Спонсор: Microsoft
Опубликован: 25.06.2010 | Доступ: свободный | Студентов: 1514 / 229 | Оценка: 4.32 / 4.18 | Длительность: 25:57:00
Лекция 19:

Аудит информационной безопасности

< Лекция 18 || Лекция 19 || Лекция 20 >
Аннотация: В лекции рассматриваются основные понятия и принципы аудита информационной безопасности
Ключевые слова: аудит, информационная безопасность, АС, бизнес-процессы, место, информационная атака, злоумышленник, атака, техническое задание, защита информации, нарушение информационной безопасности, автоматизация, ПО, международный стандарт, ISO 17799, уязвимость, аппаратное обеспечение, сегменты, регламент, работ, рабочая группа, физический ресурс, угроза информационной безопасности, автоматизированная система, анализ, цель оценки, полнота, информация, хост, рабочая станция, коммуникационное оборудование, топология, локальная вычислительная сеть, сетевой протокол, информационный поток, интервал, программные средства, security scanner, инвентаризация, ISS, Position, technological, анализ рисков, digitize, системный анализ, техническое обеспечение, минимизация, уменьшение риска, ущерб, межсетевой экран, почтовый сервер, конфиденциальная информация, стоимость
Презентацию к лекции Вы можете скачать здесь.

Цель лекции

  • Рассмотреть понятие аудита информационной безопасности
  • Выделить основные этапы проведения аудита безопасности
  • Изучить способы проведения аудита безопасности

Аудит информационной безопасности - основа эффективной защиты предприятия

На сегодняшний день автоматизированные системы (АС) играют ключевую роль в обеспечении эффективного выполнения бизнес-процессов как коммерческих, так и государственных предприятий. Вместе с тем повсеместное использование АС для хранения, обработки и передачи информации приводит к повышению актуальности проблем, связанных с их защитой. Подтверждением этому служит тот факт, что за последние несколько лет, как в России, так и в ведущих зарубежных странах имеет место тенденция увеличения числа информационных атак, приводящих к значительным финансовым и материальным потерям. Для того, чтобы гарантировать эффективную защиту от информационных атак злоумышленников компаниям необходимо иметь объективную оценку текущего уровня безопасности АС. Именно для этих целей и применяется аудит безопасности, различные аспекты которого рассматриваются в рамках настоящей лекции.

Что такое аудит безопасности?

Не смотря на то, что в настоящее время ещё не сформировалось устоявшегося определения аудита безопасности, в общем случае его можно представить в виде процесса сбора и анализа информации об АС, необходимой для последующего проведения качественной или количественной оценки уровня защиты от атак злоумышленников. Существует множество случаев, в которых целесообразно проводить аудит безопасности. Вот лишь некоторые из них:

  • аудит АС с целью подготовки технического задания на проектирование и разработку системы защиты информации;
  • аудит АС после внедрения системы безопасности для оценки уровня её эффективности;
  • аудит, направленный на приведение действующей системы безопасности в соответствие требованиям российского или международного законодательства;
  • аудит, предназначенный для систематизации и упорядочивания существующих мер защиты информации;
  • аудит в целях расследования произошедшего инцидента, связанного с нарушением информационной безопасности.

Как правило, для проведения аудита привлекаются внешние компании, которые предоставляют консалтинговые услуги в области информационной безопасности. Инициатором процедуры аудита может являться руководство предприятия, служба автоматизации или служба информационной безопасности. В ряде случаев аудит также может проводиться по требованию страховых компаний или регулирующих органов. Аудит безопасности проводится группой экспертов, численность и состав которой зависит от целей и задач обследования, а также сложности объекта оценки.

Виды аудита безопасности

В настоящее время можно выделить следующие основные виды аудита информационной безопасности:

  • экспертный аудит безопасности, в процессе которого выявляются недостатки в системе мер защиты информации на основе имеющегося опыта экспертов, участвующих в процедуре обследования;
  • оценка соответствия рекомендациям Международного стандарта ISO 17799, а также требованиям руководящих документов ФСТЭК (Гостехкомиссии);
  • инструментальный анализ защищённости АС, направленный на выявление и устранение уязвимостей программно-аппаратного обеспечения системы;
  • комплексный аудит, включающий в себя все вышеперечисленные формы проведения обследования.

Каждый из вышеперечисленных видов аудита может проводиться по отдельности или в комплексе в зависимости от тех задач, которые необходимо решить предприятию. В качестве объекта аудита может выступать как АС компании в целом, так и её отдельные сегменты, в которых проводится обработка информации, подлежащей защите.

Состав работ по проведению аудита безопасности

В общем случае аудит безопасности, вне зависимости от формы его проведения, состоит из четырёх основных этапов, каждый из которых предусматривает выполнение определённого круга задач (рис. 28.1).

Основные этапы работ при проведении аудита безопасности

Рис. 28.1. Основные этапы работ при проведении аудита безопасности

На первом этапе совместно с Заказчиком разрабатывается регламент, устанавливающий состав и порядок проведения работ. Основная задача регламента заключается в определении границ, в рамках которых будет проведено обследование. Регламент является тем документом, который позволяет избежать взаимных претензий по завершению аудита, поскольку чётко определяет обязанности сторон. Как правило, регламент содержит следующую основную информацию:

  • состав рабочих групп от Исполнителя и Заказчика, участвующих в процессе проведения аудита ;
  • перечень информации, которая будет предоставлена Исполнителю для проведения аудита ;
  • список и местоположение объектов Заказчика, подлежащих аудиту ;
  • перечень ресурсов, которые рассматриваются в качестве объектов защиты (информационные ресурсы, программные ресурсы, физические ресурсы и т.д.);
  • модель угроз информационной безопасности, на основе которой проводится аудит ;
  • категории пользователей, которые рассматриваются в качестве потенциальных нарушителей;
  • порядок и время проведения инструментального обследования автоматизированной системы Заказчика.

На втором этапе, в соответствии с согласованным регламентом, осуществляется сбор исходной информации. Методы сбора информации включают интервьюирование сотрудников Заказчика, заполнение опросных листов, анализ предоставленной организационно-распорядительной и технической документации, использование специализированных инструментальных средств.

Третий этап работ предполагает проведение анализа собранной информации с целью оценки текущего уровня защищённости АС Заказчика. По результатам проведённого анализа на четвёртом этапе проводится разработка рекомендаций по повышению уровня защищённости АС от угроз информационной безопасности.

Ниже в более подробном варианте рассмотрены этапы аудита, связанные со сбором информации, её анализом и разработкой рекомендаций по повышению уровня защиты АС.

Сбор исходных данных для проведения аудита

Качество проводимого аудита безопасности во многом зависит от полноты и точности информации, которая была получена в процессе сбора исходных данных. Поэтому информация должна включать в себя: существующую организационно-распорядительную документацию, касающуюся вопросов информационной безопасности, сведения о программно-аппаратном обеспечении АС, информацию о средствах защиты, установленных в АС и т.д. Более подробный перечень исходных данных представлен в таблице 28.1.

Таблица 28.1. Перечень исходных данных, необходимых для проведения аудита безопасности
Тип информации Описание состава исходных данных
1 Организационно-распорядительная документация по вопросам информационной безопасности
  • политика информационной безопасности АС;
  • руководящие документы (приказы, распоряжения, инструкции) по вопросам хранения, порядка доступа и передачи информации;
  • регламенты работы пользователей с информационными ресурсами АС
2 Информация об аппаратном обеспечении хостов
  • перечень серверов, рабочих станций и коммуникационного оборудования, установленного в АС;
  • информация об аппаратной конфигурации серверов и рабочих станций;
  • информация о периферийном оборудовании, установленном в АС
3 Информация об общесистемном ПО
  • информация об операционных системах, установленных на рабочих станциях и серверах АС;
  • данные о СУБД, установленных в АС
4 Информация о прикладном ПО
  • перечень прикладного ПО общего и специального назначения, установленного в АС;
  • описание функциональных задач, решаемых с помощью прикладного ПО, установленного в АС
5 Информация о средствах защиты, установленных в АС
  • информация о производителе средства защиты;
  • конфигурационные настройки средства защиты;
  • схема установки средства защиты
6 Информация о топологии АС
  • карта локальной вычислительной сети, включающей схему распределения серверов и рабочих станций по сегментам сети;
  • информация о типах каналов связи, используемых в АС;
  • информация об используемых в АС сетевых протоколах;
  • схема информационных потоков АС

Как уже отмечалось выше, сбор исходных данных может осуществляться с использованием следующих методов:

  • интервьюирование сотрудников Заказчика, обладающих необходимой информацией. При этом интервью, как правило, проводится как с техническими специалистами, так и с представителями руководящего звена компании. Перечень вопросов, которые планируется обсудить в процессе интервью, согласовывается заранее;
  • предоставление опросных листов по определённой тематике, самостоятельно заполняемых сотрудниками Заказчика. В тех случаях, когда представленные материалы не полностью дают ответы на необходимые вопросы, проводится дополнительное интервьюирование;
  • анализ существующей организационно-технической документации, используемой Заказчиком;
  • использование специализированных программных средств, которые позволяют получить необходимую информацию о составе и настройках программно-аппаратного обеспечения автоматизированной системы Заказчика. Так, например, в процессе аудита могут использоваться системы анализа защищённости ( Security Scanners ), которые позволяют провести инвентаризацию имеющихся сетевых ресурсов и выявить имеющиеся в них уязвимости. Примерами таких систем являются Internet Scanner (компании ISS ) и XSpider (компании Positive Technologies ).

Оценка уровня безопасности АС

После сбора необходимой информации проводится её анализ с целью оценки текущего уровня защищённости системы. Методология анализа рисков в общем виде была рассмотрена в рамках "Моделирование угроз ИБ: различные подходы" . В процессе проведения аудита безопасности могут использоваться специализированные программные комплексы, позволяющие автоматизировать процесс анализа исходных данных и расчёта значений рисков. Примерами таких комплексов являются "Гриф" и "Кондор" (компании " Digital Security "), а также "АванГард" (Института Системного Анализа РАН).

Результаты аудита безопасности

На последнем этапе проведения аудита информационной безопасности разрабатываются рекомендации по совершенствованию организационно-технического обеспечения предприятия. Такие рекомендации могут включать в себя следующие типы действий, направленных на минимизацию выявленных рисков:

  • уменьшение риска за счёт использования дополнительных организационных и технических средств защиты, позволяющих снизить вероятность проведения атаки или уменьшить возможный ущерб от неё. Так, например, установка межсетевых экранов в точке подключения АС к сети Интернет позволяет существенно снизить вероятность проведения успешной атаки на общедоступные информационные ресурсы АС, такие как Web -серверы, почтовые серверы и т.д.;
  • уклонение от риска путём изменения архитектуры или схемы информационных потоков АС, что позволяет исключить возможность проведения той или иной атаки. Так, например, физическое отключение от сети Интернет сегмента АС, в котором обрабатывается конфиденциальная информация, позволяет исключить атаки на конфиденциальную информацию из этой сети;
  • изменение характера риска в результате принятия мер по страхованию. В качестве примеров такого изменения характера риска можно привести страхование оборудования АС от пожара или страхование информационных ресурсов от возможного нарушения их конфиденциальности, целостности или доступности. В настоящее время российских компаний уже предлагают услуги по страхованию информационных рисков;
  • принятие риска в том случае, если он уменьшен до того уровня, на котором он не представляет опасности для АС.

Как правило, разработанные рекомендации направлены не на полное устранение всех выявленных рисков, а лишь на их уменьшение до приемлемого остаточного уровня. При выборе мер по повышению уровня защиты АС учитывается одно принципиальное ограничение - стоимость их реализации не должна превышать стоимость защищаемых информационных ресурсов.

В завершении процедуры аудита его результаты оформляются в виде отчётного документа, который предоставляется Заказчику. В общем случае этот документ состоит из следующих основных разделов:

  • описание границ, в рамках которых был проведён аудит безопасности;
  • описание структуры АС Заказчика;
  • методы и средства, которые использовались в процессе проведения аудита ;
  • описание выявленных уязвимостей и недостатков, включая уровень их риска;
  • рекомендации по совершенствованию комплексной системы обеспечения информационной безопасности;
  • предложения по плану реализации первоочередных мер, направленных на минимизацию выявленных рисков.

Краткие итоги

Аудит информационной безопасности является сегодня одним из наиболее эффективных инструментов для получения независимой и объективной оценки текущего уровня защищённости предприятия от угроз информационной безопасности. Кроме того, результаты аудита являются основой для формирования стратегии развития системы обеспечения информационной безопасности организации. Однако, необходимо представлять, что аудит безопасности не является однократной процедурой, а должен проводиться на регулярной основе. Только в этом случае аудит будет приносить реальную отдачу и способствовать повышению уровня информационной безопасности компании.

< Лекция 18 || Лекция 19 || Лекция 20 >
Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Андрей Осипов
Андрей Осипов

Здравствуйте! Хотелось бы прояснить следующий вопрос: у МТИ приостановлена государственная аккредитация и когда будет восстановлена- неизвестно, а в диплом о профпереподготовке выдается на базе МТИ (как я понял). Как будет обстоять дело с получением диплома?

Вопрос важный и актуальный, потому что необходимо срочно пройти обучение и получить диплом и не хотелось бы тратить время и платить деньги зря (если диплом окажется недействительным и т.п.). Разъясните, пожалуйста, подробнее ситуацию.

Александр Слободской
Александр Слободской
Россия