и уязвимости, рекомендации по повышению уровня информационной безопасности ИС и предназначена для ознакомления высшего руководства с результатами проведенных работ.

Средняя продолжительность работ по проекту составляет 3 месяца.

Источник: http://iridis.su/uslugi-i-resheniya/uslugi-po-informatsionnoy-bezopasnosti/audit-po-trebovaniyam-informatsionnoy-bezopasnosti/

Аудит информационной безопасности (ИБ) представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области безопасности КС и вызывает постоянный интерес специалистов. Его основная задача — объективно оценить текущее состояние ИБ организации, а также ее адекватность поставленным целям и задачам бизнеса.

Под аудитом ИБ понимается системный процесс получения объективных качественных и количественных оценок текущего состояния ИБ организации в соответствии с определенными критериями и показателями на всех основных уровнях обеспечения безопасности: нормативно-методологическом,организационно-управленческом,процедурном ипрограммно-техническом
[19].

Результаты квалифицированно выполненного аудита ИБ организации позволяют построить оптимальную по эффективности и затратам систему обеспечения информационной безопасности (СОИБ), представляющую собой комплекс технических средств, а также процедурных, организационных и правовых мер, объединенных на основе модели управления ИБ.

В результате проведения аудита могут быть получены как качественные, так и количественные оценки.

При качественном оценивании, например, может быть приведен перечень уязвимостей в программно-аппаратномобеспечении с их классификацией по трехуровневой шкале опасности: высокая, средняя и низкая.

Количественные оценки чаще всего применяются при оценке риска для активов организации, создаваемого угрозами безопасности. В качестве количественных оценок могут выступать, например, цена риска, вероятность риска, размер риска и т. п.

Объективность аудита обеспечивается, в частности, тем, что оценка состояния ИБ производится специалистами на основе определенной методики, позволяющей объективно проанализировать все составляющие СОИБ.

Аудит ИБ может представлять собой услугу, которую предлагают специализированные фирмы, тем не менее в организации должен проводиться внутренний аудит ИБ, выполняемый, например, администраторами безопасности.

Традиционно выделяют три типа аудита ИБ, которые различаются перечнем анализируемых компонентов СОИБ и получаемыми результатами:

−активный аудит;

−экспертный аудит;

−аудит на соответствие стандартам ИБ.

199

Активный аудит представляет собой обследование состояния защищенности определенных подсистем информационной безопасности (ПИБ), относящихся к программно-техническомууровню. Например, вариант активного аудита, называемый тестом на проникновение (Penetration test), предполагает обследование подсистемы защиты сетевых взаимодействий. Активный аудит включает:

−анализ текущей архитектуры и настроек элементов ПИБ;

−интервьюирование ответственных и заинтересованных лиц;

−проведение инструментальных проверок, охватывающих определенные

ПИБ.

Анализ архитектуры и настроек элементов ПИБ проводится специалистами, обладающими знаниями по конкретным подсистемам, представленным

вобследуемой системе (например, могут требоваться специалисты по активному сетевому оборудованию фирмы Cisco или по ОС семейства Microsoft), а также системными аналитиками, которые выявляют возможные изъяны в организации подсистем. Результатом этого анализа является набор опросных листов и инструментальных тестов.

Опросные листы используются в процессе интервьюирования лиц, отвечающих за администрирование АИС, для получения субъективных характеристик АИС, для уточнения полученных исходных данных и для идентификации некоторых мер, реализованных в рамках СОИБ. Например, опросные листы могут включать вопросы, связанные с политикой смены и назначения паролей, жизненным циклом АИС и степенью критичности отдельных ее подсистем для АИС и бизнес-процессоворганизации в целом.

Параллельно с интервьюированием проводятся инструментальные проверки (тесты), которые могут включать следующие мероприятия:

−визуальный осмотр помещений, обследование системы контроля доступа в помещения;

−получение конфигураций и версий устройств и ПО;

−проверка соответствия реальных конфигураций предоставленным исходным данным;

−получение карты сети специализированным ПО;

−использование сканеров защищенности (как универсальных, так и специализированных);

−моделирование атак, использующих уязвимости системы;

−проверка наличия реакции на действия, выявляемые механизмами обнаружения и реагирования на атаки.

Аудитор может исходить из следующих моделей, описывающих степень его знания исследуемой АИС (модель знания):

−модель «черного ящика» – аудитор не обладает никакими априорными знаниями об исследуемой АИС. Например, при проведении внешнего актив-

200

ного аудита (то есть в ситуации, когда моделируются действия злоумышленника, находящегося вне исследуемой сети), аудитор может, зная только имя или IP-адресweb-сервера,пытаться найти уязвимости в его защите;

−модель «белого ящика» – аудитор обладает полным знанием о структуре исследуемой сети. Например, аудитор может обладать картами и диаграммами сегментов исследуемой сети, списками ОС и приложений.

Применение данной модели не в полной мере имитирует реальные действия злоумышленника, но позволяет, тем не менее, представить «худший» сценарий, когда атакующий обладает полным знанием о сети.

Кроме того, это позволяет построить сценарий активного аудита таким образом, чтобы инструментальные тесты имели минимальные последствия для АИС и не нарушали ее нормальной работы;

−модель «серого ящика» или «хрустального ящика» – аудитор имитирует действия внутреннего пользователя АИС, обладающего учетной записью доступа в сеть с определенным уровнем полномочий. Данная модель позволяет оценить риски, связанные с внутренними угрозами, например от неблагонадежных сотрудников компании.

Аудиторы должны согласовывать каждый тест, модель знания, применяемую в тесте, и возможные негативные последствия теста с лицами, заинтересованными в непрерывной работе АИС (руководителями, администраторами системы и др.).

По результатам инструментальной проверки проводится пересмотр результатов предварительного анализа и, возможно, организуется дополнительное обследование (рис. 8.1).

A.

Инструментальная проверка

Анализ

Дополнительное обследование

Анализ

Формирова-

исходных

данных

ние

данных

A и B

результата

Набор

B.

Интервьюиро-

вопросни-

ков

вание

Рис. 8.1. Схема проведения активного аудита ИБ

По результатам активного аудита создается аналитический отчет, состоящий из описания текущего состояния технической части СОИБ, списка найденных уязвимостей АИС со степенью их критичности и результатов упрощенной оценки рисков, включающей модель нарушителя и модель угроз.

201

Дополнительно может быть разработан план работ по модернизации технической части СОИБ, состоящий из перечня рекомендаций по обработке рисков.

8.1.2. Экспертный аудит

Экспертный аудит предназначен для оценивания текущего состояния ИБ на нормативно-методологическом,организационно-управленческоми процедурном уровнях. Экспертный аудит проводится преимущественно внешними аудиторами, его выполняют силами специалистов по системному управлению. Сотрудникиорганизации-аудиторасовместно с представителями заказчика проводят следующие виды работ:

−сбор исходных данных об АИС, ее функциях и особенностях, используемых технологиях автоматизированной обработки и передачи информации (с учетом ближайших перспектив развития);

−сбор информации об имеющихся организационно-распорядительныхдокументах по обеспечению ИБ и их анализ;

−определение защищаемых активов, ролей и процессов СОИБ.

Важнейшим инструментом экспертной оценки является сбор данных об АИС путем интервьюирования технических специалистов и руководства заказчика.

Основные цели интервьюирования руководящего состава организации:

−определение политики и стратегии руководства в вопросах обеспечения

ИБ;

−выявление целей, которые ставятся перед СОИБ;

−выяснение требований, которые предъявляются к СОИБ;

−получение оценок критичности тех или иных подсистем обработки информации, оценок финансовых потерь при возникновении тех или иных инцидентов.

Основные цели интервьюирования технических специалистов:

−сбор информации о функционировании АИС;

−получение схемы информационных потоков в АИС;

−получение информации о технической части СОИБ;

−оценка эффективности работы СОИБ.

Врамках экспертного аудита проводится анализ организационнораспорядительных документов, таких как политика безопасности, план защиты, различного рода положения и инструкции. Организационнораспорядительные документы оцениваются на предмет достаточности и непротиворечивости декларируемым целям и мерам ИБ, а также на предмет соответствия стратегической политике руководства в вопросах ИБ.

Результаты экспертного аудита могут содержать рекомендации по совершенствованию нормативно-методологических,организационноуправленческих и процедурных компонентов СОИБ.

Источник: https://StudFiles.net/preview/3009982/page:42/

Источник: http://businessizakon.ru/audit-informacionnyx-sistem-ugrozy-informacionnoj-bezopasnosti-informacionnye-texnologii.html

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.