Введение
Тема данной контрольной работы обозначена, как: Аудит информационной безопасности.
Для реализации поставленных задач, следует изучить основные положения, цели, задачи, применяемые методики аудита информационной безопасности. Для закрепления полученных знаний, будет необходимо выполнить письменный отчёт, в котором должны быть отражены основные аспекты данный темы. В заключение работы следует проанализировать проделанную работу и полученные результаты.
Производственная практика проходит в главном здании АлтГТУ, на кафедре вычислительных систем и информационной безопасности.
Основные положения
аудит информационный безопасность экспертный
Аудит информационной безопасности - независимая оценка текущего состояния системы информационной безопасности, устанавливающая уровень ее соответствия определенным критериям, и предоставление результатов в виде рекомендаций.
Целью аудита является предоставление независимой и объективной комплексной оценки текущего состояния защищенности информационной системы, позволяющей систематизировать угрозы информационной безопасности и предложить рекомендации по их устранению.
Задачи, которые решаются в ходе аудита защищенности информационной системы:
анализ структуры, функций, используемых технологий автоматизированной обработки и передачи информации в информационной системе, анализ бизнес-процессов, нормативно-распорядительной и технической документации;
выявление значимых угроз информационной безопасности и путей их реализации, выявление и ранжирование по степени опасности существующих уязвимостей технологического и организационного характера в информационной системе;
составление неформальной модели нарушителя, применение методики активного аудита для проверки возможности реализации нарушителем выявленных угроз информационной безопасности;
проведение теста на проникновение по внешнему периметру IP-адресов, проверка возможности проникновения в информационную систему при помощи методов социальной инженерии;
анализ и оценка рисков, связанных с угрозами безопасности информационных ресурсов;
оценка системы управления информационной безопасностью на соответствие требованиям стандарта ГОСТ Р ИСО/МЭК 27001-2006 и разработка рекомендаций по совершенствованию системы управления информационной безопасностью;
разработка предложений и рекомендаций по внедрению новых и повышению эффективности существующих механизмов обеспечения информационной безопасности.
Аудит информационной безопасности состоит из следующих этапов:
инициирование работ и планирование;
обследование и сбор информации;
поиск уязвимостей и несоответствий;
выработка рекомендаций и подготовка отчетных документов.
Результатом аудита информационной безопасности является создание документа, который содержит детальную информацию о:
всех выявленных уязвимостях объекта аудита;
критичности найденных уязвимостях;
последствие в случае реализации угроз;
рекомендации по устранению уязвимостей.
На основании результатов аудита информационной безопасности, организация сможет выстроить грамотную систему безопасности, минимизировать возможные риски информационной безопасности, а также повысить свой авторитет в глазах партнеров и клиентов.
Аудит информационной безопасности позволит руководству организации увидеть реальное состояние информационных активов и оценить их защищенность.
Методики аудита
Экспертный аудит
Экспертный аудит необходим, когда оценивается уровень защищенности только тех компонентов информационных систем, которые, по мнению владельца организации, являются наиболее значимыми, то есть, отсутствует необходимость в полном обследовании организации. Таким образом, появляется возможность сосредоточиться на наиболее критичных ресурсах и минимизировать затраты на комплексный аудит.
Основные этапы экспертного аудита включают в себя:
анализ информационной системы;
анализ наиболее значимых активов;
формирование модели угроз, модели нарушителя;
анализ требований к безопасности информационной среды;
оценка текущего состояния;
разработка рекомендаций по устранению обнаруженных недочетов и уязвимостей;
создание отчетной рекомендации.
При выполнении экспертного аудита сотрудники компании-аудитора совместно с представителями организации проводят следующие виды работ:
сбор исходных данных об информационной системе, об её функциях и особенностях, используемых технологиях автоматизированной обработки и передачи данных;
сбор информации об имеющихся организационно-распорядительных документах по обеспечению информационной безопасности и их анализ;
определение точек ответственности систем, устройств и серверов информационной системы;
формирование перечня подсистем каждого подразделения компании с категорированием критичной информации и схемами информационных потоков.
Один из самых объемных видов работ, которые проводятся при экспертном аудите, - сбор данных об информационной системе путем интервьюирования представителей организации и заполнения ими специальных анкет. Основная цель интервьюирования технических специалистов - сбор информации о функционировании сети, а руководящего состава компании - выяснение требований, которые предъявляются к системе информационной безопасности.
Ключевой этап экспертного аудита - анализ проекта информационной системы, топологии сети и технологии обработки информации, в ходе, которого выявляются, такие недостатки существующей топологии сети, которые снижают уровень защищенности информационной системы. По результатам работ данного этапа предлагаются изменения в существующей информационной системе и технологии обработки информации, направленные на устранение найденных недостатков с целью достижения требуемого уровня информационной безопасности.
Следующий этап - анализ информационных потоков организации. На данном этапе определяются типы информационных потоков в информационной системе организации, и составляется их диаграмма, где для каждого информационного потока указывается его ценность и используемые методы обеспечения безопасности, отражающие уровень защищенности информационного потока. На основании результатов данного этапа работ предлагается защита или повышение уровня защищенности тех компонент информационной системы, которые участвуют в наиболее важных процессах передачи, хранения и обработки информации. Для менее ценной информации уровень защищенности остается прежним, что позволяет сохранить для конечного пользователя простоту работы с информационной системой.
Применение анализа информационных потоков организации позволяет спроектировать систему обеспечения информационной безопасности, которая будет соответствовать принципу разумной достаточности.
В рамках экспертного аудита производится анализ организационно-распорядительных документов, таких как политика безопасности, план защиты и различного рода инструкции. Организационно-распорядительные документы оцениваются на предмет достаточности и непротиворечивости, декларируемым целям и мерам информационной безопасности. Особое внимание на этапе анализа информационных потоков уделяется определению полномочий и ответственности конкретных лиц за обеспечение информационной безопасности различных участков информационной системы. Полномочия и ответственность должны быть закреплены положениями организационно-распорядительных документов.
Результаты экспертного аудита могут содержать разноплановые предложения по построению или модернизации системы обеспечения информационной безопасности:
изменения в существующей топологии сети и технологии обработки информации;
рекомендации по выбору и применению систем защиты информации и других дополнительных специальных технических средств;
предложения по совершенствованию пакета организационно-распорядительных документов;
предложения по этапам создания системы информационной безопасности;
ориентировочные затраты на создание или совершенствование СОИБ.
Основными преимуществами экспертного аудита является возможность сэкономить средства и время, путем отказа от более масштабного комплексного аудита, а так же сосредоточиться на анализе наиболее значимых объектов информационной среды.
Активный аудит
Тест на проникновение (пентест) в информационную систему является оптимальным способом, позволяющий оценить защищенность информационной системы в целом, обнаружить отдельные уязвимости и проверить надежность существующих механизмов защиты информационной системы от несанкционированного воздействия, используя различные модели нарушителей. Организации предоставляется детальный отчет, содержащий результаты всестороннего анализа текущего состояния его информационной системы, выявленные уязвимости и способы их использования, рекомендации по их устранению.
Основные цели проведения тестов на проникновение:
поиск уязвимостей, позволяющих произвести атаку на информационную систему;
определение защищенности информационной системы;
актуальность применяемых методов защиты информации от несанкционированного воздействия;
регулярный контроль изменений в информационной системе;
требования международных стандартов и нормативных документов в сфере информационной безопасности требующие проведение регулярных тестов на проникновение.
Основные задачи проведения тестов на проникновение:
оценка текущего состояния информационной безопасности;
выявление уязвимостей информационной системы с их ранжированием по степени критичности и идентификацией по международным, собственным классификаторам;
требования международных стандартов и законодательства;
разработка рекомендаций по повышению эффективности защиты информации в информационной системе;
предоставление организации независимой оценки выбранных мер и методик информационной защиты;
подготовка данных для проведения комплексного аудита информационной безопасности.
Объектами тестирования являются: внешние серверы, внешнее сетевое оборудование, отдельные сервисы.
Виды тестов на проникновение:
) тестирование методом черного ящика - тестирование без предварительных знаний о тестируемом объекте. При выборе данного метода тестирования организация предоставляет лишь диапазон внешних IP-адресов или адреса серверов. Данный подход максимально приближен к действиям злоумышленника не знакомого с целевой системой. Данные о тестируемом объекте будут собираться при помощи общедоступных источников;
) тестирование методом белого ящика - более детальное исследование, основанное на дополнительной информации о тестируемом объекте. При выборе данного метода тестирования может запрашиваться дополнительная документация, исходные коды, структура сети, полный доступ к тестируемому объекту. Тест моделирует ситуацию, возможную в случае утечки информации, когда атакующий знает архитектуру информационной системы, знаком с исходными кодами или схемами, возможно, даже некоторыми паролями;
) тестирование методом серого ящика - при использовании данного метода сознательно игнорируется часть известной информации и применяется сочетание вышеперечисленных методов.
Работы по тесту на проникновение включают в себя ряд последовательных этапов:
поиск и анализ всей доступной информации;
инструментальное сканирование, предполагающее использование как специализированных средств;
детальный анализ вручную;
анализ и оценка выявленных уязвимостей и выработка рекомендаций;
подготовка отчета.
Отчет, предоставляемый организации по результатам проведения тестов на проникновение, содержит детальное описание проведенных работ, все выявленные уязвимости системы, способы их применения и рекомендации по устранению данных уязвимостей.
Тест на проникновение может быть начальным этапом комплексного аудита информационной безопасности, на основании которого возможны разработка политики информационной безопасности и внедрение систем защиты.
Аудит web-приложений
Аудит Web-приложений необходим для обнаружения и идентификации уязвимостей, позволяющих несанкционированно получить доступ, модифицировать информацию или выполнить произвольный программный код на целевой системе.
Основные цели проведения аудита Web-приложений:
выявление уязвимостей компрометирующих целевую систему, допущенных в процессе разработки и эксплуатации Web-приложений;
определение надежности и достаточности применяемых систем защиты Web-ресурсов;
отслеживание изменений в Web-приложениях;
соблюдение требований стандартов и нормативных документов в сфере информационной безопасности, требующие проведения аудита защищенности Web-приложений.
Основные задачи проведения аудита Web-приложений:
оценка текущего состояния Web-ресурса организации;
выявление уязвимостей в Web-приложениях с их ранжированием по степени критичности, идентификация по международным и собственным классификаторам;
требования международных стандартов и нормативных документов в сфере информационной безопасности;
предоставление организации независимой оценки защищенности ресурсов;
предоставление рекомендаций по устранению выявленных уязвимостей Web-приложений;
подготовка данных при проведении комплексного аудита информационной безопасности.
Проведение аудита безопасности web-приложения предполагает несколько этапов работ:
) автоматическое сканирование - на данном этапе проводится автоматическое сканирование web-узла при помощи программных средств обнаружения уязвимостей. Проводится анализ наличия типичных решений, применяемых для web-ресурса, таких форумы и гостевые книги. Большинство подобных решений имеют открытый исходный код и хорошо изучены на предмет наличия уязвимостей. Автоматическое сканирование позволяет выявить не только ошибки на уровне исходного кода web-сценария, но также и типичные ошибки администрирования сервера;
) метод «черного ящика» - используя информацию, полученную на первом этапе, специалист проводит анализ выявленных уязвимостей, а также поиск новых уязвимостей неавтоматизированными средствами. Оценивается возможность скомпрометировать систему без каких-либо дополнительных знаний об её внутренней структуре;
) метод «белого ящика» - данный этап предполагает всесторонний анализ структуры и исходного кода web-приложения, а также условий функционирования web-приложения на физическом сервере, таких как:
используемая операционная система и применяемая политика безопасности;
используемое серверное программное обеспечение и его настройка.
Основная задача - выявление причин найденных ранее уязвимостей, а также поиск новых уязвимостей. Анализ кода проводится на основе выработанных рекомендаций по созданию безопасного кода. В случае нахождения формальных признаков новой уязвимости - она проверяется на предмет возможности её эксплуатации.
В случае размещения web-приложения в условиях аренды места на сервере хостинга - дополнительно может быть проведена оценка угроз, исходящих от соседних доменов, размещенных на данном физическом сервере;
) оценка рисков - на данном этапе проводится анализ всех найденных в процессе аудита угроз, описание процесса и причин их возникновения, оценка вероятности возникновения и степени влияния на бизнес-процессы;
) выработка рекомендаций - на основе анализа угроз, вырабатывается ряд рекомендаций по их устранению;
) внедрение мер по обеспечению информационной безопасности - на основе выработанных рекомендаций производится внедрение мер по обеспечению информационной безопасности, которые включают в себя настройку системных параметров, изменение исходного кода приложения и внедрение средств защиты.
По окончании работ производится оценка остаточного риска.
Отчет, предоставляемый по результатам проведения аудита Web-приложений, содержит детальное описание проведенных работ, все выявленные уязвимости приложений, способы их применения и рекомендации по устранению данных уязвимостей.
Комплексный аудит
Комплексный аудит информационной безопасности - независимая и объективная комплексная оценка текущего состояния защищенности информационной системы, позволяющая систематизировать угрозы информационной безопасности и предложить рекомендации по их устранению.
Комплексный аудит информационной безопасности позволяет получить наиболее полную оценку защищенности информационной системы и рекомендуется для первичной оценки, объединяет в себе другие виды аудита информационной безопасности и предоставляет возможность оценить уровень и состояние информационной безопасности, как внутренних ресурсов, так и внешних.
Основные цели проведения комплексного аудита информационной безопасности:
поиск уязвимостей, позволяющих произвести атаку на информационную систему организации;
комплексная оценка защищенности информационной системы, отсутствие или недостатки применяемых систем защиты информации от несанкционированного воздействия;
регулярное отслеживание изменений в информационной системе;
получение независимой оценки;
соблюдение требований международных стандартов и нормативных документов в сфере информационной безопасности, рекомендующие требующие периодического или разового проведения аудита информационной безопасности.
Основные задачи комплексного аудита информационной безопасности:
анализ структуры, функций, используемых технологий обработки, хранения и передачи информации в информационной системе;
выявление уязвимостей информационной системы с их ранжированием по степени критичности, их идентификация по международным и собственным классификаторам;
составление модели нарушителя, применение методики активного аудита для проверки возможности реализации выявленных угроз информационной безопасности;
требования международных стандартов и нормативных документов в сфере информационной безопасности;
выработка рекомендаций по повышению эффективности защиты информации в информационной системе.
В общем виде, комплексный аудит информационной безопасности включает в себя следующие виды аудита ИБ:
) Внешний аудит информационной безопасности, который включает в себя:
а) технический аудит сети;
б) внешние тесты на проникновение;
в) аудит защищенности Web-приложений.
) Внутренний аудит информационной безопасности, который включает в себя:
а) технический аудит сети;
б) внутренние тесты на проникновение;
в) аудит защищенности от утечки информации;
г) аудит корпоративных беспроводных сетей.
Отчет, предоставляемый организации по результатам проведения аудита, содержит детальное описание проведенных работ, все выявленные уязвимости, способы их применения и рекомендации по устранению данных уязвимостей.
Аудит на соответствие стандартам
Стандарт ГОСТ Р ИСО/МЭК 27001-2006 является признанным стандартом в области построения Системы Управления Информационной Безопасностью (СУИБ) организации, универсальность данного стандарта позволяет использовать его во всех типах организаций вне зависимости от профиля их деятельности. ГОСТ Р ИСО/МЭК 27001-2006 включает в себя требования для разработки и эксплуатации системы управления информационной безопасности организации.
Построение системы управления информационной безопасности в соответствии с требованиями стандарта позволяет повысить «прозрачность» компании для инвесторов, партнеров и клиентов, благодаря управлению рисками, а также увеличить защищенность компании от угроз информационной безопасности.
Проведение аудита заключается в анализе и оценке:
системы управления рисками информационной безопасности;
политики безопасности, регламентов, инструкций, а также других документов, обеспечивающих информационную безопасность организации;
принципов управления активами и персоналом;
технических средств обеспечения информационной безопасности;
существующей системы управления инцидентами;
процессов управления непрерывностью бизнеса и восстановления после сбоев.
Результатом проведенных работ является:
возможность прохождения сертификации;
повышение конкурентоспособности на рынке;
повешение доверия со стороны клиентов, за счет обеспечения высокой защиты информационной безопасности на мировом уровне;
снижение рисков финансовых потерь, за счет обеспечения высокой отказоустойчивости и повышенной информационной безопасности организации;
наличие организационно распорядительной документации, описывающего полномочия и ответственность сотрудников организации;
прозрачная система управления информационной безопасностью предприятия.
Заключение
В результате выполнения данной производственной практики, была изучена обозначенная тема и приобретены полезные навыки в сфере аудита информационной безопасности.
Выше представлен отчёт о проделанной работе и продемонстрированы навыки, которые были приобретены за время прохождения практики. Задание было полностью выполнено, но следует заметить, что при более детальном анализе предложенной темы, будет возможно использовать данный материал в практической деятельности.
Источники
1.ГОСТ Р ИСО 19011-2003. Руководящие указания по аудиту систем менеджмента качества и систем экологического менеджмента [Текст]. - Введ. 2003-12-29. - М.: Стандартинформ, 2003.- 23 c.
2.СТО БР ИББС-1.1-2007. Обеспечение информационной безопасности организаций банковской системы российской федерации [Текст]. - Введ. 2007-05-01. - М.: Стандартинформ, 2007.- 14 c.
.Курило А.П. Аудит информационной безопасности [Текст] / А.П. Курило. - М.: Издательская группа «БДЦ-пресс », 2006.- 305 с.