Аудит безопасности информационных систем


Комплексный аудит информационной безопасности

Аудит информационной безопасности (ИБ) – независимая оценка текущего состояния системы информационной безопасности, устанавливающая уровень ее соответствия определенным критериям, и предоставление результатов в виде рекомендаций.

Комплексный аудит безопасности информационных систем позволяет получить наиболее полную и объективную оценку защищенности информационной системы, локализовать имеющиеся проблемы и разработать эффективную программу построения системы обеспечения информационной безопасности организации.

Какие задачи решает проведение аудита?

Аудит безопасности проводят, решая следующие задачи:

  • Повышение уровня защиты информации до приемлемого;
  • Оптимизация и планирование затрат на обеспечение информационной безопасности;
  • Обоснование инвестиций в системы защиты;
  • Получение максимальной отдачи от инвестиций, вкладываемых в системы защиты информации;
  • Подтверждение того, что используемые внутренние средства контроля соответствуют задачам организации и позволяют обеспечить эффективность и непрерывность бизнеса.

Какие преимущества эта услуга дает заказчику?

Аудит информационной безопасности позволяет получить наиболее полную и объективную оценку защищенности информационной системы (ИС), локализовать имеющиеся проблемы и разработать эффективную программу построения системы обеспечения ИБ организации.

Аудит информационной безопасности можно проводить как силами штатного персонала (внутренний аудит), так и привлекая независимых специалистов (внешний аудит). Ценность внешнего аудита информационной безопасности для потенциальных клиентов заключается в следующем:

  1. Аудит представляет собой независимое исследование, что повышает степень объективности результатов.
  2. Эксперты, проводящие аудит, имеют более высокую квалификацию и больший опыт подобной работы, нежели штатные сотрудники организации.
  3. Дешевле поручить выполнение работ по аудиту специализированной организации, чем организовывать их самостоятельно.

Описание услуги

Проведение аудита безопасности корпоративной информационной системы заказчика осуществляется в четыре этапа:

  1. Постановка задачи и уточнение границ работ
  2. Сбор и анализ информации
  3. Проведение анализа рисков
  4. Разработка рекомендаций

Постановка задачи и уточнение границ работ

На данном этапе проводятся сбор исходных данных от заказчика, их предварительный анализ, а также организационные мероприятия по подготовке проведения аудита:

  • Уточняются цели и задачи аудита
  • Формируется рабочая группа
  • Подготавливается и согласовывается техническое задание на проведение аудита

Целью аудита может быть как комплексный аудит системы защиты информации компании-заказчика, так и аудит информационной безопасности отдельных ИТ-систем (сетей передачи данных, вычислительных систем и систем хранения данных, и др.). На этом этапе цели проведения аудита уточняются и планируются все последующие шаги.

В состав рабочей группы должны входить специалисты компании исполнителя (компании проводящей аудит) и сотрудники компании заказчика. Сотрудники заказчика обеспечивают представление всей необходимой информации, контролируют процессы проведения обследования, а также участвуют в согласовании его результатов (промежуточных и конечных). Специалисты исполнителя отвечают за квалифицированное проведение работ по обследованию предметных областей в соответствии с определенными целями и задачами проекта, согласуют процессы и результаты проведения обследования.

Этап постановки задачи завершается разработкой, согласованием и утверждением технического задания (ТЗ). В ТЗ на аудит фиксируется состав и содержание работ по аудиту и требования к разрабатываемым документам. Кроме того, в ТЗ вносят сроки проведения работ, а при необходимости — план-график.

Параллельно с ТЗ разрабатывается соглашение о конфиденциальности и организуется взаимодействие со службой безопасности заказчика.

Сбор и анализ информации

На этом этапе собирается информация и дается оценка следующих мер и средств:

  • организационных мер в области информационной безопасности;
  • программно-технических средств защиты информации;
  • обеспечения физической безопасности.

Анализируются следующие харакетиристики построения и функционирования корпоративной информационной системы:

  • Организационные характеристики
  • Организационно-технические характеристики
  • Технические характеристики, связанные с архитектурой ИС
  • Технические характеристики, связанные с конфигурацией сетевых устройств и серверов ИС
  • Технические характеристики, связанные с использованием встроенных механизмов информационной безопасности

Организационные характеристики:

  • наличие, полнота и актуальность организационно-регламентных и нормативно-технических документов;
  • разделение зон ответственности ролей персонала по обеспечению информационной безопасности и его корректность;
  • наличие документированных списков, описывающих полномочия сотрудников по доступу к сетевым устройствам и серверам;
  • наличие планов по поддержке квалификации персонала, ответственного за обеспечение информационной безопасности;
  • осведомленность пользователей и персонала, поддерживающего функционирование ИС, о требованиях по обеспечению информационной безопасности;
  • корректность процедур управления изменениями и установления обновлений;
  • порядок предоставления доступа к внутренним ресурсам информационных систем;
  • наличие механизмов разграничения доступа к документации.

Организационно-технические характеристики:

  • возможности использования найденных уязвимых мест в сетевых устройствах и серверах для реализации атак;
  • наличие оперативного анализа журналов аудита и реагирования на события, связанные с попытками несанкционированного доступа, оценка полноты анализируемых событий, оценка адекватности защиты журналов аудита;
  • наличие процедур по обнаружению и фиксации инцидентов информационной безопасности и механизмов расследования таких инцидентов;
  • наличие процедуры и документирование любых действий, связанных с модификацией прав доступа, изменениями параметров аудита;
  • периодичность контроля защищенности сетевых устройств и серверов;
  • наличие процедуры отслеживания новых уязвимостей в системном программном обеспечении и его обновления;
  • ограничение доступа в серверные помещения;
  • адекватность времени восстановления в случае сбоев критичных устройств и серверов;
  • наличие зоны опытной эксплуатации новых решений, процедуры тестирования и ввода в промышленную эксплуатацию.

Технические характеристики, связанные с архитектурой ИС:

  • топология и логическая организация сетевой инфраструктуры, адекватность контроля логических путей доступа, адекватность сегментирования;
  • топология и логическая организация системы защиты периметра, адекватность контроля доступа из внешних сетей;
  • топология, логическая организация и адекватность контроля доступа между сегментами;
  • наличие узлов, сбои на которых приведут к невозможности функционирования значительной части в ИС;
  • наличие точек удаленного доступа к информационным ресурсам ИС и адекватность защиты такого доступа.

Технические характеристики, связанные с конфигурацией сетевых устройств и серверов ИС:

  • права доступа персонала к сетевым устройствам и серверам, оценка минимально необходимых прав, которые требуются для выполнения производственных задач;
  • соответствие списков контроля доступа на критичных сетевых устройствах документированным требованиям;
  • соответствие конфигурации операционных систем и использованию штатных механизмов информационной безопасности рекомендациям производителя и лучшей практике;
  • наличие неиспользованных сервисов или сервисов, содержащих известные уязвимости;
  • соответствие механизма и стойкости процедуры аутентификации - критичности ресурсов, оценка адекватности парольной политики и протоколирования деятельности операторов.

Технические характеристики, связанные с использованием встроенных механизмов информационной безопасности:

  • оценка соответствия конфигурации встроенных средств защиты документированным требованиям и оценка адекватности существующей конфигурации;
  • оценка адекватности использования криптографической защиты информации и процедуры распределения ключевой информации;
  • наличие антивирусной проверки трафика, а также антивирусного контроля на рабочих станциях пользователей;
  • наличие резервных копий файлов конфигурации и образов дисков для критичных сетевых устройств и серверов;
  • наличие источников бесперебойного питания для критичных сетевых устройств и серверов и их адекватность требованиям по времени бесперебойной работы.

После получения исходных данных готовится отчет об обследовании. Отчет об обследовании является основой для последующих этапов аудита: анализа рисков и разработки рекомендаций.

Проведение анализа рисков

Проведение данного этапа является важной стадией при аудите информационной безопасности. Анализ рисков проводится для оценки реальных угроз нарушения информационной безопасности и разработки рекомендаций, выполнение которых позволит минимизировать эти угрозы.

Исходной информацией для анализа рисков является согласованный с заказчиком отчет о проведенном обследовании.

Анализ рисков дает возможность:

  • адекватно оценить существующие угрозы;
  • идентифицировать критичные ресурсы ИС;
  • выработать адекватные требования по защите информации;
  • сформировать перечень наиболее опасных уязвимых мест, угроз и потенциальных злоумышленников;
  • получить определенный уровень гарантий, основанный на объективном экспертном заключении.

При анализе рисков осуществляется:

  • классификация информационных ресурсов;
  • анализ уязвимостей;
  • составление модели потенциального злоумышленника;
  • оценка рисков нарушения информационной безопасности.

В процессе анализа рисков проводится оценка критичности идентифицированных уязвимых мест и возможности их использования потенциальным злоумышленником для осуществления несанкционированных действий.

Разработка рекомендаций

На основании информации, полученной в ходе обследования информационной инфраструктуры заказчика и результатов анализа рисков, разрабатываются рекомендации по совершенствованию системы защиты информации, применение которых позволит минимизировать риски, с приложением списка конкретных уязвимостей активного сетевого оборудования, серверов, межсетевых экранов и др.

По завершении аудита подготавливается итоговый отчет, содержащий оценку текущего уровня безопасности ИТ-инфраструктуры, информацию об обнаруженных проблемах, анализ соответствующих рисков и рекомендации по их устранению.

Результат

Результатом аудита безопасности внешнего периметра корпоративной сети является аудиторский отчет. Общая структура отчета:

  • Оценка текущего уровня защищенности информационной системы:
    • Описание и оценка текущего уровня защищенности информационной системы;
    • Анализ конфигурации конфигурационной информации, найденные уязвимости;
    • Анализ рисков, связанных с возможностью осуществления внутренних и внешних угроз в отношении ресурсов информационной системы;
  • Рекомендации по технической составляющей ИБ:
    • по изменению конфигурации существующих сетевых устройств и серверов;
    • по изменению конфигурации существующих средств защиты;
    • по активации дополнительных штатных механизмов безопасности на уровне системного программного обеспечения;
    • по использованию дополнительных средств защиты;
  • Рекомендации по организационной составляющей ИБ:
    • по разработке политики информационной безопасности;
    • по организации службы ИБ;
    • по разработке организационно-распорядительных и нормативно-технических документов;
    • по пересмотру ролевых функций персонала и зон ответственности;
    • по разработке программы осведомленности сотрудников в части информационной безопасности;
    • по поддержке и повышению квалификации персонала.

it-professional.ru

Аудит безопасности корпоративных информационных систем

В статье раскрывается сущность понятия аудита информационной безопасности, описываются три основные виды аудита безопасности корпоративных информационных систем: активный, экспертный и проверка на соответствие стандартам.

Ключевые слова. аудит, информационная система, информационная безопасность.

Половина аудиторских компаний заявляет об уникальности своих услуг. Так что задача выбора аудитора очень непроста. Особенно это верно в отношении информационной безопасности. Проблема заключается в том, что во многих компаниях просто-напросто нет специалиста, способного точно поставить цель аудита и выбрать подходящий способ его проведения. Таким образом, заказчики и исполнители услуги часто говорят на разных языках, не понимая друг друга. Для того чтобы избежать подобных ситуаций в данной статье определяется, что же такое аудит безопасности информационной системы компании и какой он бывает.

В наше время специалистами используется несколько определений аудита. Но наибольшее распространение получили два из них:

-          аудит информационных систем — это проверка используемых компанией информационных систем, систем безопасности, систем связи с внешней средой, корпоративной сети на предмет их соответствия бизнес-процессам, протекающим в компании, а также соответствия международным стандартам с последующей оценкой рисков сбоев в их функционировании;

-          аудит информационной безопасности — системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности.

Как видно, суть обоих определений, в общем-то, одинакова и сводится к следующему. Аудит безопасности информационных систем — это их проверка, тестирование, которое должно выявить потенциальные опасности и уязвимости в защите. При этом используется принцип сравнения результатов теста с неким идеалом, установленным целями аудита (задается заказчиком), а также личным опытом самого аудитора. При этом должно учитываться множество самых разнообразных факторов, в том числе и информация о заказчике: область его деятельности, размер фирмы и т. п.

В аудите безопасности информационных систем специалисты выделяют три основные составляющие: способы проведения проверки, что является результатами исследования и идеал, с которым их будут сравнивать. Естественно, все эти компоненты взаимосвязаны между собой. Например, требуемые результаты аудита определяют способ его проведения.

Принято подразделять аудит безопасности информационных систем на три вида: активный, экспертный и проверка на соответствие стандартам. Все они отличаются друг от друга основными компонентами. Рассмотрим их подробнее.

Активный аудит некоторые специалисты называют практическим или инструментальным. Дело в том, что суть этого исследования заключается в проведении экспертами настоящих атак на информационную систему заказчика. Таким образом, происходит проверка надежности защиты в «боевых» условиях. Естественно, если экспертам удается пробить защиту, никаких деструктивных действий они не производят, а только фиксируют факт проникновения и уязвимость, которая позволила это сделать.

Для того чтобы точнее понять, что представляет собой активный аудит, необходимо рассмотреть все его составляющие. Начать лучше всего с разбора способов реализации исследования. В подавляющем большинстве случаев аудиторы используют как можно большее количество самых разнообразных атак. Они могут применять любые программные и аппаратные средства, доступные хакерам. Более того, в некоторых случаях им разрешается совершать попытки проникновения в офис компании, общаться с сотрудниками заказчика, использовать методы социальной инженерии и т. п. То есть фактически эксперты должны вести себя точно так же, как и злоумышленники, которые поставили себе цель любыми способами получить доступ к конфиденциальной информации.

Результатами проведения аудита корпоративной информационной системы является перечень атак, имевших успех, а также уязвимости, которые были использованы для их реализации. Кроме того, исследование должно показать, какие данные являются широкодоступными. Вполне возможно, что среди них окажется и такая информация, которую лучше скрыть от посторонних глаз. Идеалом при проведении активного аудита является ситуация, когда эксперты так и не смогли получить несанкционированный доступ к системе и не обнаружили ничего подозрительного среди общедоступных данных.

В отчете о своей работы по тестированию корпоративной системы информационной безопасности аудиторы должны не только указать на существующие в ней уязвимости, но и предложить способы их устранения. Чаще всего с помощью активного аудита выявляются не очень серьезные проблемы, заключающиеся в использовании устаревших версий программного обеспечения с незакрытыми «дырами». Другой весьма распространенный тип уязвимостей — некорректная настройка тех или иных продуктов. Дело в том, что в защите информационной системы очень многое зависит от администратора, который ее настраивал. Впрочем, иногда активный аудит позволяет выявить и серьезные недочеты в планировании корпоративной защиты.

Необходимо отметить, что большинство экспертов делят свои услуги на две части. Внешний активный аудит позволяет исследовать защищенность корпоративной информационной системы от всевозможных удаленных атак. При его проведении эксперты сканируют доступные хосты, принадлежащие заказчику, проводят на них общие атаки, пытаются выяснить тип и версию операционной системы и провести специализированные воздействия. Вторая часть активного аудита — внутренняя. Она призвана выявить опасности, идущие от некорректно настроенных сотрудников компании или злоумышленников, незаконно проникших в офис. Особое внимание здесь уделяется способам аутентификации пользователей в корпоративной информационной системе, парольный аудит, безопасность данных при передаче по локальной сети, разделение прав доступа и т. п. Интересно, что компании могут заказывать как каждую часть активного аудита по отдельности (внутренний или внешний аудит), так и обе вместе.

Основное назначение активного аудита — периодическая проверка защиты информационной системы с целью выявления вновь появившихся уязвимостей. Ведь ситуация в области ИБ изменяется очень быстро, постоянно находят новые «дыры», выходят обновления ПО, появляются новые атаки. Именно для того чтобы «не отстать от жизни», и нужен активный аудит. Впрочем, совсем не обязательно всегда заказывать полное тестирование. В некоторых случаях вполне достаточно проведения либо внешнего, либо внутреннего аудита. Одной из главных причин принятия такого решения являются, конечно же, финансовые ограничения. Впрочем, не всегда дело только в них. В некоторых случаях компаниям просто не нужен один из видов активного аудита. Примером может служить ситуация, когда выход в Интернет есть только на одном компьютере, не включенном в общую сеть.

Еще одной причиной проведения именно частичного аудита является следующая ситуация. Допустим, была обнаружена утечка важной конфиденциальной информации через Интернет. При этом известен лишь сам факт взлома, но не ясно, каким образом злоумышленники смогли его осуществить. В этом случае проведение внешнего активного аудита позволит найти уязвимость и определить способы ее устранения. При этом исследование внутренней безопасности информационной системы может оказаться избыточным и вылиться только в дополнительные затраты, не принеся реальной пользы.

Суть экспертного аудита заключается в подробнейшем исследовании защиты информационной системы предприятия и в ее сравнении с некоторой идеальной системой обеспечения информационной безопасности. Причем идеал в каждом конкретном случае может меняться очень значительно. Дело в том, что он зависит от двух факторов. Первый из них — требования, предъявленные руководством компании к системе защиты. Вторым фактором, необходимым для представления идеальной системы защиты информации, являются собственный опыт, который накоплен компанией-аудитором, а также знания о текущем положении в области информационной безопасности.

Процесс экспертного аудита состоит из нескольких последовательных шагов. Первый из них — сбор максимально возможного количества данных о действующей в компании информационной системе, ее функциях, используемых технологиях и т. п. Обычно для этого используется интервьюирование сотрудников компании-заказчика и заполнение ими специально составленных анкет. Причем вопросы, задаваемые разным людям, отличаются друг от друга. Так, например, руководители разного уровня могут дать представление о требованиях, предъявляемых к системе защиты, а технические специалисты — данные об основах функционирования информационной системы предприятия и используемых для ее безопасности продуктах и технологиях.

Следующий этап экспертного аудита — это анализ собранной информации. В его процессе осуществляется составление общего проекта информационной системы, которая и будет сравниваться с идеалом. Такой анализ наиболее хорошо выявляет не какие-то небольшие дыры в системе защиты, которыми могут воспользоваться злоумышленники, а глобальные ошибки в топологии корпоративной сети, в использовании средств безопасности и т. п. Оценка осуществляется исходя из личного опыта и знаний специалиста или специалистов компании-аудитора. В результате работы эти эксперты могут определить потенциально опасные места в системе защиты коммерческой информации и предложить варианты их устранения.

Далее аудиторы должны проанализировать информационные потоки исследуемого предприятия. Для этого чаще всего используется специальная схема, на которую наносится движение всей документации между компьютерами сотрудников, серверами и прочими элементами информационной системы. При этом учитывается ценность данных. В результате схема позволяет наглядно представить движение коммерческой информации и увидеть, в каких точках информационной системы она наиболее уязвима. Результатом выполнения этой операции могут стать предложения по усилению защиты в таких местах. Ну а указанная ценность информации позволяет оценить экономическую оправданность данных мер и следовать при доработке системы безопасности принципу разумной достаточности.

Ну и, наконец, последний шаг экспертного аудита — анализ всех организационно-распорядительных документов: политики безопасности, дополнительных соглашений с сотрудниками, инструкций для работников и т. п. Им ни в коем случае нельзя пренебрегать. Дело в том, что зачастую бывает так, что разные документы противоречат друг другу. Или в них присутствуют своеобразные дыры, позволяющие сотрудникам компании безнаказанно нарушать установленную политику безопасности. Особенно это верно в отношении тех документов, которые регламентируют полномочия и ответственность лиц, ответственных за защиту информационной системы от различных злоумышленников, и технического персонала, занимающегося обслуживанием информационной системы предприятия.

Суть аудита на соответствие стандартам наиболее приближена к тем формулировкам и целям, которые существуют в финансовой сфере. При проведении данного вида аудита состояние информационной безопасности сравнивается с неким абстрактным описанием, приводимым в стандартах.

Официальный отчет, подготовленный в результате проведения данного вида аудита, включает следующую информацию:

-          степень соответствия проверяемой информационной системы выбранным стандартам;

-          степень соответствия собственным внутренним требованиям компании в области информационной безопасности;

-          количество и категории полученных несоответствий и замечаний;

-          рекомендации по построению или модификации системы обеспечения информационной безопасности, позволяющие привести ее в соответствие с рассматриваемым стандартом;

-          подробная ссылка на основные документы заказчика, включая политику безопасности, описания процедур обеспечения информационной безопасности, дополнительные обязательные и необязательные стандарты и нормы, применяемые к данной компании.

Причины проведения аудита на соответствие стандарту (и сертификации) можно условно разделить по степени обязательности данной услуги по отношению к компании: обязательная сертификация; сертификация, вызванная «внешними» объективными причинами; сертификация, позволяющая получить выгоды в долгосрочной перспективе; добровольная сертификация.

Государственные организации, которые обрабатывают сведения, составляющие государственную тайну, в соответствии с российским законодательством обязаны проводить аттестацию информационной системы (во многом процедура аналогична сертификации). Однако чаще всего они пользуются не услугой аудита на соответствие стандартам, а в обязательном порядке проводят аттестацию собственных информационных систем при участии аттестационных центров.

В последнее время все большее количество компаний рассматривают получение сертификата, подтверждающего высокий уровень информационной безопасности, как «козырь» в борьбе за крупного клиента или делового партнера.

В этом случае целесообразно проведение аудита и последующей сертификации на соответствие тем стандартам, которые являются значимыми для клиента или делового партнера.

Иногда руководство компании проявляет инициативу по сертификации системы информационной безопасности. Для таких организаций важны не только защита собственных ресурсов, но и подтверждение со стороны независимого эксперта (в роли которого выступает компания-аудитор) высокого уровня защиты.

Литература:

1.         Security Risk Analysis & Assessmen. Ссылка на сайт http://www.riskworld.net

2.         Digital Security. Ссылка на сайт www.dsec.ru

3.         Бармен С. Разработка правил информационной безопасности. М.: Вильямс, 2002. — 208 с. — ISBN 5–8459–0323–8, ISBN 1–57870–264-X.

moluch.ru

Виды аудита информационной безопасности

  • определение доступных из внешних сетей IP-адресов заказчика;
  • сканирование данных адресов с целью определения работающих сервисов и служб, а также назначения отсканированных хостов;
  • определение версий сервисов и служб сканируемых хостов;
  • изучение маршрутов прохождения трафика к хостам заказчика;
  • сбор информации об ИС заказчика из открытых источников;
  • анализ полученных данных с целью выявления уязвимостей.

«Внутренний» активный аудит по составу работ аналогичен «внешнему», однако при его проведении с помощью специальных програм-мных средств моделируются действия «внутреннего» злоумышленника.

Данное деление активного аудита на «внешний» и «внутренний» актуально для заказчика в следующих случаях:

  • у заказчика существуют финансовые ограничения в приобретении услуг и продуктов по защите информации;
  • модель злоумышленника, которую рассматривает заказчик, не включает «внутренних» злоумышленников;
  • в компании заказчика расследуется факт обхода системы сетевой защиты.
Иногда в ходе активного аудита заказчику предлагается ряд дополнительных услуг, напрямую связанных с оценкой состояния системы информационной безопасности, в частности – проведение специализированных исследований.Зачастую организация в своей информационной системе использует специализированное программное обеспечение (ПО) собственной разработки, предназначенное для решения нестандартных задач (например, корпоративный информационный портал, различные бухгалтерские системы или системы документооборота). Подобные ПО уникальны, поэтому каких-либо готовых средств и технологий для анализа их защищенности и отказоустойчивости не существует. В данном случае проводятся специализированные исследования, направленные на оценку уровня защищенности конкретного ПО.Еще один вид услуг, предлагаемых в ходе активного аудита, – исследование производительности и стабильности системы, или стресс-тестирование. Оно направлено на определение критических точек нагрузки, при которой система вследствие атаки на отказ в обслуживании или повышенной загруженности перестает адекватно реагировать на легитимные запросы пользователей. Стресс-тест позволит выявить «узкие» места в процессе формирования и передачи информации и определить те условия, при которых нормальная работа системы невозможна. Тестирование включает в себя моделирование атак на отказ в обслуживании, пользовательских запросов к системе и общий анализ производительности.Одной из самых «эффектных» услуг является тест на проникновение (Penetration Testing), который во многом похож на «внешний» активный аудит, но по своей сути аудитом не является. Основная цель данного тестирования – демонстрация «успехов», которых может достигнуть хакер, действующий при текущем состоянии системы сетевой защиты. Результаты данной услуги более наглядны, чем результаты аудита. Однако ей свойственны множество ограничений и особенностей. Например, особенность технического характера: заказчик информируется только о факте уязвимости системы сетевой защиты, в то время как в результатах «внешнего» активного аудита заказчику сообщаются не только факт уязвимости сети, но и сведения обо всех уязвимостях и способах их устранения. Экспертный аудит можно условно представить как сравнение состояния информационной безопасности с «идеальным» описанием, которое базируется на следующем:
  • требования, которые были предъявлены руководством в процессе проведения аудита;
  • описание «идеальной» системы безопасности, основанное на аккумулированном в компании-аудиторе мировом и частном опыте.
При выполнении экспертного аудита сотрудники компании-аудитора совместно с представителями заказчика проводят следующие виды работ:
  • сбор исходных данных об информационной системе, об ее функциях и особенностях, используемых технологиях автоматизированной обработки и передачи данных (с учетом ближайших перспектив развития);
  • сбор информации об имеющихся организационно-распорядительных документах по обеспечению информационной безопасности и их анализ;
  • определение точек ответственности систем, устройств и серверов ИС;
  • формирование перечня подсистем каждого подразделения компании с категорированием критичной информации и схемами информационных потоков.
Один из самых объемных видов работ, которые проводятся при экспертном аудите, – сбор данных об информационной системе путем интервьюирования представителей заказчика и заполнения ими специальных анкет.Основная цель интервьюирования технических специалистов – сбор информации о функционировании сети, а руководящего состава компании – выяснение требований, которые предъявляются к системе информационной безопасности.Необходимо отметить, что при экспертном аудите безопасности информационной системы учитываются результаты предыдущих обследований (в том числе других аудиторов), выполняются обработка и анализ проектных решений и других рабочих материалов, касающихся вопросов создания информационной системы.Ключевой этап экспертного аудита – анализ проекта информационной системы, топологии сети и технологии обработки информации, в ходе которого выявляются, например, такие недостатки существующей топологии сети, которые снижают уровень защищенности информационной системы.По результатам работ данного этапа предлагаются изменения (если они требуются) в существующей информационной системе и технологии обработки информации, направленные на устранение найденных недостатков с целью достижения требуемого уровня информационной безопасности.Следующий этап – анализ информационных потоков организации. На данном этапе определяются типы информационных потоков ИС организации и составляется их диаграмма, где для каждого информационного потока указываются его ценность (в том числе ценность передаваемой информации) и используемые методы обеспечения безопасности, отражающие уровень защищенности информационного потока.На основании результатов данного этапа работ предлагается защита или повышение уровня защищенности тех компонент информационной системы, которые участвуют в наиболее важных процессах передачи, хранения и обработки информации. Для менее ценной информации уровень защищенности остается прежним, что позволяет сохранить для конечного пользователя простоту работы с информационной системой.Применение анализа информационных потоков организации дает возможность спроектировать систему обеспечения информационной безопасности, соответствующую принципу разумной достаточности. В рамках экспертного аудита проводится анализ организационно-распорядительных документов, таких как политика безопасности, план защиты и различного рода инструкции.Организационно-распорядительные документы оцениваются на предмет достаточности и непротиворечивости декларируемым целям и мерам информационной безопасности. Особое внимание на этапе анализа информационных потоков уделяется определению полномочий и ответственности конкретных лиц за обеспечение информационной безопасности различных участков/подсистем ИС. Полномочия и ответственность должны быть закреплены положениями организационно-распорядительных документов.

Результаты экспертного аудита могут содержать разноплановые предложения по построению или модернизации системы обеспечения информационной безопасности, например:

  • изменения (если они требуются) в существующей топологии сети и технологии обработки информации;
  • рекомендации по выбору и применению систем защиты информации и других дополнительных специальных технических средств;
  • предложения по совершенствованию пакета организационно-распорядительных документов;
  • рекомендации по этапам создания системы информационной безопасности;
  • ориентировочные затраты на создание или совершенствование системы обеспечения информационной безопасности (СОИБ).
Суть данного вида аудита наиболее приближена к тем формулировкам и целям, которые существуют в финансовой сфере. При проведении данного вида аудита состояние информационной безопасности сравнивается с неким абстрактным описанием, приводимым в стандартах.

Официальный отчет, подготовленный в результате проведения данного вида аудита, включает следующую информацию:

  • степень соответствия проверяемой информационной системы выбранным стандартам;
  • степень соответствия собственным внутренним требованиям компании в области информационной безопасности;
  • количество и категории полученных несоответствий и замечаний;
  • рекомендации по построению или модификации системы обеспечения информационной безопасности, позволяющие привести ее в соответствие с рассматриваемым стандартом;
  • подробная ссылка на основные документы заказчика, включая политику безопасности, описания процедур обеспечения информационной безопасности, дополнительные обязательные и необязательные стандарты и нормы, применяемые к данной компании.
Ниже перечислены примеры стандартов, на соответствие которым проводится аудит системы информационной безопасности:
  • существующие руководящие документы Гостехкомиссии:– «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (далее – РД для АС);– «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К);– «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» (ГОСТ Р ИСО/МЭК 15408-2002 или «Общие критерии»);
  • зарубежные и международные стандарты:– Международный стандарт ISO/IEC 17799 «Информационные технологии. Управление информационной безопасностью» (Information Technology – Information Security Management). На сегодняшний день является одним из самых распространенных и широко применяемым стандартом во всем мире;

    – Международный стандарт WebTrust. Применим для подтверждения высокого уровня защищенности системы электронной коммерции и web-сервисов.

Причины проведения аудита на соответствие стандарту (и сертификации) можно условно разделить по степени обязательности данной услуги по отношению к компании: обязательная сертификация; сертификация, вызванная «внешними» объективными причинами; сертификация, позволяющая получить выгоды в долгосрочной перспективе; добровольная сертификация.Государственные организации, которые обрабатывают сведения, составляющие государственную тайну, в соответствии с российским законодательством обязаны проводить аттестацию информационной системы (во многом процедура аналогична сертификации). Однако чаще всего они пользуются не услугой аудита на соответствие стандартам, а в обязательном порядке проводят аттестацию собственных информационных систем при участии аттестационных центров.Учитывая распространенность услуги аттестации и многолетний опыт работы аттестационных центров, услуга аудита на соответствие РД для АС по трудозатратам аудитора, а значит, и по стоимости, приравнивается к услуге аттестации, поэтому клиенту выгодно приобретать именно последнюю.Среди государственных организаций (а также «полугосударственных» – организаций с большой долей уставного капитала, принадлежащего государству) велика доля тех, кто в соответствии с законодательством не обязан проводить аттестацию информационной системы. Для них аудит на соответствие стандартам более актуален. Чаще всего его проводит компания-интегратор, которая имеет большой опыт успешного взаимодействия с компанией-заказчиком. При необходимости в качестве субподрядчиков привлекаются аттестационные центры.В последнее время все большее количество компаний рассматривают получение сертификата, подтверждающего высокий уровень информационной безопасности, как «козырь» в борьбе за крупного клиента или делового партнера. В этом случае целесообразно проведение аудита и последующей сертификации на соответствие тем стандартам, которые являются значимыми для клиента или делового партнера. Иногда руководство компании проявляет инициативу по сертификации системы информационной безопасности. Для таких организаций важны не только защита собственных ресурсов, но и подтверждение со стороны независимого эксперта (в роли которого выступает компания-аудитор) высокого уровня защиты.В заключение отметим, что при планировании проверки состояния системы информационной безопасности важно не только точно выбрать вид аудита, исходя из потребностей и возможностей компании, но и не ошибиться с выбором исполнителя.Как уже было сказано, результаты любого вида аудита содержат рекомендации по модернизации системы обеспечения информационной безопасности. Если аудит проводит консалтинговая компания, которая кроме консалтинговой деятельности занимается еще и разработкой собственных систем защиты информации, она, по понятным причинам, заинтересована в том, чтобы результаты аудита рекомендовали заказчику использовать ее продукты. Для того чтобы рекомендации на основе аудита были действительно объективными, необходимо, чтобы компания-аудитор была независима в выборе используемых систем защиты информации и имела большой опыт работы в области информационной безопасности.

На данный момент в информационной безопасности нет устоявшегося определения аудита. Вот лишь несколько формулировок, используемых специалистами: «Аудит информационных систем — это проверка используемых компанией информационных систем, систем безопасности, систем связи с внешней средой, корпоративной сети на предмет их соответствия бизнес-процессам, протекающим в компании, а также соответствия международным стандартам, с последующей оценкой рисков сбоев в их функционировании» («Консалтинг и аудит в сфере ИТ 2004». CNews Analytics).«Аудит информационной безопасности – системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности»(«Аудит безопасности Intranet». С. А. Петренко, 2002 г.).Таким образом, аудит в данном случае сводится к проверке системы информационной безопасности и сравнению ее результатов с неким идеалом.

Для различных видов аудита различаются все три составляющие услуги аудита: средства и способы проверки, результат проверки и идеал, с которым сравнивается результат проверки.

Роман Просянников

www.iso27000.ru

Аудит безопасности информационных систем Сегодня информационные системы ИС

Аудит безопасности информационных систем Сегодня информационные системы (ИС) играют ключевую роль в обеспечении эффективности работы коммерческих и государственных предприятий. Повсеместное использование ИС для хранения, обработки и передачи информации делает актуальными проблемы их защиты, особенно учитывая глобальную тенденцию к росту числа информационных атак, приводящих к значительным финансовым и материальным потерям. Для эффективной защиты от атак компаниям необходима объективная оценка уровня безопасности ИС - именно для этих целей и применяется аудит безопасности.

Аудит безопасности информационных систем Аудит представляет собой независимую экспертизу отдельных областей функционирования организации. Различают внешний и внутренний аудит. Внешний аудит – это, как правило, разовое мероприятие, проводимое по инициативе руководства организации или акционеров. Рекомендуется проводить внешний аудит регулярно. Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании «Положения о внутреннем аудите» и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации. Аудит безопасности информационных систем является одной из составляющих ИТ аудита.

Аудит безопасности информационных систем Виды аудита безопасности Можно выделить следующие основные виды аудита информационной безопасности: • экспертный аудит безопасности, в ходе которого выявляются недостатки в системе мер защиты информации на основе опыта экспертов, участвующих в процедуре обследования; • оценка соответствия рекомендациям международного стандарта ISO 17799, а также требованиям руководящих документов ФСТЭК (Гостехкомиссии); • инструментальный анализ защищенности ИС, направленный на выявление и устранение уязвимостей программно-аппаратного обеспечения системы; • комплексный аудит, включающий в себя все вышеперечисленные формы проведения обследования. Любой из перечисленных видов аудита может проводиться по отдельности или в комплексе, в зависимости от тех задач, которые решает предприятие. В качестве объекта аудита может выступать как ИС компании в целом, так и ее отдельные сегменты, в которых обрабатывается информация, подлежащая защите.

Аудит безопасности информационных систем Целями проведения аудита безопасности являются: • анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС • оценка текущего уровня защищенности ИС; • локализация узких мест в системе защиты ИС; • оценка соответствия ИС существующим стандартам в области информационной безопасности; • выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.

Аудит безопасности информационных систем Пожалуй, этим и исчерпывается набор целей проведения аудита безопасности, но только в том случае, если речь идет о внешнем аудите. В число дополнительных задач, стоящих перед внутренним аудитором, помимо оказания помощи внешним аудиторам, могут также входить: • разработка политик безопасности и других организационнораспорядительных документом по защите информации и участие в их внедрении в работу организации; • постановка задач для ИТ персонала, касающихся обеспечения защиты информации; • участие в обучении пользователей и обслуживающего персонала ИС вопросам обеспечения информационной безопасности; • участие в разборе инцидентов, связанных с нарушением информационной безопасности; и другие. Необходимо отметить, что все перечисленные выше «дополнительные» задачи, стоящие перед внутренним аудитором, за исключением участия в обучении, по существу аудитом не являются.

Аудит безопасности информационных систем Аудитор по определению должен осуществлять независимую экспертизу реализации механизмов безопасности в организации, что является одним из основных принципов аудиторской деятельности. Если аудитор принимает деятельное участие в реализации механизмов безопасности, то независимость аудитора утрачивается, а вместе с ней утрачивается и объективность его суждений, т. к. аудитор не может осуществлять независимый и объективных контроль своей собственной деятельности. Однако, на практике, внутренний аудитор, порой, являясь наиболее компетентным специалистом в организации в вопросах обеспечения информационной безопасности, не может оставаться в стороне от реализации механизмов защиты.

Аудит безопасности информационных систем По крайней мере, деятельное участие во внедрении той же подсистемы аудита безопасности, которая смогла бы предоставлять аудитору исходные данные для анализа текущей ситуации, он принять может и должен. Конечно, в этом случае, аудитор уже не сможет объективно оценить реализацию этот подсистемы и она естественным образом выпадает из плана проведения аудита. Точно также, внутренний аудитор может принять деятельное участие в разработке политик безопасности, предоставив возможность оценивать качество этих документов внешним аудиторам.

Аудит безопасности информационных систем Этапность работ по проведению аудита безопасности информационных систем Работы по аудиту безопасности ИС включают в себя ряд последовательных этапов, которые в целом соответствуют этапам проведения комплексного ИТ аудита АС, который включает в себя следующее: • Инициирование процедуры аудита • Сбор информации аудита • Анализ данных аудита • Выработка рекомендаций • Подготовка аудиторского отчета

Аудит безопасности информационных систем Инициирование процедуры аудита Аудит проводится не по инициативе аудитора, а по инициативе руководства компании, которое в данном вопросе является основной заинтересованной стороной. Поддержка руководства компании является необходимым условием для проведения аудита. Аудит представляет собой комплекс мероприятий, в которых помимо самого аудитора, оказываются задействованными представители большинства структурных подразделений компании. Действия всех участников этого процесса должны быть скоординированы. Поэтому на этапе инициирования процедуры аудита должны быть решены следующие организационные вопросы:

Аудит безопасности информационных систем • права и обязанности аудитора должны быть четко определены и документально закреплены в его должностных инструкциях, а также в положении о внутреннем (внешнем) аудите; • аудитором должен быть подготовлен и согласован с руководством план проведения аудита; • в положении о внутреннем аудите должно быть закреплено, в частности, что сотрудники компании обязаны оказывать содействие аудитору и предоставлять всю необходимую для проведения аудита информацию.

Аудит безопасности информационных систем На этапе инициирования процедуры аудита должны быть определены границы проведения обследования. Одни информационные подсистемы компании не являются достаточно критичными и их можно исключить из границ проведения обследования. Другие подсистемы могут оказаться недоступными для аудита из-за соображений конфиденциальности. План и границы проведения аудита обсуждается на рабочем собрании, в котором участвуют аудиторы, руководство компании и руководители структурных подразделений.

Аудит безопасности информационных систем Границы проведения обследования определяются в следующих терминах: • Список обследуемых физических, программных и информационных ресурсов; • Площадки (помещения), попадающие в границы обследования; • Основные виды угроз безопасности, рассматриваемые при проведении аудита; • Организационные (законодательные, административные и процедурные), физические, программно-технические и прочие аспекты обеспечения безопасности, которые необходимо учесть в ходе проведения обследования, и их приоритеты (в каком объеме они должны быть учтены).

Аудит безопасности информационных систем Сбор информации аудита Этап сбора информации аудита, является наиболее сложным и длительным. Это связано с отсутствием необходимой документации на информационную систему и с необходимостью плотного взаимодействия аудитора со многими должностными лицами организации. Компетентные выводы относительно положения дел в компании с информационной безопасностью могут быть сделаны аудитором только при условии наличия всех необходимых исходных данных для анализа.

Аудит безопасности информационных систем Получение информации об организации, функционировании и текущем состоянии ИС осуществляется аудитором в ходе специально организованных интервью с ответственными лицами компании, путем изучения технической и организационнораспорядительной документации, а также исследования ИС с использованием специализированного программного инструментария. Остановимся на том, какая информация необходима аудитору для анализа. Обеспечение информационной безопасности организации – это комплексный процесс, требующий четкой организации и дисциплины. Он должен начинаться с определения ролей и распределения ответственности среди должностных лиц, занимающихся информационной безопасностью.

Аудит безопасности информационных систем Поэтому первый пункт аудиторского обследования начинается с получения информации об организационной структуре пользователей ИС и обслуживающих подразделений. В связи с этим аудитору требуется следующая документация: • Схема организационной структуры пользователей; • Схема организационной структуры обслуживающих подразделений. Обычно, в ходе интервью аудитор задает опрашиваемым следующие вопросы: • Кто является владельцем информации? • Кто является пользователем (потребителем) информации? • Кто является провайдером услуг?

Аудит безопасности информационных систем Назначение и принципы функционирования ИС во многом определяют существующие риски и требования безопасности, предъявляемые к системе. Поэтому на следующем этапе аудитора интересует информация о назначении и функционировании ИС. Аудитор задает опрашиваемым примерно следующие вопросы: • Какие услуги и каким образом предоставляются конечным пользователям? • Какие основные виды приложений, функционирует в ИС? • Количество и виды пользователей, использующих эти приложения?

Аудит безопасности информационных систем Ему понадобиться также следующая документация, конечно, если таковая вообще имеется в наличие (что, вообще говоря, случается нечасто): • Функциональные схемы; • Описание автоматизированных функций; • Описание основных технических решений; • Другая проектная и рабочая документация на информационную систему.

Аудит безопасности информационных систем Далее, аудитору требуется более детальная информация о структуре ИС. Это позволит уяснить, каким образом осуществляется распределение механизмов безопасности по структурным элементам и уровням функционирования ИС. Типовые вопросы, которые обсуждаются в связи с этим во время интервью, включают в себя: • Из каких компонентов (подсистем) состоит ИС? • Функциональность отдельных компонент? • Где проходят границы системы? • Какие точки входа имеются? • Как ИС взаимодействует с другими системами? •

Аудит безопасности информационных систем Какие точки входа имеются? Как ИС взаимодействует с другими системами? Какие каналы связи используются для взаимодействия с другими ИС? Какие каналы связи используются для взаимодействия между компонентами системы? По каким протоколам осуществляется взаимодействие? Какие программно-технические платформы используются при построении системы?

Аудит безопасности информационных систем На этом этапе аудитору необходимо запастись следующей документацией: • Структурная схема ИС; • Схема информационных потоков; • Описание структуры комплекса технических средств информационной системы; • Описание структуры программного обеспечения; • Описание структуры информационного обеспечения; • Размещение компонентов информационной системы. Подготовка значительной части документации на ИС, обычно, осуществляется уже в процессе проведения аудита. Когда все необходимые данные по ИС, включая документацию, подготовлены, можно переходить к их анализу.

present5.com


Смотрите также