Состав работ по аудиту информационной безопасности

В общем случае аудит безопасности вне зависимости от вида и формы его проведения состоит из четырёх основных этапов:

1. Разработка регламента проведения аудита

2. Сбор исходных данных

3. Анализ полученных данных

4. Разработка рекомендаций по повышению уровня защиты автоматизированной системы

На первом этапе совместно с заказчиком разрабатывается регламент, устанавливающий состав и порядок проведения работ. Основная задача регламента заключается в определении границ, в рамках которых будет проведено обследование. Регламент является тем документом, который позволяет избежать взаимных претензий по завершении аудита, поскольку чётко определяет обязанности сторон.

На данном этапе проводятся сбор исходных данных от заказчика, их предварительный анализ, а также организационные мероприятия по подготовке проведения аудита:

· Уточняются цели и задачи аудита

· Формируется рабочая группа

· Подготавливается и согласовывается техническое задание на проведение аудита

Целью аудита может быть как комплексный аудит системы защиты информации компании-заказчика, так и аудит информационной безопасности отдельных ИТ-систем (сетей передачи данных, вычислительных систем и систем хранения данных, и др.). На этом этапе цели проведения аудита уточняются и планируются все последующие шаги.

В состав рабочей группы должны входить специалисты компании исполнителя (компании проводящей аудит) и сотрудники компании заказчика. Сотрудники заказчика обеспечивают представление всей необходимой информации, контролируют процессы проведения обследования, а также участвуют в согласовании его результатов (промежуточных и конечных). Специалисты исполнителя отвечают за квалифицированное проведение работ по обследованию предметных областей в соответствии с определенными целями и задачами проекта, согласуют процессы и результаты проведения обследования.

Этап постановки задачи завершается разработкой, согласованием и утверждением технического задания (ТЗ). В ТЗ на аудит фиксируется состав и содержание работ по аудиту и требования к разрабатываемым документам. Кроме того, в ТЗ вносят сроки проведения работ, а при необходимости — план-график.

На втором этапе в соответствии с согласованным регламентом осуществляется сбор исходной информации. Методы сбора информации включают интервьюирование сотрудников заказчика, анализ предоставленной организационно-распорядительной и технической документации, использование специализированных инструментальных средств.

На этом этапе собирается информация и дается оценка следующих мер и средств:

· организационных мер в области информационной безопасности;

· программно-технических средств защиты информации;

· обеспечения физической безопасности.

Анализируются следующие характеристики построения и функционирования корпоративной информационной системы:

1. Организационные характеристики

2. Организационно-технические характеристики

3. Технические характеристики, связанные с архитектурой ИС

4. Технические характеристики, связанные с конфигурацией сетевых устройств и серверов ИС

5. Технические характеристики, связанные с использованием встроенных механизмов информационной безопасности

1. Организационные характеристики:

ü наличие, полнота и актуальность организационно-регламентных и нормативно-технических документов;

ü разделение зон ответственности ролей персонала по обеспечению информационной безопасности и его корректность;

ü наличие документированных списков, описывающих полномочия сотрудников по доступу к сетевым устройствам и серверам;

ü наличие планов по поддержке квалификации персонала, ответственного за обеспечение информационной безопасности;

ü осведомленность пользователей и персонала, поддерживающего функционирование ИС, о требованиях по обеспечению информационной безопасности;

ü корректность процедур управления изменениями и установления обновлений;

ü порядок предоставления доступа к внутренним ресурсам информационных систем;

ü наличие механизмов разграничения доступа к документации.

2. Организационно-технические характеристики:

ü возможности использования найденных уязвимых мест в сетевых устройствах и серверах для реализации атак;

ü наличие оперативного анализа журналов аудита и реагирования на события, связанные с попытками несанкционированного доступа, оценка полноты анализируемых событий, оценка адекватности защиты журналов аудита;

ü наличие процедур по обнаружению и фиксации инцидентов информационной безопасности и механизмов расследования таких инцидентов;

ü наличие процедуры и документирование любых действий, связанных с модификацией прав доступа, изменениями параметров аудита;

ü периодичность контроля защищенности сетевых устройств и серверов;

ü наличие процедуры отслеживания новых уязвимостей в системном программном обеспечении и его обновления;

ü ограничение доступа в серверные помещения;

ü адекватность времени восстановления в случае сбоев критичных устройств и серверов;

ü наличие зоны опытной эксплуатации новых решений, процедуры тестирования и ввода в промышленную эксплуатацию.

3. Технические характеристики, связанные с архитектурой ИС:

ü топология и логическая организация сетевой инфраструктуры, адекватность контроля логических путей доступа, адекватность сегментирования;

ü топология и логическая организация системы защиты периметра, адекватность контроля доступа из внешних сетей;

ü топология, логическая организация и адекватность контроля доступа между сегментами;

ü наличие узлов, сбои на которых приведут к невозможности функционирования значительной части в ИС;

ü наличие точек удаленного доступа к информационным ресурсам ИС и адекватность защиты такого доступа.

4. Технические характеристики, связанные с конфигурацией сетевых устройств и серверов ИС:

ü права доступа персонала к сетевым устройствам и серверам, оценка минимально необходимых прав, которые требуются для выполнения производственных задач;

ü соответствие списков контроля доступа на критичных сетевых устройствах документированным требованиям;

ü соответствие конфигурации операционных систем и использованию штатных механизмов информационной безопасности рекомендациям производителя и лучшей практике;

ü наличие неиспользованных сервисов или сервисов, содержащих известные уязвимости;

ü соответствие механизма и стойкости процедуры аутентификации - критичности ресурсов, оценка адекватности парольной политики и протоколирования деятельности операторов.

5. Технические характеристики, связанные с использованием встроенных механизмов информационной безопасности:

ü оценка соответствия конфигурации встроенных средств защиты документированным требованиям и оценка адекватности существующей конфигурации;

ü оценка адекватности использования криптографической защиты информации и процедуры распределения ключевой информации;

ü наличие антивирусной проверки трафика, а также антивирусного контроля на рабочих станциях пользователей;

ü наличие резервных копий файлов конфигурации и образов дисков для критичных сетевых устройств и серверов;

ü наличие источников бесперебойного питания для критичных сетевых устройств и серверов и их адекватность требованиям по времени бесперебойной работы.

После получения исходных данных готовится отчет об обследовании. Отчет об обследовании является основой для последующих этапов аудита: анализа рисков и разработки рекомендаций.

Как правило, заказчик сам определяет аудит каких частей компьютерной системы ему необходим.

В перечень работ по аудиту системы информационной защиты, проводимых консалтинговой компанией входят:

1. Аудит организационной части системы защиты информации.

ü Исследование документальной части системы защиты информации:

o Аудит политики безопасности

o Аудит должностных инструкций, правил и нормативов

o Исследование степени знания персоналом нормативных документов

o Аудит плана восстановления работоспособности системы

o Аудит документов по обеспечению непрерывности информационных процессов

o Анализ документов, регламентирующих доступ к ресурсам

o Исследование правил уничтожения информации

o Аудит ведения журналов учета

o Анализ должностных обязанностей и зон ответственности, касательно защиты информации

o Анализ списка ресурсов, подлежащих защите

ü Анализ структуры локальной сети

ü Анализ структуры распределенной сети

ü Аудит системы защиты периметра сети

ü Анализ системы защиты электронной почты

ü Анализ методов разграничения доступа к ресурсам

ü Анализ антивирусной защиты

ü Анализ системы мониторинга

ü Анализ парольной политики

ü Анализ резервного копирования и уничтожения резервных копий

ü Аудит процедуры уничтожения документов и оборудования

2. Анализ структуры локальной вычислительной сети (ЛВС).

ü Анализ схемы подключения, связей.

ü Физический уровень подключения

ü Логический уровень подключения

ü Анализ канального уровня сети

ü Анализ конфигурации активного сетевого оборудования

ü Проверка версии ПО.

ü Режим работы коммутаторов

ü Конфигурация портов

ü Конфигурация виртуальных сетей

ü Адресация IP

ü Конфигурация протоколов поддерживаемых коммутаторами (STP, GVRP, 802.1p, 802.1х,802.1ad, 802.1af,IGMP, XRRP)

ü Конфигурация маршутизаторов

ü Настройка портов

ü Настройка подсетей

ü Настройка переадресации (NAT, LSNAT)

ü Настройка маршрутизации, протоколов маршрутизации (RIP, OSPF, BGP, IGMP, DVMPR, IGRP,EGRP, VRRP)

ü Настройка служб контроля трафика и контроля доступа

ü Настройка защиты периметра сети

3. Анализ серверного оборудования и северного программного обеспечения

ü Перечень серверов и конфигурация серверов

ü Детальная конфигурация каждого сервера (Процессор, память дисковая подсистема и ее конфигурация и т.д)

ü Выполняемые задачи каждым сервером в логической структуре сети.

ü Сетевые службы на серверах и их конфигурация

ü Перечень приложений работающих на серверах и состояние работы этих приложений (с какими приложениями есть проблемы)

ü Анализ приложений на Интернет-сервере

ü Анализ конфигурации серверов на физическом уровне

ü Анализ конфигурации серверов

ü Настройка службы имен (DNS, WINS)

ü Настройка службы динамической конфигурации хостов (DHCP)

ü Настройка почтовой службы

ü Настройка антивирусной службы и политика управления

ü Настройка файловых служб

ü Настройка служб контроля трафика и контроля доступа

ü Настройка службы печати

ü Настройка службы резервного копирования

4. Аудит системы защиты периметра сети.

ü Структурная схема защиты периметра сети

ü Основные информационные потоки

ü Анализ дизайна защиты периметра сети

ü Инвентаризация оборудования

ü Сканирование портов из внешнего мира

ü Анализ защищенности периметра сети при атаке из внешних сетей

ü Анализ настроек серверного ПО

ü Анализ настроек приложений

ü Анализ защищенности периметра сети при атаке из локальной сети

5. Анализ конфигурации клиентских рабочих мест

ü Перечень оборудования и конфигурация клиентских рабочих мест

ü Детальная конфигурация каждого рабочего места (Процессор, память дисковая подсистема и ее конфигурация и т.д)

ü Перечень прикладного программного обеспечения, которое используется на клиентских рабочих местах

ü Минимальный перечень ПО который необходим на каждом из рабочих мест

ü Выборочный анализ конфигурации рабочих станций

ü Анализ конфигурации сетевых настроек рабочих станций

6. Анализ состояния эксплуатационной документации

ü ведомость эксплуатационных документов;

ü схема адресации;

ü журнал регистрации настроек сетевого оборудования (включая перечень VLAN и их настроек);

ü журнал регистрации настроек серверов;

ü кабельный журнал;

ü схемы коммутации кабелей на патч-панелях коммутационных шкафов (или таблица кроссовых соединений портов активного сетевого оборудования);

ü журнал характеристик кабельных соединений;

ü журнал аутентификационных атрибутов пользователей (пароли, имена пользователей и др);

ü журнал авторизационных атрибутов пользователей (временные ограничения, ограничения по доступу к ресурсам, ограничения по трафику и др.);

ü журнал регистрации информационных ресурсов сети;

ü журнал регистрации резервного копирования;

ü журнал регистрации неисправностей;

ü файлы конфигурации сетевых установок рабочих станций пользователей;

ü справочник электронных адресов пользователей сети.

ü Журнал регламентных работ

7. Тест на проникновение в систему.

ü Проводиться проверка системы защиты информации на предмет реализации различных уязвимостей, приводящих к нарушению безопасности.

После проведенного аудита, специалисты компании составляют отчет о найденных уязвимостях и несоответствиях, методах их устранения. Специалисты помогут составить техническое задание на модернизацию системы информационной защиты, на основании которого можно составить проект.

Третий этап работ предполагает проведение анализа собранной информации с целью оценки текущего уровня защищённости автоматизированной системы заказчика.

В процессе анализа определяются риски информационной безопасности, которым может быть подвержена компания. Фактически риск представляет собой интегральную оценку того, насколько эффективно существующие средства защиты способны противостоять атакам с использованием информационных технологий.

Рис. 1. Источники требований информационной безопасности, на основе которых может проводиться оценка рисков

Анализ рисков - это то, с чего должно начинаться построение любой системы информационной безопасности. Он включает в себя мероприятия по обследованию безопасности ИС, с целью определения того какие ресурсы и от каких угроз надо защищать, а также в какой степени те или иные ресурсы нуждаются в защите. Определение набора адекватных контрмер осуществляется в ходе управления рисками. Риск определяется вероятностью причинения ущерба и величиной ущерба, наносимого ресурсам ИС, в случае осуществления угрозы безопасности.

Анализ рисков состоит в том, чтобы выявить существующие риски и оценить их величину (дать им качественную, либо количественную оценку). Процесс анализа рисков можно разделить на несколько последовательных этапов:

· Идентификация ключевых ресурсов;

· Определение важности тех или иных ресурсов для организации;

· Идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз;

· Вычисление рисков, связанных с осуществлением угроз безопасности.

Ресурсы ИС можно разделить на следующие категории:

· Информационные ресурсы;

· Программное обеспечение;

· Технические средства (серверы, рабочие станции, активное сетевое оборудование и т. п.);

· Людские ресурсы.

В каждой категории ресурсы делятся на классы и подклассы. Необходимо идентифицировать только те ресурсы, которые определяют функциональность ИС и существенны с точки зрения обеспечения безопасности.

Важность (или стоимость) ресурса определяется величиной ущерба, наносимого в случае нарушения конфиденциальности, целостности или доступности этого ресурса. Обычно рассматриваются следующие виды ущерба:

· Данные были раскрыты, изменены, удалены или стали недоступны;

· Аппаратура была повреждена или разрушена;

· Нарушена целостность программного обеспечения.

Ущерб может быть нанесен организации в результате успешного осуществления следующих видов угроз безопасности:

· локальные и удаленные атаки на ресурсы ИС;

· стихийные бедствия;

· ошибки, либо умышленные действия персонала ИС;

· сбои в работе ИС, вызванные ошибками в программном обеспечении или неисправностями аппаратуры.

Под уязвимостями обычно понимают свойства ИС, делающие возможным успешное осуществление угроз безопасности.

Задача управления рисками заключается в выборе обоснованного набора контрмер, позволяющих снизить уровни рисков до приемлемой величины. Стоимость реализации контрмер должна быть меньше величины возможного ущерба. Разница между стоимостью реализации контрмер и величиной возможного ущерба должна быть обратно пропорциональна вероятности причинения ущерба.

В зависимости от вида аудита используются две основные группы методов расчёта рисков безопасности. Первая группа методов позволяет установить уровень риска путём оценки степени соответствия определённому набору требований по обеспечению информационной безопасности. В качестве источников таких требований могут выступать:

· Нормативно-правовые документы предприятия, касающиеся вопросов информационной безопасности;

· Требования действующего российского законодательства – руководящие документы ФСТЭК (Гостехкомиссии), СТР-К, требования ФСБ РФ, ГОСТы и др.;

· Рекомендации международных стандартов – ISO 17799, OCTAVE, CoBIT и др.;

· Рекомендации компаний-производителей программного и аппаратного обеспечения – Microsoft, Oracle, Cisco и др.

Данная группа методов используется при проведении оценки автоматизированных систем на предмет соответствия стандартам и руководящим документам.

Вторая группа методов оценки рисков информационной безопасности используется при проведении инструментального анализа защищенности и базируется на определении вероятности реализации атак, а также уровней их ущерба. В данном случае значение риска вычисляется отдельно для каждой атаки и в общем случае представляется как произведение вероятности проведения атаки на величину возможного ущерба от этой атаки. Значение ущерба определяется собственником информационного ресурса, а вероятность атаки вычисляется группой экспертов, проводящих процедуру аудита.