Мнение эксперта ИБ

Обсуждение новостей в сфере информационной безопасности

  • Системы видеонаблюдения
  • Информационная безопасность
  • ИТ-инфраструктура
  • Виртуализация

Комплексный аудит информационной безопасности

 

Комплексный аудит безопасности информационных систем служит для максимально детальной и более полной оценки защищенности информационной системы, позволяет определить уязвимые места и выработать действенный алгоритм создания системы информационной безопасности на предприятии.

Цели и задачи

К основным целям комплексного аудита информационной безопасности можно отнести:

  •   независимая оценка текущего состояния системы безопасности;
  •   идентификация, оценка опасности и ликвидации уязвимостей;
  •   технико-экономическое обоснование внедряемых механизмов безопасности;
  •   обеспечение соответствия требованиям действующего законодательства и международным стандартам;
  •   минимизация ущерба от инцидентов безопасности.

К ключевым задачам, решаемым в рамках проведения Комплексного аудита ИБ, относятся:

  •   повышение уровня защиты информации;
  •   оптимизация и планирование затрат на обеспечение информационной безопасности;
  •   обоснование инвестиций в системы защиты;
  •   получение максимальной отдачи от инвестиций, вкладываемых в системы защиты информации;
  •   подтверждение того, что используемые внутренние средства контроля соответствуют задачам организации и позволяют обеспечить эффективность и непрерывность бизнеса.

Этапы аудита

Проведение комплексного аудита безопасности корпоративной информационной системы заказчика включает четыре основных этапа:

  • проведение экспресс-обследования;
  • постановка задач и уточнение состава работ;
  • сбор данных в соответствии с детальным перечнем работ, определенных в ТЗ на аудит;
  • анализ собранных данных, оценка рисков и подготовка отчета.

Проведение экспресс-обследования

На данном этапе производится анализ сроков ключевых позиций аудита и конкретизация задач аудиторам. Если для выполнения аудита потребуется доступ к конфиденциальной информации (КИ), то перед осуществлением обследования подготавливается и утверждается соглашение о конфиденциальности, а также организуется взаимодействие с СБ (службой безопасности) объекта.

Постановка задач и уточнение состава работ

На данном этапе:

  1. Уточняются цели и задачи аудита
  2. Создается рабочая группа и выполняются все требуемые организационные процедуры. В состав рабочей группы обязательно входят специалисты компании-аудитора и сотрудники компании-заказчика. Специалисты заказчика передают всю требуемую документацию, осуществляют непосредственный контроль за проведением обследования, а также принимают участие в согласовании его промежуточных и конечных результатов. Аудиторы несут ответственность за профессиональное проведение работ по обследованию предметных областей в соответствии с поставленными целями и задачами проекта, согласуют процессы и результаты проведения обследования.
  3. Разрабатывается, согласовывается и утверждается техническое задание и календарный график выполнения работ. В ТЗ формируется перечень и состав работ, а также устанавливаются требования к отчетной документации.

Сбор данных в соответствии с детальным перечнем работ, определенных в ТЗ на аудит

В ходе этапа производится:

  1. Анализ работы всех программных и аппаратных решений, обеспечивающих безопасную и непрерывную работу ИТ-инфрастуктуры предприятия, включая анализ:
    • средств обеспечения сетевой безопасности - межсетевых экранов, прокси-серверов, средств организации VLAN, средств организации защищенного межсетевого взаимодействия (Site-to-Site VPN), средств организации защищенного удаленного доступа к корпоративным ресурсам (Remote Access VPN) и т.д.;
    • средств антивирусной защиты рабочих станций, серверов, электронной почты, доступа в интернет;
    • средств шифрования данных;
    • средств обеспечения резервного копирования данных и программного обеспечения;
    • средств бесперебойного питания оборудования;
    • средств контроля за распространением и использованием конфиденциальной информации.
  2. Анализ мер по защите аппаратного обеспечения (сетевого оборудования, серверов, рабочих станций, систем хранения), включая:
    • анализ наличия и соответствия конфигураций штатных механизмов информационной безопасности рекомендациям производителя и лучшей практике;
    • анализ мер по защите доступа;
    • обнаружение неиспользуемых сервисов и сервисов, содержащих известные уязвимости.
  3. Сбор данных о взаимосвязях объектов аудита с другими элементами ИТ-инфраструктуры, документирование этапов бизнес-процессов и отклонений от них;
  4. Документирование топологии и логической организации сетевой инфраструктуры, адекватности мер по контролю логических путей доступа, сегментирования сети;
  5. Документирование топологии и логической организации системы защиты периметра, адекватности мер по контролю доступа из внешних и внутренних сетей;
  6. Документирование топологии, логической организации и адекватности контроля доступа между сегментами документируемой сети;
  7. Поиск и анализ работы элементов сети, сбои работы которых приведут к невозможности функционирования критичных для бизнеса сервисов;
  8. Анализ работы точек удаленного доступа к информационным ресурсам сети и проверка адекватности защиты доступа;
  9. Оценка соответствия конфигурации встроенных средств защиты документированным требованиям и оценка адекватности существующей конфигурации;
  10. Оценка адекватности использования криптографической защиты информации и процедуры распределения ключей шифрования;
  11. Оценка достаточности мер антивирусного контроля рабочих станций и серверов;
  12. Проверка наличия резервных копий файлов конфигурации и образов дисков для критичных сетевых устройств и серверов;
  13. Проверка наличия источников бесперебойного питания для критичных сетевых устройств и серверов и их соответствие требованиям по времени бесперебойной работы;
  14. Анализ мер по защите оборудования, необходимого для поддержки функционирования ИТ-инфраструктуры, степени защиты имеющихся помещений, систем связи и СКС, включая:
  15. Проверка актуальности программного обеспечения (операционных систем, систем управления базами данных, интеграции приложений и тд), включая наличие необходимых патчей;
  16. Документирование этапов бизнес-процессов, систем документооборота, хранения данных и оказания услуг. Оценка достаточности программного обеспечения используемого на различных этапах;
  17. Сбор информации о имеющихся навыках, знаниях и опыте работы персонала, непосредственно связанного с обслуживанием ИТ-инфраструктуры, предоставлением ИТ-услуг;
  18. Документирование комплекса мер по обеспечению информационной безопасности, включая:
    • возможности использования найденных уязвимых мест в сетевых устройствах и серверах для реализации атак;
    • процедуры оценки полноты анализируемых событий, адекватности защиты журналов аудита;
    • наличия процедур по обнаружению и фиксации инцидентов информационной безопасности и механизмов расследования таких инцидентов, включая процедуры анализа журналов событий и попыток несанкционированного доступа;
    • наличия процедуры документирование любых действий, связанных с модификацией прав доступа, изменениями параметров аудита;
    • периодичности контроля защищенности сетевых устройств и серверов;
    • наличия процедуры отслеживания новых уязвимостей в системном программном обеспечении и его обновления;
    • мер по ограничению доступа в серверные помещения;
    • адекватности времени восстановления в случае сбоев критичных устройств и серверов.
  19. Проверка наличия зоны опытной эксплуатации новых решений, процедур тестирования и ввода в промышленную эксплуатацию новых программных и аппаратн6ых решений;
  20. Проверка наличия организационных мер в области информационной безопасности, включая:
    • наличие, полноту и актуальность организационно-регламентных и нормативно-технических документов;
    • существование ролей доступа персонала к критически-важной информации, сетевым устройствам и серверам. Соответствие этих ролей минимальному набору прав, требуемых для выполнения производственных задач;
    • соответствие механизма и стойкости процедуры аутентификации, оценка адекватности парольной политики и протоколирования деятельности пользователей;
    • наличие нормативных документов, описывающих полномочия сотрудников по доступу к сетевым устройствам и серверам и списков, персонала, имеющих доступ к этим устройствам;
    • наличие ответственного за обеспечение информационной безопасности;
    • наличие мер по поддержанию уровня знаний сотрудников в области информационной безопасности, планов обучения сотрудников, ответственных за поддержание системы ИБ;
    • осведомленность пользователей локальной сети, о требованиях по обеспечению информационной безопасности;
    • корректности процедур управления изменениями и установки обновлений;
    • порядка предоставления доступа к внутренним ресурсам информационных систем.

В ходе этапа производится:

  • интервьюирования персонала заказчика с использованием заранее подготовленных опросных листов;
  • анализа предоставленных документов;
  • осмотра и инвентаризации инфраструктуры с использованием специализированного программного инструментария и шаблонов отчетов;
  • сбора и анализа конфигураций средств защиты информации;
  • анализа сценариев осуществления атак и использования списков проверки;
  • анализ организационно-распорядительной документации по обеспечению режима информационной безопасности;
  • инструментального обследования путем применения специальных средств анализа защищенности.

Интервьюирование сотрудников проводится для документирования бизнес-процедур и обнаружения имеющихся узких мест, связанных с применением программного и аппаратного обеспечения. В интервьюировании обязательно участвует персонал, непосредственно эксплуатирующий ПО в ходе повседневной работы и ИТ-специалисты, ответственные за функционирование информационной системы.

В процессе интервьюирования следует иметь в виду, что одна и та же проблема может сильно отличаться с различных точек зрения.

По завершению этапа формируется комплект документов, который включает в себя все необходимые данные для функционирования системы информационной безопасности.

Анализ собранных данных, оценка рисков и подготовка отчета

На данном этапе производится:

  • сопоставление и анализ собранных данных;
  • анализ рисков;
  • формирование выводов и рекомендаций;
  • подготовка и оформление отчета об аудите.

Проводящийся в ходе данного этапа анализ рисков позволяет:

  • сформировать перечень наиболее опасных уязвимых мест и угроз;
  • составить модель потенциального злоумышленника;
  • оценить степень критичности угроз нарушения информационной безопасности и возможности их использования потенциальным злоумышленником для осуществления несанкционированных действий;
  • разработать рекомендации, выполнение которых позволит минимизировать существующие угрозы.

В ходе данного этапа может быть принято решение о сборе дополнительных данных.

Результат и преимущества

Основываясь на данных, полученных в процессе проведения обследования ИТ-инфраструктуры объекта и результатов анализа рисков, вырабатываются рекомендации по улучшению системы информационной безопасности (реализация которых сведет к минимуму риски) с приложением непосредственно перечня уязвимостей серверов, МСЭ, активного сетевого и прочего оборудования. По завершении аудита заказчику предоставляется итоговый отчет, включающий в себя оценку текущего состояния безопасности информационной инфраструктуры, данные о выявленных недостатках, оценка рисков и предложения по их ликвидации.

Общая структура отчета

  • Оценка текущего уровня защищенности информационной системы:
    • описание и оценка текущего уровня защищенности информационной системы;
    • анализ конфигурации конфигурационной информации, найденные уязвимости;
    • анализ рисков, связанных с возможностью осуществления внутренних и внешних угроз в отношении ресурсов информационной системы;
  • Рекомендации по технической составляющей ИБ:
    • по изменению конфигурации существующих сетевых устройств и серверов;
    • по изменению конфигурации существующих средств защиты;
    • по активации дополнительных штатных механизмов безопасности на уровне системного программного обеспечения;
    • по использованию дополнительных средств защиты;
  • Рекомендации по организационной составляющей ИБ:
    • по разработке политики информационной безопасности;
    • по организации службы ИБ;
    • по разработке организационно-распорядительных и нормативно-технических документов;
    • по пересмотру ролевых функций персонала и зон ответственности;
    • по разработке программы осведомленности сотрудников в части информационной безопасности;
    • по поддержке и повышению квалификации персонала.

Преимущества

Комплексный аудит информационной безопасности позволяет получить наиболее полную и объективную оценку защищенности информационной системы (ИС), локализовать имеющиеся проблемы и разработать перечень эффективных мер для построения системы обеспечения ИБ организации. Ценность внешнего аудита информационной безопасности для потенциальных клиентов заключается в следующем:

  • аудит представляет собой независимое исследование, что повышает степень объективности результатов;
  • эксперты, проводящие аудит, имеют высокую квалификацию и большой опыт подобной работы, нежели штатные сотрудники организации.