Комплексный аудит информационной безопасности
Комплексный аудит безопасности информационных систем служит для максимально детальной и более полной оценки защищенности информационной системы, позволяет определить уязвимые места и выработать действенный алгоритм создания системы информационной безопасности на предприятии.
Цели и задачи
К основным целям комплексного аудита информационной безопасности можно отнести:
- независимая оценка текущего состояния системы безопасности;
- идентификация, оценка опасности и ликвидации уязвимостей;
- технико-экономическое обоснование внедряемых механизмов безопасности;
- обеспечение соответствия требованиям действующего законодательства и международным стандартам;
- минимизация ущерба от инцидентов безопасности.
К ключевым задачам, решаемым в рамках проведения Комплексного аудита ИБ, относятся:
- повышение уровня защиты информации;
- оптимизация и планирование затрат на обеспечение информационной безопасности;
- обоснование инвестиций в системы защиты;
- получение максимальной отдачи от инвестиций, вкладываемых в системы защиты информации;
- подтверждение того, что используемые внутренние средства контроля соответствуют задачам организации и позволяют обеспечить эффективность и непрерывность бизнеса.
Этапы аудита
Проведение комплексного аудита безопасности корпоративной информационной системы заказчика включает четыре основных этапа:
- проведение экспресс-обследования;
- постановка задач и уточнение состава работ;
- сбор данных в соответствии с детальным перечнем работ, определенных в ТЗ на аудит;
- анализ собранных данных, оценка рисков и подготовка отчета.
Проведение экспресс-обследования
На данном этапе производится анализ сроков ключевых позиций аудита и конкретизация задач аудиторам. Если для выполнения аудита потребуется доступ к конфиденциальной информации (КИ), то перед осуществлением обследования подготавливается и утверждается соглашение о конфиденциальности, а также организуется взаимодействие с СБ (службой безопасности) объекта.
Постановка задач и уточнение состава работ
На данном этапе:
- Уточняются цели и задачи аудита
- Создается рабочая группа и выполняются все требуемые организационные процедуры. В состав рабочей группы обязательно входят специалисты компании-аудитора и сотрудники компании-заказчика. Специалисты заказчика передают всю требуемую документацию, осуществляют непосредственный контроль за проведением обследования, а также принимают участие в согласовании его промежуточных и конечных результатов. Аудиторы несут ответственность за профессиональное проведение работ по обследованию предметных областей в соответствии с поставленными целями и задачами проекта, согласуют процессы и результаты проведения обследования.
- Разрабатывается, согласовывается и утверждается техническое задание и календарный график выполнения работ. В ТЗ формируется перечень и состав работ, а также устанавливаются требования к отчетной документации.
Сбор данных в соответствии с детальным перечнем работ, определенных в ТЗ на аудит
В ходе этапа производится:
- Анализ работы всех программных и аппаратных решений, обеспечивающих безопасную и непрерывную работу ИТ-инфрастуктуры предприятия, включая анализ:
- средств обеспечения сетевой безопасности - межсетевых экранов, прокси-серверов, средств организации VLAN, средств организации защищенного межсетевого взаимодействия (Site-to-Site VPN), средств организации защищенного удаленного доступа к корпоративным ресурсам (Remote Access VPN) и т.д.;
- средств антивирусной защиты рабочих станций, серверов, электронной почты, доступа в интернет;
- средств шифрования данных;
- средств обеспечения резервного копирования данных и программного обеспечения;
- средств бесперебойного питания оборудования;
- средств контроля за распространением и использованием конфиденциальной информации.
- Анализ мер по защите аппаратного обеспечения (сетевого оборудования, серверов, рабочих станций, систем хранения), включая:
- анализ наличия и соответствия конфигураций штатных механизмов информационной безопасности рекомендациям производителя и лучшей практике;
- анализ мер по защите доступа;
- обнаружение неиспользуемых сервисов и сервисов, содержащих известные уязвимости.
- Сбор данных о взаимосвязях объектов аудита с другими элементами ИТ-инфраструктуры, документирование этапов бизнес-процессов и отклонений от них;
- Документирование топологии и логической организации сетевой инфраструктуры, адекватности мер по контролю логических путей доступа, сегментирования сети;
- Документирование топологии и логической организации системы защиты периметра, адекватности мер по контролю доступа из внешних и внутренних сетей;
- Документирование топологии, логической организации и адекватности контроля доступа между сегментами документируемой сети;
- Поиск и анализ работы элементов сети, сбои работы которых приведут к невозможности функционирования критичных для бизнеса сервисов;
- Анализ работы точек удаленного доступа к информационным ресурсам сети и проверка адекватности защиты доступа;
- Оценка соответствия конфигурации встроенных средств защиты документированным требованиям и оценка адекватности существующей конфигурации;
- Оценка адекватности использования криптографической защиты информации и процедуры распределения ключей шифрования;
- Оценка достаточности мер антивирусного контроля рабочих станций и серверов;
- Проверка наличия резервных копий файлов конфигурации и образов дисков для критичных сетевых устройств и серверов;
- Проверка наличия источников бесперебойного питания для критичных сетевых устройств и серверов и их соответствие требованиям по времени бесперебойной работы;
- Анализ мер по защите оборудования, необходимого для поддержки функционирования ИТ-инфраструктуры, степени защиты имеющихся помещений, систем связи и СКС, включая:
- Проверка актуальности программного обеспечения (операционных систем, систем управления базами данных, интеграции приложений и тд), включая наличие необходимых патчей;
- Документирование этапов бизнес-процессов, систем документооборота, хранения данных и оказания услуг. Оценка достаточности программного обеспечения используемого на различных этапах;
- Сбор информации о имеющихся навыках, знаниях и опыте работы персонала, непосредственно связанного с обслуживанием ИТ-инфраструктуры, предоставлением ИТ-услуг;
- Документирование комплекса мер по обеспечению информационной безопасности, включая:
- возможности использования найденных уязвимых мест в сетевых устройствах и серверах для реализации атак;
- процедуры оценки полноты анализируемых событий, адекватности защиты журналов аудита;
- наличия процедур по обнаружению и фиксации инцидентов информационной безопасности и механизмов расследования таких инцидентов, включая процедуры анализа журналов событий и попыток несанкционированного доступа;
- наличия процедуры документирование любых действий, связанных с модификацией прав доступа, изменениями параметров аудита;
- периодичности контроля защищенности сетевых устройств и серверов;
- наличия процедуры отслеживания новых уязвимостей в системном программном обеспечении и его обновления;
- мер по ограничению доступа в серверные помещения;
- адекватности времени восстановления в случае сбоев критичных устройств и серверов.
- Проверка наличия зоны опытной эксплуатации новых решений, процедур тестирования и ввода в промышленную эксплуатацию новых программных и аппаратн6ых решений;
- Проверка наличия организационных мер в области информационной безопасности, включая:
- наличие, полноту и актуальность организационно-регламентных и нормативно-технических документов;
- существование ролей доступа персонала к критически-важной информации, сетевым устройствам и серверам. Соответствие этих ролей минимальному набору прав, требуемых для выполнения производственных задач;
- соответствие механизма и стойкости процедуры аутентификации, оценка адекватности парольной политики и протоколирования деятельности пользователей;
- наличие нормативных документов, описывающих полномочия сотрудников по доступу к сетевым устройствам и серверам и списков, персонала, имеющих доступ к этим устройствам;
- наличие ответственного за обеспечение информационной безопасности;
- наличие мер по поддержанию уровня знаний сотрудников в области информационной безопасности, планов обучения сотрудников, ответственных за поддержание системы ИБ;
- осведомленность пользователей локальной сети, о требованиях по обеспечению информационной безопасности;
- корректности процедур управления изменениями и установки обновлений;
- порядка предоставления доступа к внутренним ресурсам информационных систем.
В ходе этапа производится:
- интервьюирования персонала заказчика с использованием заранее подготовленных опросных листов;
- анализа предоставленных документов;
- осмотра и инвентаризации инфраструктуры с использованием специализированного программного инструментария и шаблонов отчетов;
- сбора и анализа конфигураций средств защиты информации;
- анализа сценариев осуществления атак и использования списков проверки;
- анализ организационно-распорядительной документации по обеспечению режима информационной безопасности;
- инструментального обследования путем применения специальных средств анализа защищенности.
Интервьюирование сотрудников проводится для документирования бизнес-процедур и обнаружения имеющихся узких мест, связанных с применением программного и аппаратного обеспечения. В интервьюировании обязательно участвует персонал, непосредственно эксплуатирующий ПО в ходе повседневной работы и ИТ-специалисты, ответственные за функционирование информационной системы.
В процессе интервьюирования следует иметь в виду, что одна и та же проблема может сильно отличаться с различных точек зрения.
По завершению этапа формируется комплект документов, который включает в себя все необходимые данные для функционирования системы информационной безопасности.
Анализ собранных данных, оценка рисков и подготовка отчета
На данном этапе производится:
- сопоставление и анализ собранных данных;
- анализ рисков;
- формирование выводов и рекомендаций;
- подготовка и оформление отчета об аудите.
Проводящийся в ходе данного этапа анализ рисков позволяет:
- сформировать перечень наиболее опасных уязвимых мест и угроз;
- составить модель потенциального злоумышленника;
- оценить степень критичности угроз нарушения информационной безопасности и возможности их использования потенциальным злоумышленником для осуществления несанкционированных действий;
- разработать рекомендации, выполнение которых позволит минимизировать существующие угрозы.
В ходе данного этапа может быть принято решение о сборе дополнительных данных.
Результат и преимущества
Основываясь на данных, полученных в процессе проведения обследования ИТ-инфраструктуры объекта и результатов анализа рисков, вырабатываются рекомендации по улучшению системы информационной безопасности (реализация которых сведет к минимуму риски) с приложением непосредственно перечня уязвимостей серверов, МСЭ, активного сетевого и прочего оборудования. По завершении аудита заказчику предоставляется итоговый отчет, включающий в себя оценку текущего состояния безопасности информационной инфраструктуры, данные о выявленных недостатках, оценка рисков и предложения по их ликвидации.
Общая структура отчета
- Оценка текущего уровня защищенности информационной системы:
- описание и оценка текущего уровня защищенности информационной системы;
- анализ конфигурации конфигурационной информации, найденные уязвимости;
- анализ рисков, связанных с возможностью осуществления внутренних и внешних угроз в отношении ресурсов информационной системы;
- Рекомендации по технической составляющей ИБ:
- по изменению конфигурации существующих сетевых устройств и серверов;
- по изменению конфигурации существующих средств защиты;
- по активации дополнительных штатных механизмов безопасности на уровне системного программного обеспечения;
- по использованию дополнительных средств защиты;
- Рекомендации по организационной составляющей ИБ:
- по разработке политики информационной безопасности;
- по организации службы ИБ;
- по разработке организационно-распорядительных и нормативно-технических документов;
- по пересмотру ролевых функций персонала и зон ответственности;
- по разработке программы осведомленности сотрудников в части информационной безопасности;
- по поддержке и повышению квалификации персонала.
Преимущества
Комплексный аудит информационной безопасности позволяет получить наиболее полную и объективную оценку защищенности информационной системы (ИС), локализовать имеющиеся проблемы и разработать перечень эффективных мер для построения системы обеспечения ИБ организации. Ценность внешнего аудита информационной безопасности для потенциальных клиентов заключается в следующем:
- аудит представляет собой независимое исследование, что повышает степень объективности результатов;
- эксперты, проводящие аудит, имеют высокую квалификацию и большой опыт подобной работы, нежели штатные сотрудники организации.
Полезные материалы: ИБ