Аудит и информационная безопасность IT систем

Комплексный аудит информационной безопасности
Аудит информационной безопасности (ИБ) – независимая оценка текущего состояния системы информационной безопасности, устанавливающая уровень ее соответствия определенным критериям, и предоставление результатов в виде рекомендаций.

Комплексный аудит безопасности информационных систем позволяет получить наиболее полную и объективную оценку защищенности информационной системы, локализовать имеющиеся проблемы и разработать эффективную программу построения системы обеспечения информационной безопасности организации.

Какие задачи решает проведение аудита?
Аудит безопасности проводят, решая следующие задачи:

  • Повышение уровня защиты информации до приемлемого
  • Оптимизация и планирование затрат на обеспечение информационной безопасности
  • Обоснование инвестиций в системы защиты
  • Получение максимальной отдачи от инвестиций, вкладываемых в системы защиты информации
  • Подтверждение того, что используемые внутренние средства контроля соответствуют задачам организации и позволяют обеспечить эффективность и непрерывность бизнеса.

Какие преимущества эта услуга дает заказчику?
Аудит информационной безопасности позволяет получить наиболее полную и объективную оценку защищенности информационной системы (ИС), локализовать имеющиеся проблемы и разработать эффективную программу построения системы обеспечения ИБ организации.

Аудит информационной безопасности можно проводить как силами штатного персонала (внутренний аудит), так и привлекая независимых специалистов (внешний аудит). Ценность внешнего аудита информационной безопасности для потенциальных клиентов заключается в следующем:

Аудит представляет собой независимое исследование, что повышает степень объективности результатов.
Эксперты, проводящие аудит, имеют более высокую квалификацию и больший опыт подобной работы, нежели штатные сотрудники организации.
Дешевле поручить выполнение работ по аудиту специализированной организации, чем организовывать их самостоятельно.

Проведение аудита безопасности корпоративной информационной системы заказчика осуществляется в четыре этапа:

  • Постановка задачи и уточнение границ работ
  • Сбор и анализ информации
  • Проведение анализа рисков
  • Разработка рекомендаций
  • Постановка задачи и уточнение границ работ

На данном этапе проводятся сбор исходных данных от заказчика, их предварительный анализ, а также организационные мероприятия по подготовке проведения аудита:

  • Уточняются цели и задачи аудита
  • Формируется рабочая группа
  • Подготавливается и согласовывается техническое задание на проведение аудита

Целью аудита может быть как комплексный аудит системы защиты информации компании-заказчика, так и аудит информационной безопасности отдельных ИТ-систем (сетей передачи данных, вычислительных систем и систем хранения данных, и др.). На этом этапе цели проведения аудита уточняются и планируются все последующие шаги.

В состав рабочей группы должны входить специалисты компании исполнителя (компании проводящей аудит) и сотрудники компании заказчика. Сотрудники заказчика обеспечивают представление всей необходимой информации, контролируют процессы проведения обследования, а также участвуют в согласовании его результатов (промежуточных и конечных). Специалисты исполнителя отвечают за квалифицированное проведение работ по обследованию предметных областей в соответствии с определенными целями и задачами проекта, согласуют процессы и результаты проведения обследования.

Этап постановки задачи завершается разработкой, согласованием и утверждением технического задания (ТЗ). В ТЗ на аудит фиксируется состав и содержание работ по аудиту и требования к разрабатываемым документам. Кроме того, в ТЗ вносят сроки проведения работ, а при необходимости — план-график.

Параллельно с ТЗ разрабатывается соглашение о конфиденциальности и организуется взаимодействие со службой безопасности заказчика.

Сбор и анализ информации
На этом этапе собирается информация и дается оценка следующих мер и средств:

  • организационных мер в области информационной безопасности;
  • программно-технических средств защиты информации;
  • обеспечения физической безопасности.

Анализируются следующие харакетиристики построения и функционирования корпоративной информационной системы:

  • Организационные характеристики
  • Организационно-технические характеристики
  • Технические характеристики, связанные с архитектурой ИС
  • Технические характеристики, связанные с конфигурацией сетевых устройств и серверов ИС
  • Технические характеристики, связанные с использованием встроенных механизмов информационной безопасности

Организационные характеристики:

  • наличие, полнота и актуальность организационно-регламентных и нормативно-технических документов;
  • разделение зон ответственности ролей персонала по обеспечению информационной безопасности и его корректность;
  • наличие документированных списков, описывающих полномочия сотрудников по доступу к сетевым устройствам и серверам;
  • наличие планов по поддержке квалификации персонала, ответственного за обеспечение информационной безопасности
  • осведомленность пользователей и персонала, поддерживающего функционирование ИС, о требованиях по обеспечению информационной безопасности
  • корректность процедур управления изменениями и установления обновлений
  • порядок предоставления доступа к внутренним ресурсам информационных систем
  • наличие механизмов разграничения доступа к документации

Организационно-технические характеристики:

  • возможности использования найденных уязвимых мест в сетевых устройствах и серверах для реализации атак
  • наличие оперативного анализа журналов аудита и реагирования на события, связанные с попытками несанкционированного доступа, оценка полноты анализируемых событий, оценка адекватности защиты журналов аудита
  • наличие процедур по обнаружению и фиксации инцидентов информационной безопасности и механизмов расследования таких инцидентов
  • наличие процедуры и документирование любых действий, связанных с модификацией прав доступа, изменениями параметров аудита
  • периодичность контроля защищенности сетевых устройств и серверов
  • наличие процедуры отслеживания новых уязвимостей в системном программном обеспечении и его обновления
  • ограничение доступа в серверные помещения
  • адекватность времени восстановления в случае сбоев критичных устройств и серверов
  • наличие зоны опытной эксплуатации новых решений, процедуры тестирования и ввода в промышленную эксплуатацию

Технические характеристики, связанные с архитектурой ИС:

  • топология и логическая организация сетевой инфраструктуры, адекватность контроля логических путей доступа, адекватность сегментирования
  • топология и логическая организация системы защиты периметра, адекватность контроля доступа из внешних сетей
  • топология, логическая организация и адекватность контроля доступа между сегментами
  • наличие узлов, сбои на которых приведут к невозможности функционирования значительной части в ИС
  • наличие точек удаленного доступа к информационным ресурсам ИС и адекватность защиты такого доступа

Технические характеристики, связанные с конфигурацией сетевых устройств и серверов ИС:

  • права доступа персонала к сетевым устройствам и серверам, оценка минимально необходимых прав, которые требуются для выполнения производственных задач
  • соответствие списков контроля доступа на критичных сетевых устройствах документированным требованиям;
  • соответствие конфигурации операционных систем и использованию штатных механизмов информационной безопасности рекомендациям производителя и лучшей практике
  • наличие неиспользованных сервисов или сервисов, содержащих известные уязвимости
  • соответствие механизма и стойкости процедуры аутентификации – критичности ресурсов, оценка адекватности парольной политики и протоколирования деятельности операторов

Технические характеристики, связанные с использованием встроенных механизмов информационной безопасности:

  • оценка соответствия конфигурации встроенных средств защиты документированным требованиям и оценка адекватности существующей конфигурации;
  • оценка адекватности использования криптографической защиты информации и процедуры распределения ключевой информации;
  • наличие антивирусной проверки трафика, а также антивирусного контроля на рабочих станциях пользователей;
  • наличие резервных копий файлов конфигурации и образов дисков для критичных сетевых устройств и серверов;
  • наличие источников бесперебойного питания для критичных сетевых устройств и серверов и их адекватность требованиям по времени бесперебойной работы.

После получения исходных данных готовится отчет об обследовании. Отчет об обследовании является основой для последующих этапов аудита: анализа рисков и разработки рекомендаций.

Проведение анализа рисков
Проведение данного этапа является важной стадией при аудите информационной безопасности. Анализ рисков проводится для оценки реальных угроз нарушения информационной безопасности и разработки рекомендаций, выполнение которых позволит минимизировать эти угрозы.

Исходной информацией для анализа рисков является согласованный с заказчиком отчет о проведенном обследовании.

Анализ рисков дает возможность:

  • адекватно оценить существующие угрозы;
  • идентифицировать критичные ресурсы ИС;
  • выработать адекватные требования по защите информации;
  • сформировать перечень наиболее опасных уязвимых мест, угроз и потенциальных злоумышленников;
  • получить определенный уровень гарантий, основанный на объективном экспертном заключении.

При анализе рисков осуществляется:

  • классификация информационных ресурсов;
  • анализ уязвимостей;
  • составление модели потенциального злоумышленника;
  • оценка рисков нарушения информационной безопасности.

В процессе анализа рисков проводится оценка критичности идентифицированных уязвимых мест и возможности их использования потенциальным злоумышленником для осуществления несанкционированных действий.

Разработка рекомендаций
На основании информации, полученной в ходе обследования информационной инфраструктуры заказчика и результатов анализа рисков, разрабатываются рекомендации по совершенствованию системы защиты информации, применение которых позволит минимизировать риски, с приложением списка конкретных уязвимостей активного сетевого оборудования, серверов, межсетевых экранов и др.

По завершении аудита подготавливается итоговый отчет, содержащий оценку текущего уровня безопасности ИТ-инфраструктуры, информацию об обнаруженных проблемах, анализ соответствующих рисков и рекомендации по их устранению.

Результатом аудита безопасности внешнего периметра корпоративной сети является аудиторский отчет. Общая структура отчета:

Оценка текущего уровня защищенности информационной системы:

  • Описание и оценка текущего уровня защищенности информационной системы
  • Анализ конфигурации конфигурационной информации, найденные уязвимости
  • Анализ рисков, связанных с возможностью осуществления внутренних и внешних угроз в отношении ресурсов информационной системы

Рекомендации по технической составляющей ИБ:

  • по изменению конфигурации существующих сетевых устройств и серверов
  • по изменению конфигурации существующих средств защиты
  • по активации дополнительных штатных механизмов безопасности на уровне системного программного обеспечения
  • по использованию дополнительных средств защиты

Рекомендации по организационной составляющей ИБ:

  • по разработке политики информационной безопасности
  • по организации службы ИБ
  • по разработке организационно-распорядительных и нормативно-технических документов
  • по пересмотру ролевых функций персонала и зон ответственности
  • по разработке программы осведомленности сотрудников в части информационной безопасности
  • по поддержке и повышению квалификации персонала.
Обратный звонок
Обратный звонок
Форма обратного звонка WordPress