+7(499)-938-42-58 Москва
+7(800)-333-37-98 Горячая линия

Риски информационной безопасности. Обеспечение информационной безопасности. Аудит информационной безопасности

Содержание

Комплексный аудит информационной безопасности

Риски информационной безопасности. Обеспечение информационной безопасности. Аудит информационной безопасности

Аудит информационной безопасности (ИБ) – независимая оценка текущего состояния системы информационной безопасности, устанавливающая уровень ее соответствия определенным критериям, и предоставление результатов в виде рекомендаций.

Комплексный аудит безопасности информационных систем позволяет получить наиболее полную и объективную оценку защищенности информационной системы, локализовать имеющиеся проблемы и разработать эффективную программу построения системы обеспечения информационной безопасности организации.

Какие задачи решает проведение аудита?

Аудит безопасности проводят, решая следующие задачи:

  • Повышение уровня защиты информации до приемлемого;
  • Оптимизация и планирование затрат на обеспечение информационной безопасности;
  • Обоснование инвестиций в системы защиты;
  • Получение максимальной отдачи от инвестиций, вкладываемых в системы защиты информации;
  • Подтверждение того, что используемые внутренние средства контроля соответствуют задачам организации и позволяют обеспечить эффективность и непрерывность бизнеса.

Какие преимущества эта услуга дает заказчику?

Аудит информационной безопасности позволяет получить наиболее полную и объективную оценку защищенности информационной системы (ИС), локализовать имеющиеся проблемы и разработать эффективную программу построения системы обеспечения ИБ организации.

Аудит информационной безопасности можно проводить как силами штатного персонала (внутренний аудит), так и привлекая независимых специалистов (внешний аудит). Ценность внешнего аудита информационной безопасности для потенциальных клиентов заключается в следующем:

  1. Аудит представляет собой независимое исследование, что повышает степень объективности результатов.
  2. Эксперты, проводящие аудит, имеют более высокую квалификацию и больший опыт подобной работы, нежели штатные сотрудники организации.
  3. Дешевле поручить выполнение работ по аудиту специализированной организации, чем организовывать их самостоятельно.

Описание услуги

Проведение аудита безопасности корпоративной информационной системы заказчика осуществляется в четыре этапа:

  1. Постановка задачи и уточнение границ работ
  2. Сбор и анализ информации
  3. Проведение анализа рисков
  4. Разработка рекомендаций

Постановка задачи и уточнение границ работ

На данном этапе проводятся сбор исходных данных от заказчика, их предварительный анализ, а также организационные мероприятия по подготовке проведения аудита:

  • Уточняются цели и задачи аудита
  • Формируется рабочая группа
  • Подготавливается и согласовывается техническое задание на проведение аудита

Целью аудита может быть как комплексный аудит системы защиты информации компании-заказчика, так и аудит информационной безопасности отдельных ИТ-систем (сетей передачи данных, вычислительных систем и систем хранения данных, и др.). На этом этапе цели проведения аудита уточняются и планируются все последующие шаги.

В состав рабочей группы должны входить специалисты компании исполнителя (компании проводящей аудит) и сотрудники компании заказчика.

Сотрудники заказчика обеспечивают представление всей необходимой информации, контролируют процессы проведения обследования, а также участвуют в согласовании его результатов (промежуточных и конечных).

Специалисты исполнителя отвечают за квалифицированное проведение работ по обследованию предметных областей в соответствии с определенными целями и задачами проекта, согласуют процессы и результаты проведения обследования.

Этап постановки задачи завершается разработкой, согласованием и утверждением технического задания (ТЗ). В ТЗ на аудит фиксируется состав и содержание работ по аудиту и требования к разрабатываемым документам. Кроме того, в ТЗ вносят сроки проведения работ, а при необходимости — план-график.

Параллельно с ТЗ разрабатывается соглашение о конфиденциальности и организуется взаимодействие со службой безопасности заказчика.

Сбор и анализ информации

На этом этапе собирается информация и дается оценка следующих мер и средств:

  • организационных мер в области информационной безопасности;
  • программно-технических средств защиты информации;
  • обеспечения физической безопасности.

Анализируются следующие харакетиристики построения и функционирования корпоративной информационной системы:

  • Организационные характеристики
  • Организационно-технические характеристики
  • Технические характеристики, связанные с архитектурой ИС
  • Технические характеристики, связанные с конфигурацией сетевых устройств и серверов ИС
  • Технические характеристики, связанные с использованием встроенных механизмов информационной безопасности

Организационные характеристики:

  • наличие, полнота и актуальность организационно-регламентных и нормативно-технических документов;
  • разделение зон ответственности ролей персонала по обеспечению информационной безопасности и его корректность;
  • наличие документированных списков, описывающих полномочия сотрудников по доступу к сетевым устройствам и серверам;
  • наличие планов по поддержке квалификации персонала, ответственного за обеспечение информационной безопасности;
  • осведомленность пользователей и персонала, поддерживающего функционирование ИС, о требованиях по обеспечению информационной безопасности;
  • корректность процедур управления изменениями и установления обновлений;
  • порядок предоставления доступа к внутренним ресурсам информационных систем;
  • наличие механизмов разграничения доступа к документации.

Организационно-технические характеристики:

  • возможности использования найденных уязвимых мест в сетевых устройствах и серверах для реализации атак;
  • наличие оперативного анализа журналов аудита и реагирования на события, связанные с попытками несанкционированного доступа, оценка полноты анализируемых событий, оценка адекватности защиты журналов аудита;
  • наличие процедур по обнаружению и фиксации инцидентов информационной безопасности и механизмов расследования таких инцидентов;
  • наличие процедуры и документирование любых действий, связанных с модификацией прав доступа, изменениями параметров аудита;
  • периодичность контроля защищенности сетевых устройств и серверов;
  • наличие процедуры отслеживания новых уязвимостей в системном программном обеспечении и его обновления;
  • ограничение доступа в серверные помещения;
  • адекватность времени восстановления в случае сбоев критичных устройств и серверов;
  • наличие зоны опытной эксплуатации новых решений, процедуры тестирования и ввода в промышленную эксплуатацию.

Технические характеристики, связанные с архитектурой ИС:

  • топология и логическая организация сетевой инфраструктуры, адекватность контроля логических путей доступа, адекватность сегментирования;
  • топология и логическая организация системы защиты периметра, адекватность контроля доступа из внешних сетей;
  • топология, логическая организация и адекватность контроля доступа между сегментами;
  • наличие узлов, сбои на которых приведут к невозможности функционирования значительной части в ИС;
  • наличие точек удаленного доступа к информационным ресурсам ИС и адекватность защиты такого доступа.

Технические характеристики, связанные с конфигурацией сетевых устройств и серверов ИС:

  • права доступа персонала к сетевым устройствам и серверам, оценка минимально необходимых прав, которые требуются для выполнения производственных задач;
  • соответствие списков контроля доступа на критичных сетевых устройствах документированным требованиям;
  • соответствие конфигурации операционных систем и использованию штатных механизмов информационной безопасности рекомендациям производителя и лучшей практике;
  • наличие неиспользованных сервисов или сервисов, содержащих известные уязвимости;
  • соответствие механизма и стойкости процедуры аутентификации – критичности ресурсов, оценка адекватности парольной политики и протоколирования деятельности операторов.

Технические характеристики, связанные с использованием встроенных механизмов информационной безопасности:

  • оценка соответствия конфигурации встроенных средств защиты документированным требованиям и оценка адекватности существующей конфигурации;
  • оценка адекватности использования криптографической защиты информации и процедуры распределения ключевой информации;
  • наличие антивирусной проверки трафика, а также антивирусного контроля на рабочих станциях пользователей;
  • наличие резервных копий файлов конфигурации и образов дисков для критичных сетевых устройств и серверов;
  • наличие источников бесперебойного питания для критичных сетевых устройств и серверов и их адекватность требованиям по времени бесперебойной работы.

После получения исходных данных готовится отчет об обследовании. Отчет об обследовании является основой для последующих этапов аудита: анализа рисков и разработки рекомендаций.

Проведение анализа рисков

Проведение данного этапа является важной стадией при аудите информационной безопасности. Анализ рисков проводится для оценки реальных угроз нарушения информационной безопасности и разработки рекомендаций, выполнение которых позволит минимизировать эти угрозы.

Исходной информацией для анализа рисков является согласованный с заказчиком отчет о проведенном обследовании.

Анализ рисков дает возможность:

  • адекватно оценить существующие угрозы;
  • идентифицировать критичные ресурсы ИС;
  • выработать адекватные требования по защите информации;
  • сформировать перечень наиболее опасных уязвимых мест, угроз и потенциальных злоумышленников;
  • получить определенный уровень гарантий, основанный на объективном экспертном заключении.

При анализе рисков осуществляется:

  • классификация информационных ресурсов;
  • анализ уязвимостей;
  • составление модели потенциального злоумышленника;
  • оценка рисков нарушения информационной безопасности.

В процессе анализа рисков проводится оценка критичности идентифицированных уязвимых мест и возможности их использования потенциальным злоумышленником для осуществления несанкционированных действий.

Разработка рекомендаций

На основании информации, полученной в ходе обследования информационной инфраструктуры заказчика и результатов анализа рисков, разрабатываются рекомендации по совершенствованию системы защиты информации, применение которых позволит минимизировать риски, с приложением списка конкретных уязвимостей активного сетевого оборудования, серверов, межсетевых экранов и др.

По завершении аудита подготавливается итоговый отчет, содержащий оценку текущего уровня безопасности ИТ-инфраструктуры, информацию об обнаруженных проблемах, анализ соответствующих рисков и рекомендации по их устранению.

Результат

Результатом аудита безопасности внешнего периметра корпоративной сети является аудиторский отчет. Общая структура отчета:

  • Оценка текущего уровня защищенности информационной системы:
    • Описание и оценка текущего уровня защищенности информационной системы;
    • Анализ конфигурации конфигурационной информации, найденные уязвимости;
    • Анализ рисков, связанных с возможностью осуществления внутренних и внешних угроз в отношении ресурсов информационной системы;
  • Рекомендации по технической составляющей ИБ:
    • по изменению конфигурации существующих сетевых устройств и серверов;
    • по изменению конфигурации существующих средств защиты;
    • по активации дополнительных штатных механизмов безопасности на уровне системного программного обеспечения;
    • по использованию дополнительных средств защиты;
  • Рекомендации по организационной составляющей ИБ:
    • по разработке политики информационной безопасности;
    • по организации службы ИБ;
    • по разработке организационно-распорядительных и нормативно-технических документов;
    • по пересмотру ролевых функций персонала и зон ответственности;
    • по разработке программы осведомленности сотрудников в части информационной безопасности;
    • по поддержке и повышению квалификации персонала.

Источник: http://IT-Professional.ru/audit/security_audit

Методы и средства аудита информационной безопасности

Риски информационной безопасности. Обеспечение информационной безопасности. Аудит информационной безопасности

Авторский курс Учебного центра “Информзащита”

Аннотация

Аудит информационной безопасности (ИБ) позволяет получить наиболее полную и объективную оценку защищенности информационных ресурсов компании, локализовать имеющиеся проблемы, разработать наиболее эффективную политику ИБ.

В рамках курса специалисты обучаются методологии проведения анализа состояния безопасности на организационном и техническом уровнях, оценке соответствия политики безопасности компании и организационно-распорядительной документации требованиям нормативных документов и существующим рискам.

В курсе рассматриваются основные виды, практические методы и средства проведения аудита ИБ. Слушатели курса знакомятся с основными критериями и стандартами в области аудита ИБ, методами сбора данных, оценки рисков и анализа защищенности, принципами организации процесса аудита и подготовки отчетных документов.

Аудитория

  • Руководители служб и подразделений ИТ.
  • Руководители подразделений защиты информации, ответственные за состояние ИБ в компании, аналитики, эксперты и консультанты по ИБ.
  • Специалисты, ответственные за разработку нормативно-методических и организационно-распорядительных документов по вопросам защиты информации.
  • Внутренние и внешние аудиторы ИБ.
  • Менеджеры, ответственные за работу с персоналом по вопросам обеспечения ИБ.

Предварительная подготовка

Общие представления об информационных системах, организационных и технических аспектах обеспечения ИБ компьютерных систем.

https://www.youtube.com/watch?v=WOs_rhF5g1M

В качестве предварительной подготовки рекомендуем пройти обучение по курсу БТ01 “Безопасность информационных технологий”.

В результате обучения

Вы приобретете знания:

  • о месте и роли аудита в общем комплексе работ по обеспечению ИБ;
  • по стандартам и критериям аудита ИБ;
  • основ организации и методологии проведения аудита ИБ;
  • методик анализа рисков;
  • основных стандартов управления ИБ;
  • методов и инструментальных средств проведения активного аудита ИБ;
  • о программных средствах анализа и управления рисками.

Вы сможете:

  • обоснованно выбирать формы и критерии аудита ИБ для своей компании;
  • организовать и принять участие в проведении внутреннего аудита ИБ компании;
  • разрабатывать корпоративную методику анализа рисков;
  • проводить классификацию критичных информационных ресурсов, анализировать риски ИБ, выбирать контрмеры и оценивать их эффективность;
  • разрабатывать предложения по совершенствованию политики безопасности компании.

Пакет слушателя

  • Фирменное учебное пособие.
  • Нормативные, руководящие документы и стандарты, используемые при проведении аудита ИБ, демо-версии некоторых рассматриваемых в курсе инструментальных средств, дополнительная и справочная информация по тематике курса в электронном виде.

Дополнительно

После успешной сдачи зачета выпускники получают свидетельства об обучении Учебного центра “Информзащита”.

Обучение на данном курсе учитывается при получении документов установленного образца в области информационной безопасности в Учебном центре “Информзащита” в соответствии с Положением об условиях получения специалистами документов о повышении квалификации в области защиты информации.

Выпускники Учебного центра могут получать бесплатные консультации специалистов центра в рамках пройденного курса.

Программа курса

Введение

  • Разновидности аналитических работ в сфере ИБ. Потребность компаний в услугах ИБ. Рынок аналитических услуг в сфере ИБ. Классификация услуг. Проектные работы. Управленческий консалтинг. Аудит. Уровень сложности и комплексности услуг ИБ. “Коробочные” услуги: сканирование сети; тест на проникновение (Penetration test). Комплексные услуги: аудит на соответствие стандартам; анализ рисков; создание (проектирование, совершенствование) системы защиты информации компании, сопровождение внедренных систем.
  • Место и роль аудита в сфере ИБ. Аудит систем управления информационной безопасностью (СУИБ) и его взаимосвязь с повседневной внутренней аналитической деятельностью по обеспечению ИБ компании. Сертификация и аттестация информационных технологий как разновидности аудита. Аудит и разработка предложений по совершенствованию систем безопасности как разновидность консалтинга. Уровни рассмотрения процессов в организации (бизнес-уровень, организационно-управленческий, технологический, технический) и взаимосвязь различных видов аудита (финансового, организационно-технологического, аудита информационных технологий, аудита безопасности ИТ).

Раздел 1. Аудит информационной безопасности компании: общие понятия и определения

  • Понятия аудита и аудита ИБ. Виды аудита. Внешний и внутренний аудит. Необходимость и актуальность аудита безопасности. Постановка проблемы аудита безопасности. Оценка состояния ИБ. Цели и задачи аудита ИБ. Особенности автоматизированных информационных систем как объектов аудита ИБ.
  • Принципы и формы аудита ИБ. Принципы проведения аудита ИБ. Формы обследования (аудита): первоначальное обследование (первичный аудит); предпроектное обследование (технический аудит); аттестация объекта; сюрвей; плановое обследование (контрольный аудит). Дополнительные задачи, стоящие перед внутренним аудитором.
  • Целевые системы нормативов для проведения аудита. Профессиональная квалификация аудитора. Законодательная и нормативная база аудита. Обзор критериев аудита.

Раздел 2. Стандарты и критерии проведения аудита информационной безопасности

  • Стандарты в области управления информационной безопасностью. Структура международных стандартов по ИБ. Область применения. Процессная модель управления ИБ. Взаимосвязь стандартов. Цели управления, меры и средства управления ИБ. Руководство по управлению ИБ. Подходы к оценке системы управления ИБ. Оценка зрелости системы управления ИБ. ISO 27001 (BS 7799 – 2:2005). ISO 27002 (BS 7799 – 1:2005). Соответствие и взаимодействие международного и российского подходов и методов аудита безопасности.
  • ISO 27005 (BS 7799 – 3:2006): Управление рисками информационной безопасности. Анализ рисков: различные определения и постановки задач. Разработка корпоративной методики анализа рисков: постановка задачи; этапы анализа риска; управление рисками. Технологии анализа рисков: идентификация рисков; подходы к оцениванию рисков; объективные и субъективные вероятности; получение оценок субъективной вероятности. Методология измерения рисков: оценка рисков по двум факторам; оценка рисков по трем факторам; выбор допустимого уровня риска. Выбор контрмер и оценка их эффективности.
  • Другие стандарты и критерии аудита. ГОСТ Р ИСО/МЭК 15408 (“Общие критерии”). CoBit. Стандарт аудита PCI DSS. Руководящие документы ФСТЭК России и аудит в целях сертификации средств защиты и аттестации объектов информатизации.

Раздел 3. Методология аудита информационной безопасности. Организация процесса аудита.

  • Основные этапы и методы работ по проведению аудита безопасности. Этапы проведения аудита. Стадии аудита: планирование; моделирование; тестирование; анализ; разработка предложений; документирование. Методы аудита: экспертно-аналитические; экспертно-инструментальные; моделирование действий злоумышленника (“взлом” защиты информации).
  • Сбор исходной информации для проведения аудита. Цель сбора исходных данных. Методы сбора исходных данных. Общие исходные данные. Исходные данные об обрабатываемой информации. Исходные данные о системе обеспечения безопасности информации. Исходные данные о персонале. Сбор дополнительных исходных данных.
  • Рекомендации по планированию. Инициирование процедуры аудита. Цель планирования. Объект обследования. Порядок планирования аудита. Анализ значимости информационных ресурсов. Анализ процесса обработки информации. Отчетные материалы. Условия соблюдения конфиденциальности.
  • Рекомендации по моделированию. Цель моделирования. Методы обследования на этапе моделирования. Порядок проведения моделирования. Отчетные материалы
  • Рекомендации по тестированию.Цель, методы и порядок проведения тестирования. Проверка реальных условий размещения и использования оборудования. Тестовые испытания функций защиты от НСД и защиты от утечки по техническим каналам. Моделирование действий злоумышленника (“взлом” защиты информации). Особенности тестовых испытаний рабочих станций (АРМ), серверного оборудования, межсетевых экранов, маршрутизаторов, коммутаторов, VPN-устройств. Отчетные материалы.
  • Рекомендации по анализу и документированию результатов. Цель и методы обследования на этапе анализа. Анализ организационно-распорядительных документов, выполнения организационно-технических требований, деятельности персонала (сотрудников). Отчетные материалы. Рекомендации по документированию результатов: цель документирования; требования к документированию.

Раздел 4. Инструментальные средства аудита ИБ

  • Методы и инструментальные средства проведения активного аудита ИБ. Обнаружение и устранение уязвимостей. Возможности сканеров безопасности. Мониторинг событий безопасности. Internet Scanner и System Security Scanner. Сканер уязвимости Symantec NetRecon. Сканер уязвимостей систем безопасности Cisco Secure Scanner (NetSonar). Сканер Retina. Сетевой сканер NESSUS. Сканер Xspider; CommView – программа для мониторинга. MaxPatrol 8.0 – новое поколение Xspider.
  • Программные средства анализа и управления рисками. Инструментарий базового уровня: справочные и методические материалы; ПО анализа рисков и аудита Cobra; ПО анализа рисков и аудита Software Tool. Инструментарий для обеспечения повышенного уровня безопасности: ПО компании MethodWare; ПО анализа и управления рисками Risk Advisor; ПО идентификации и оценки защищаемых ресурсов, угроз, уязвимостей и мер защиты в сфере компьютерной и “физической” безопасности предприятия. RiskWatch; средства анализа и управления рисками CRAMM; комплексная система анализа и управления рисками информационной системы компании ГРИФ; комплексная экспертная система управления информационной безопасностью “РискМенеджер”.

Итоговый зачет

Последующее обучение

  • Курс КП20 “Применение сканеров для анализа защищённости компьютерных сетей”

Отзывы слушателей о курсе

Материалы курса излагаются хорошо, упорядоченно и доступно. Формируется понимание этапов проведения ИБ, его целей и задач в зависимости от выбранной формы.Борисов В.А.

, 2021Программа курса соответствует ожиданиям, тема раскрыта полностью.Суменков С.М., Волго-Вятский банк ПАО Сбербанк, 2021Много полезной информации, очень интересно. Большинство полученных знаний буду применять в работе.

Кармазов Сергей Александрович

АО “Глобалстрой-Инжиниринг”, 2021 г.

Источник: http://itsecurity.ru/catalog/kursy-audit-informacionnoy-bezopasnosti

Информационная безопасность предприятия

Риски информационной безопасности. Обеспечение информационной безопасности. Аудит информационной безопасности
АУДИТ – ПОЛИТИКА – ЗАЩИТА

Под информационной безопасностью понимается защищённость информации и поддерживающей инфраструктуры. Пара строк с описанием нового продукта могут стоить предприятию миллионы рублей. Обеспечить информационную безопасность – значить не дать, чтобы эта пара строк ушла в руки злоумышленника. Так что же такое информация, и как её можно и нужно защищать.

Информация — это переговоры начальников в курилке и письма, приходящие и отсылаемые с корпоративных ящиков ежедневно сотнями и тысячами. Технические задания изделий, служебная документация, особенности организации и работы организации. Это то, что выбрасывается в мусорные вёдра и забывается на столах у коллег.

Но далеко не все сведения имеют важность, а значит прежде чем перейти к защите, нужно понять, что защищать, а что нет.

Сведения, распространение или уничтожение которых нанесёт ощутимый вред предприятию, называются активами. Всего у активов выделяют три основных свойства:

  • конфиденциальность;
  • целостность;
  • доступность.

Под конфиденциальностью понимается, что актив недоступен лицам без соответствующего доступа. Доступность означает, что сведения используется только сотрудниками, имеющими на это право.

Целостность — это неповреждённость сведений. Таким образом, задача информационной безопасности сводится к обеспечению этих трёх свойств.

Следующий этап после определения активов, которые требуется защищать — изучение угроз.

Угроза — это некоторые действия или события, в результате которых активам организации будет нанесён ущерб. Примеры угроз:

  • “слив” критически важной информации конкурентам;
  • внезапная смерть или уход специалиста, без которого проект нереализуем;
  • падение метеорита;
  • взлом компьютерной сети.

Если компьютерная сеть предприятия будет взломана, злоумышленник получит доступ к информации и нанесёт этим вред. При падении метеорита предприятие перестанет существовать. По убыткам второе событие во много раз превышает первое, но организации не переезжают в подземные бункеры, а ставит антивирусы. Причина — в разнице вероятностей реализации этих двух угроз.

Действительно, вероятность падения метеорита на здание мала. И постройка подземного бункера обойдётся в сотни раз дороже, чем аренда или покупка офисного здания. Между тем, в мире часто проводятся кибернетические атаки, и в свете последних событий — массового заражения вирусом Wanna Cry — приобретение средств защиты информации имеет смысл.

На любом предприятии реализован некоторый уровень информационной безопасности. Другой вопрос, насколько этот уровень высок. Работают ли сотрудники на компьютерах, защищённых паролями? Блокируют ли компьютеры, отходя от рабочего места? Легко ли постороннему человеку пройти на территорию организации? На эти и другие вопросы отвечает аудит информационной безопасности.

Аудит информационной безопасности

Итак, необходимость достижения безопасности информации не требует доказательств. Пришло время узнать, насколько эта безопасность обеспечивается.

Информацию о защищённости предприятия получают, проводя аудит в следующих направлениях:

  • аттестация всего, связанного с информацией и поддерживающей инфраструктурой;
  • контроль защищённости информации;
  • исследования устройств на наличие побочных электромагнитных излучений и наводок;
  • проектирование с учётом необходимости соответствия требованиям информационной безопасности.

Аттестация, как правило, проводится сторонними организациями. Цель аттестации — выявить, соответствует ли объект предъявляемым требованиям безопасности. При аттестации могут быть выявлены уязвимости – особенности автоматизированных систем, систем связи, технических средств и тому подобных объектов, которые могут быть использованы злоумышленником.

Под контролем защищённости понимается изучение способов доступа к информационным ресурсам, а также наблюдение за эффективностью средств, обеспечивающих защиту этого ресурса.

Примеры способов доступа:

  • прослушивание помещений с помощью «жучков»;
  • кража пароля с целью получения доступа к компьютеру сотрудника;
  • изучение мусорной корзины;
  • отсылка письма с трояном сотруднику, чтобы получить удалённый доступ к корпоративной сети;
  • расспросы сотрудников с целью выведать конфиденциальную информацию.

Использование этих путей получения информации в корыстных целях — потенциальная угроза. Поэтому необходимо наблюдать за ними, а также за работой системы защиты информации, которая предотвращает реализацию этих угроз.

С помощью анализа и обработки побочных излучений можно получить информацию конфиденциального характера. К примеру, использование телефонов, переговорных устройств порождает электромагнитные излучения. Эти излучения можно преобразовать в акустическую информацию. Затем и проводится аудит устройства на наличие таких излучений и подводок.

Некоторые помещения требуют повышенного уровня безопасности. Например, залы для переговоров, кабинеты высшего руководства. В таких помещениях важно учитывать расположение окон, дверей, силовых кабелей, розеток, толщина и исполнение стен.

Безопасно проектировать можно и автоматизированные системы: каким образом будут использоваться её составляющие, какие данные будут подаваться на вход и так далее. Безопасное проектирование — также важное направление аудита безопасности.

Различают внешний и внутренний аудит. И если внешний аудит проходит разово, желательно на регулярной основе, то внутренний проводится постоянно с целью актуализации информационной безопасности. При проведении аудита следует руководствоваться политикой безопасности, регламентирующей в общих чертах что защищать и как. Речь об этом документе пойдёт в следующем разделе.

В начало

Политика информационной безопасности предприятия

Уже были упомянуты активы, угрозы и уязвимости. Теперь пришло время разобраться, что такое риски и оценка рисков. Дело в том, что каждый актив имеет свою стоимость, а атака на актив — свои последствия.

Под угрозой понимается атака или событие (к примеру, природное явление), которое приносит ущерб активу. Но угрозе не совершиться, если нет уязвимости — особенности в защите предприятия, которую можно использовать ему во вред.

Риск — это вероятность совершения угрозы через существующую уязвимость, помноженная на сумму, в которую оценивается ущерб, нанесённый активу. Чем выше вероятность и выше стоимость, тем выше риск, и наоборот. Некоторые риски с высокой стоимостью ущерба, как падение метеорита, будут низкими из-за очень малой вероятности осуществления.

Поэтому в политике информационной безопасности не встретить ответственного за действия при падении метеорита лица — и при этом часто можно увидеть ответственного при кибернетической атаке.

Политика информационной безопасности предприятия — это документ, в котором:

  • определяются основные термины безопасности, например «информационная безопасность», «защита информации»;
  • прописываются основные риски и ситуации, возникающие при реализации рисков;
  • определяются общие требования для предотвращения реализации рисков, детектирования, реагирования и восстановления в случае, если риск всё-таки осуществится.

В политике безопасности можно встретить список действий при приёме сотрудника на работу, описание контрольно-пропускной системы, требования, предъявляемые при работе с автоматизированными системами, и другие жизненно важные моменты. Именно этот документ используется в первую очередь при организации защиты информации.

В начало

Защита информационной безопасности

Следует разделять организационные и технические меры защиты. Ведь организация состоит в первую очередь из сотрудников, и только потом из зданий, мебели, компьютеров и другого имущества. Потому важная часть безопасности — это проведение семинаров, составление брошюр о защите собственных данных от утечки.

Это мотивация сотрудников, обеспечение им комфортных условий, а также наличие штрафных мер — важно балансировать между кнутом и пряником, чтобы не получить в результате сотрудника-злоумышленника.

Регулярное проведение аудитов и актуализирование политики безопасности также входит в организационные меры. Необходимо доводить до сотрудников изменения в политике для поддержания уровня защищённости. Уязвимости, выявленные при аудите технических средств, должны учитываться и при необходимости закрываться.

Под техническими методами понимается защита от несанкционированного доступа к информации. Среди технических методов распространены:

СЗИ позволяют контролировать корпоративную среду и быстро реагировать на события, отвечающие признакам реализации угрозы. Контрольно-пропускная система исключит возможность появления стороннего нарушителя, а система видеонаблюдения позволит среагировать или выяснить, если сотрудник делает то, что не должен делать, или находится там, где не должен быть.

Контроль доступа к информационным ресурсам не даст сотруднику безосновательно получить важные сведения, а блокировка излучений усложнит удалённое считывание информации.

Существуют комплексные СЗИ, при установке которые организация может быть уверена — она защищена со всех сторон. Но иногда достаточно установить качественный антивирус со встроенным межсетевым экраном, прочитать лекцию сотрудникам, нанять вахтёра и тем самым закрыть актуальные угрозы, не потратившись на излишний функционал.

Благодаря аудиту и политике информационной безопасности предприятие точно будет знать, что и как необходимо защитить. А значит, организует безопасность по принципу разумной достаточности.

В начало 

© 2010-2021 г.г.. Все права защищены.
Материалы, представленные на сайте, имеют ознакомительно-информационный характер и не могут использоваться в качестве руководящих документов

Источник: https://labofbiznes.ru/bezopasnost_informacionnaja.html

Риски информационной безопасности веб-приложений

Риски информационной безопасности. Обеспечение информационной безопасности. Аудит информационной безопасности

Использование информационных систем и технологий связано с определенной совокупностью рисков. Оценка рисков необходима для контроля эффективности деятельности в области информационной безопасности, принятия целесообразных защитных мер и построения эффективных экономически обоснованных систем защиты.

Основу риска образуют возможные уязвимости и угрозы для организации, поэтому выявление потенциальных или реально существующих рисков нарушения конфиденциальности и целостности информации, распространения вредоносного программного обеспечения и финансового мошенничества, классификация угроз информационной безопасности является одной из первичных задач по защите веб-приложения.

Риски нужно контролировать постоянно, периодически проводя их переоценку. Отметим, что добросовестно выполненная и тщательно документированная первая оценка может существенно упростить последующую деятельность. Управление рисками, как и любую другую деятельность в области информационной безопасности, необходимо интегрировать в жизненный цикл информационной системы. Тогда эффект оказывается наибольшим, а затраты — минимальными. Можно выделить основные этапы жизненного цикла информационной системы:

  • инициация, согласно бизнес-процессам компании;
  • установка;
  • эксплуатация;
  • выведение из эксплуатации.

Информационная система и её составляющие

Первым шагом в процессе оценки рисков является определение объекта оценки, то есть границ анализируемой информационной системы, а также ресурсов и информации, образующих ИС.

О системе необходимо собрать следующую информацию:

  • архитектура ИС;
  • используемое аппаратное обеспечение;
  • используемое программное обеспечение;
  • системные интерфейсы (внутренняя и внешняя связность);
  • топология сети;
  • присутствующие в системе данные и информация;
  • поддерживающий персонал и пользователи;
  • миссия системы (то есть процессы, выполняемые ИС);
  • критичность системы и данных;
  • чувствительность (то есть требуемый уровень защищенности) системы и данных.

Действия: оценка технического задания функционала системы и её фактических составляющих.

Управление рисками

Управление рисками включает в себя два вида деятельности, которые чередуются циклически:

  • регламентную оценку рисков;
  • выбор эффективных и экономичных защитных средств (нейтрализация рисков).

По отношению к выявленным рискам возможны следующие действия:

  • ликвидация риска (например, за счет устранения уязвимости);
  • уменьшение риска (например, за счет использования дополнительных защитных средств или действий);
  • принятие риска (и выработка плана действия в соответствующих условиях).

Управление рисками можно подразделить на следующие этапы:

  • инвентаризация анализируемых объектов;
  • выбор методики оценки рисков;
  • идентификация активов;
  • анализ угроз и их последствий;
  • определение уязвимостей в защите;
  • оценка рисков;
  • выбор защитных мер;
  • реализация и проверка выбранных мер;
  • оценка остаточного риска.

Для определения основных рисков можно следовать следующей цепочке: источник угрозы > фактор (уязвимость) > угроза (действие) > последствия (атака).

  • Источник угрозы — это потенциальные антропогенные, техногенные или стихийные носители угрозы безопасности.
  • Угроза (действие) — это возможная опасность (потенциальная или реально существующая) совершения какого-либо деяния (действия или бездействия), направленного против объекта защиты (информационных ресурсов), наносящего ущерб собственнику, владельцу или пользователю, проявляющегося в опасности искажения и потери информации.
  • Фактор (уязвимость) — это присущие объекту информатизации причины, приводящие к нарушению безопасности информации на конкретном объекте и обусловленные недостатками процесса функционирования объекта информатизации, свойствами архитектуры автоматизированной системы, протоколами обмена и интерфейсами, применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации.
  • Последствия (атака) — это возможные последствия реализации угрозы (возможные действия) при взаимодействии источника угрозы через имеющиеся факторы (уязвимости).

Действия: внедрение политики информационной безопасности компании.

Источник угрозы

Антропогенными источниками угроз безопасности информации выступают субъекты, действия которых могут быть квалифицированы как умышленные или случайные преступления. Методы противодействия напрямую зависят от организаторов защиты информации.

В качестве антропогенного источника угроз можно рассматривать субъекта, имеющего доступ (санкционированный или несанкционированный) к работе со штатными средствами защищаемого объекта.

Или, простыми словами — это либо хакер-злоумышленник или их группа, либо персонал компании, мотивированный теми или иными факторами на противоправные или противозаконные деяния. Субъекты (источники), действия которых могут привести к нарушению безопасности информации могут быть как внешние, так и внутренние.

Внешние источники могут быть случайными или преднамеренными и иметь разный уровень квалификации.

К ним относятся:

  • криминальные структуры;
  • потенциальные преступники и хакеры;
  • недобросовестные партнеры;
  • технический персонал поставщиков телематических услуг;
  • представители надзорных организаций и аварийных служб;
  • представители силовых структур.

Внутренние субъекты (источники), как правило, представляют собой высококвалифицированных специалистов в области разработки и эксплуатации программного обеспечения и технических средств, знакомы со спецификой решаемых задач, структурой и основными функциями и принципами работы программно-аппаратных средств защиты информации, имеют возможность использования штатного оборудования и технических средств сети. К ним относятся:

  • основной персонал (пользователи, программисты, разработчики);
  • представители службы защиты информации.

Действия: составление вероятностной шкалы источников угроз.

Анализ угроз

Основным источником угроз информационной безопасности веб-приложения являются внешние нарушители.

Внешний нарушитель – лицо, мотивированное, как правило, коммерческим интересом, имеющее возможность доступа к сайту компании, не обладающий знаниями об исследуемой информационной системе, имеющий высокую квалификацию в вопросах обеспечения сетевой безопасности и большой опыт в реализации сетевых атак на различные типы информационных систем.

Исходя из этого нам необходимо провести мероприятия по выявлению максимально возможного количества уязвимостей для уменьшения потенциальной площади поверхности атаки. Для этого необходимо провести процедуры идентификации технических уязвимостей. Они могут быть как разовыми, так и регламентными и затрагивать различные объекты инфраструктуры.

В контексте веб-приложения они могут быть разделены на следующие этапы:

  • Поиск уязвимостей серверных компонентов;
  • Поиск уязвимостей в веб-окружении сервера;
  • Проверки ресурса на возможность открытого получения конфиденциальной и секретной информации;
  • Подбор паролей.

Действия: составление регламента работ по идентификации уязвимостей, патч-менеджмента.

Идентификация технических уязвимостей

Идентификация технических уязвимостей производится для внешнего и внутреннего периметра корпоративной сети. Внешний периметр – это совокупность всех точек входа в сеть. К внутреннему периметру относятся хосты и приложения, доступные изнутри.

Традиционно используются два основных метода тестирования:

  • тестирование по методу «черного ящика»;
  • тестирование по методу «белого ящика».

Тестирование по методу «черного ящика» предполагает отсутствие у тестирующей стороны каких-либо знаний о конфигурации и внутренней структуре объекта испытаний.

При этом против объекта испытаний реализуются все известные типы атак и проверяется устойчивость системы защиты в отношении этих атак. Используемые методы тестирования эмитируют действия потенциальных злоумышленников, пытающихся взломать систему защиты.

Метод «белого ящика» предполагает составление программы тестирования на основании знаний о структуре и конфигурации объекта испытаний. В ходе тестирования проверяется наличие и работоспособность механизмов безопасности, соответствие состава и конфигурации системы защиты требованиям безопасности.

Выводы о наличии уязвимостей делаются на основании анализа конфигурации используемых средств защиты и системного ПО, а затем проверяются на практике. Также, существует метод тестирования под названием «серый ящик», который комбинирует вышеописанные методы, когда известна частичная информация об объекте тестирования.

Отдельным пунктом исследования стоит возможность инфраструктуры работать на пиковых нагрузках и противостоять большому объему «мусорного трафика», генерируемого злоумышленниками или вредоносными программами.

Для исследования времени отклика системы на высоких или пиковых нагрузках производится «стресс-тестирование», при котором создаваемая на систему нагрузка превышает нормальные сценарии её использования. Основная цель нагрузочного тестирования заключается в том, чтобы, создав определённую ожидаемую в системе нагрузку (например, посредством виртуальных пользователей) наблюдать за показателями производительности системы.

Действия: аудит информационной безопасности, в том числе и регламентный (например, согласно требованиям PCI DSS).

Обработка рисков

При объединении ценности активов с угрозами и уязвимостями необходимо рассмотреть возможность создания комбинацией угроза/уязвимость проблем для конфиденциальности, целостности и/или доступности этих активов. В зависимости от результатов этих рассмотрений должны быть выбраны подходящие значения ценности активов, т.е.

значения, которые выражают последствия нарушения конфиденциальности, или целостности, или доступности. Использование этого метода может привести к рассмотрению одного, двух или трех рисков для одного актива, в зависимости от конкретной рассматриваемой комбинации угроза/уязвимость.

При определении актуальных угроз, экспертно-аналитическим методом определяются объекты защиты, подверженные воздействию той или иной угрозы, характерные источники этих угроз и уязвимости, способствующие реализации угроз.

На основании анализа составляется матрица взаимосвязи источников угроз и уязвимостей из которой определяются возможные последствия реализации угроз (атаки) и вычисляется коэффициент опасности этих атак как произведение коэффициентов опасности соответствующих угроз и источников угроз, определенных ранее.

При этом предполагается, что атаки, имеющие коэффициент опасности менее 0,1 (предположение экспертов), в дальнейшем могут не рассматриваться из-за малой вероятности их совершения на рассматриваемом объекте.

Действия: compliance management, консолидация и контроль соответствия требованиям ИТ и ИБ политик.

Нейтрализация и контрмеры

Нейтрализация рисков включает определение приоритетов, оценку и реализацию контрмер, уменьшающих риски и рекомендованных по результатам оценки рисков.

Поскольку полное устранение рисков невозможно, руководство организации должно следовать принципу минимальной достаточности, реализуя только необходимые, наиболее подходящие регуляторы безопасности с целью уменьшения рисков до приемлемого уровня с минимальным негативным воздействием на бюджет, ресурсы и миссию организации.

Необходимым элементом управления рисками является оценка экономической эффективности, цель которой — продемонстрировать, что затраты на реализацию дополнительных контрмер окупаются за счет снижения рисков.

При вычислении затрат на реализацию регуляторов безопасности следует учитывать:

  • затраты на приобретение аппаратного и программного обеспечения;
  • снижение эксплуатационной эффективности ИС, если производительность или функциональность системы падает в результате усиления мер безопасности;
  • затраты на разработку и реализацию дополнительных политик и процедур;
  • дополнительные затраты на персонал, вовлеченный в реализацию предложенных регуляторов безопасности;
  • затраты на обучение персонала;
  • затраты на сопровождение.

В качестве мер обеспечения могут быть внедрены следующие решения (как по отдельности, так и в совокупности), подготовленными штатными специалистами и/или с помощью аутсорсинга информационной безопасности:

  • Системы защиты от атак на прикладном уровне (WAF);
  • Системы управления инцидентами и событиями ИБ (SIEM);
  • Системы управления соответствием требованиям ИБ (Compliance Management);
  • Системы управления идентификационными данными и доступом (IAM);
  • Системы однократной и многофакторной аутентификации в корпоративных сетях;
  • Системы защиты от утечки конфиденциальной информации (DLP);
  • Системы управления доступом к информации (IRM);
  • Инфраструктуры открытых ключей (PKI);
  • Решения по сетевой безопасности;
  • Системы антивирусной защиты;
  • Системы защиты электронной почты от спама, вирусов и других угроз;
  • Системы контентной фильтрации web-трафика;
  • Системы контроля доступа к периферийным устройствам и приложениям;
  • Системы контроля целостности программных сред;
  • Системы криптографической защиты при хранении информации.

Действия: внедрение технических мер для обеспечения информационной безопасности; внедрение административных мер; повышение уровня осведомленности персонала.

  • риски иб
  • безопасность веб-приложений
  • 21 мая 2015 в 17:07
  • 24 июля 2013 в 10:39
  • 7 ноября 2008 в 19:57

Источник: https://habr.com/post/279219/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.