Главная | Обратная связь | Поможем написать вашу работу!
 МегаЛекции

Сбор и анализ информации.

Аудит информационной безопасности

Аудит информационной безопасности – независимая оценка текущего состояния системы информационной безопасности, устанавливающая уровень ее соответствия определенным критериям, и предоставление результатов в виде рекомендаций.

 

Комплексный аудит информационной безопасности

Аудит информационной безопасности (ИБ) – независимая оценка текущего состояния системы информационной безопасности, устанавливающая уровень ее соответствия определенным критериям, и предоставление результатов в виде рекомендаций.

Комплексный аудит безопасности информационных систем позволяет получить наиболее полную и объективную оценку защищенности информационной системы, локализовать имеющиеся проблемы и разработать эффективную программу построения системы обеспечения информационной безопасности организации.

Какие задачи решает проведение аудита?

Аудит безопасности проводят, решая следующие задачи:

  • Повышение уровня защиты информации до приемлемого;
  • Оптимизация и планирование затрат на обеспечение информационной безопасности;
  • Обоснование инвестиций в системы защиты;
  • Получение максимальной отдачи от инвестиций, вкладываемых в системы защиты информации;
  • Подтверждение того, что используемые внутренние средства контроля соответствуют задачам организации и позволяют обеспечить эффективность и непрерывность бизнеса.

Какие преимущества эта услуга дает заказчику?

Аудит информационной безопасности позволяет получить наиболее полную и объективную оценку защищенности информационной системы (ИС), локализовать имеющиеся проблемы и разработать эффективную программу построения системы обеспечения ИБ организации.

Аудит информационной безопасности можно проводить как силами штатного персонала (внутренний аудит), так и привлекая независимых специалистов (внешний аудит). Ценность внешнего аудита информационной безопасности для потенциальных клиентов заключается в следующем:

  1. Аудит представляет собой независимое исследование, что повышает степень объективности результатов.
  2. Эксперты, проводящие аудит, имеют более высокую квалификацию и больший опыт подобной работы, нежели штатные сотрудники организации.
  3. Дешевле поручить выполнение работ по аудиту специализированной организации, чем организовывать их самостоятельно.

Описание услуги

Проведение аудита безопасности корпоративной информационной системы заказчика осуществляется в четыре этапа:

  1. Постановка задачи и уточнение границ работ
  2. Сбор и анализ информации
  3. Проведение анализа рисков
  4. Разработка рекомендаций

Постановка задачи и уточнение границ работ

На данном этапе проводятся сбор исходных данных от заказчика, их предварительный анализ, а также организационные мероприятия по подготовке проведения аудита:

  • Уточняются цели и задачи аудита
  • Формируется рабочая группа
  • Подготавливается и согласовывается техническое задание на проведение аудита

Целью аудита может быть как комплексный аудит системы защиты информации компании-заказчика, так и аудит информационной безопасности отдельных ИТ-систем (сетей передачи данных, вычислительных систем и систем хранения данных, и др.). На этом этапе цели проведения аудита уточняются и планируются все последующие шаги.

В состав рабочей группы должны входить специалисты компании исполнителя (компании проводящей аудит) и сотрудники компании заказчика. Сотрудники заказчика обеспечивают представление всей необходимой информации, контролируют процессы проведения обследования, а также участвуют в согласовании его результатов (промежуточных и конечных). Специалисты исполнителя отвечают за квалифицированное проведение работ по обследованию предметных областей в соответствии с определенными целями и задачами проекта, согласуют процессы и результаты проведения обследования.

Этап постановки задачи завершается разработкой, согласованием и утверждением технического задания (ТЗ). В ТЗ на аудит фиксируется состав и содержание работ по аудиту и требования к разрабатываемым документам. Кроме того, в ТЗ вносят сроки проведения работ, а при необходимости — план-график.

Параллельно с ТЗ разрабатывается соглашение о конфиденциальности и организуется взаимодействие со службой безопасности заказчика.

Сбор и анализ информации

На этом этапе собирается информация и дается оценка следующих мер и средств:

  • организационных мер в области информационной безопасности;
  • программно-технических средств защиты информации;
  • обеспечения физической безопасности.

Анализируются следующие харакетиристики построения и функционирования корпоративной информационной системы:

  • Организационные характеристики
  • Организационно-технические характеристики
  • Технические характеристики, связанные с архитектурой ИС
  • Технические характеристики, связанные с конфигурацией сетевых устройств и серверов ИС
  • Технические характеристики, связанные с использованием встроенных механизмов информационной безопасности

Организационные характеристики:

  • наличие, полнота и актуальность организационно-регламентных и нормативно-технических документов;
  • разделение зон ответственности ролей персонала по обеспечению информационной безопасности и его корректность;
  • наличие документированных списков, описывающих полномочия сотрудников по доступу к сетевым устройствам и серверам;
  • наличие планов по поддержке квалификации персонала, ответственного за обеспечение информационной безопасности;
  • осведомленность пользователей и персонала, поддерживающего функционирование ИС, о требованиях по обеспечению информационной безопасности;
  • корректность процедур управления изменениями и установления обновлений;
  • порядок предоставления доступа к внутренним ресурсам информационных систем;
  • наличие механизмов разграничения доступа к документации.

Организационно-технические характеристики:
  • возможности использования найденных уязвимых мест в сетевых устройствах и серверах для реализации атак;
  • наличие оперативного анализа журналов аудита и реагирования на события, связанные с попытками несанкционированного доступа, оценка полноты анализируемых событий, оценка адекватности защиты журналов аудита;
  • наличие процедур по обнаружению и фиксации инцидентов информационной безопасности и механизмов расследования таких инцидентов;
  • наличие процедуры и документирование любых действий, связанных с модификацией прав доступа, изменениями параметров аудита;
  • периодичность контроля защищенности сетевых устройств и серверов;
  • наличие процедуры отслеживания новых уязвимостей в системном программном обеспечении и его обновления;
  • ограничение доступа в серверные помещения;
  • адекватность времени восстановления в случае сбоев критичных устройств и серверов;
  • наличие зоны опытной эксплуатации новых решений, процедуры тестирования и ввода в промышленную эксплуатацию.

Технические характеристики, связанные с архитектурой ИС:

  • топология и логическая организация сетевой инфраструктуры, адекватность контроля логических путей доступа, адекватность сегментирования;
  • топология и логическая организация системы защиты периметра, адекватность контроля доступа из внешних сетей;
  • топология, логическая организация и адекватность контроля доступа между сегментами;
  • наличие узлов, сбои на которых приведут к невозможности функционирования значительной части в ИС;
  • наличие точек удаленного доступа к информационным ресурсам ИС и адекватность защиты такого доступа.

Технические характеристики, связанные с конфигурацией сетевых устройств и серверов ИС:

  • права доступа персонала к сетевым устройствам и серверам, оценка минимально необходимых прав, которые требуются для выполнения производственных задач;
  • соответствие списков контроля доступа на критичных сетевых устройствах документированным требованиям;
  • соответствие конфигурации операционных систем и использованию штатных механизмов информационной безопасности рекомендациям производителя и лучшей практике;
  • наличие неиспользованных сервисов или сервисов, содержащих известные уязвимости;
  • соответствие механизма и стойкости процедуры аутентификации - критичности ресурсов, оценка адекватности парольной политики и протоколирования деятельности операторов.

Технические характеристики, связанные с использованием встроенных механизмов информационной безопасности:
  • оценка соответствия конфигурации встроенных средств защиты документированным требованиям и оценка адекватности существующей конфигурации;
  • оценка адекватности использования криптографической защиты информации и процедуры распределения ключевой информации;
  • наличие антивирусной проверки трафика, а также антивирусного контроля на рабочих станциях пользователей;
  • наличие резервных копий файлов конфигурации и образов дисков для критичных сетевых устройств и серверов;
  • наличие источников бесперебойного питания для критичных сетевых устройств и серверов и их адекватность требованиям по времени бесперебойной работы.

После получения исходных данных готовится отчет об обследовании. Отчет об обследовании является основой для последующих этапов аудита: анализа рисков и разработки рекомендаций.
Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...