Аудит безопасности - Информационная безопасность на предприятии

Так как практической частью данного диплома является практическое применение стандарта ISO 27001, который описывает рекомендации к системе управления информационной безопасности, необходимо подробно познакомится с данным понятием. При обсуждении ISO 27001 мы столкнемся с понятием аудит. В настоящее время все более востребованной на рынке информационной безопасности становится услуга аудита. Однако, как показывает практика, и заказчики, и поставщики зачастую понимают суть этой услуги по-разному. Данная глава дает подробную классификацию услуг аудита и акцентирует внимание на особенностях различных видов аудита.

Активный аудит

Активный аудит является одним из самых распространенных видов аудита. Данный аудит является исследованием защищенности информационной системы предприятия с точки зрения хакера. Другими словами данный вид аудита можно назвать, как инструментальный анализ защищенности. Суть активного аудита заключается в том, что при помощи специализированного программного обеспечения происходит сбор информации о состоянии защиты. Стоит отметить тот факт, что под состоянием защиты понимаются только те настройки, с помощью которых злоумышленник может проникнуть в информационную систему.

Когда используется данный вид аудита, происходит моделирование огромного количества атак, которые может осуществить хакер для проникновения в информационную базу предприятия. Аудитор в это время становится хакером - ему предоставляется абсолютный минимум информации. Ему доступна только та информация, которую можно узнать из открытых источников.

Результатом такого аудита может служить информация о, различного рода уязвимостей в системе и способах ее устранения. По окончании активного аудита выдаются рекомендации по модернизации системы сетевой защиты. Они помогают устранить опасные уязвимости, повысив уровень защищенности информационной системы от действий "внешнего" злоумышленника при минимальных затратах на информационную безопасность.

Требуется проведения и других типов аудита для создания "идеальной" системы сетевой защиты. Активный аудит не предоставляет информации

Корректности, с точки зрения безопасности, проекта информационной системы.

Под активным аудитом понимается услуга, которая может и должна заказываться периодически. Выполнения такого рода аудита должна проводиться раз в год, что позволит предприятию удостовериться, что в высоком уровне сетевой информационной безопасности.

Активный аудит условно можно разделить на два вида - "внешний" и "внутренний".

При "внешнем" активном аудите специалисты моделируют действия "внешнего" злоумышленника. В данном случае проводятся следующие процедуры:

    - "Определение доступных сетей IP-адресов заказчика; - Сканирование данных адресов с целью определения работающих сервисов и служб, а также назначения отсканированных хостов; - Определение версий сервисов и служб сканируемых хостов; - Изучение маршрутов прохождения трафика к хостам заказчика; - Сбор информации об ИС заказчика из открытых источников; - Анализ полученных данных с целью выявления уязвимостей".

"Внутренний" активный аудит по составу работ аналогичен "внешнему", однако есть отличие. При проведении такого рода аудита, хакер предоставляется как внутренний злоумышленник.

Экспертный аудит

Мной было выделено следующее определение экспертного аудита. Экспертный аудит - это сравнение состояния информационной безопасности с описание "идеала", базирующееся на следующем:

    - Требования руководства при проведении аудита; - Описание "идеала" информационной безопасности, основанной на частном опыте.

При проведении экспертного аудита, аудиторам необходимо сделать следующее:

    * "Сбор исходных данных об информационной системе, об ее функциях и особенностях, используемых технологиях автоматизированной обработки и передачи данных (с учетом ближайших перспектив развития); * Сбор информации об имеющихся организационно-распорядительных документах по обеспечению информационной безопасности и их анализ; * Определение точек ответственности систем, устройств и серверов ИС; * Формирование перечня подсистем каждого подразделения компании с категорированием критичной информации и схемами информационных потоков".

Самой объемной и трудоемкой работой всего аудита является сбор данных об информационной системе при помощи интервьюирования сотрудников компании. Основная цель интервьюирования технических специалистов - сбор информации о функционировании сети, а у руководящего состава компании - выяснение требований, которые предъявляются к системе информационной безопасности.

Основным этапом экспертного аудита является анализ информационной системы, топологии сети и способе обработки информации, при котором может выявиться снижения уровня защищенности информационной системы. По истечении данного этапа представляются документы, описывающие недостатки информационной системы с выделением критериев и способов увеличения уровня безопасности.

Следующим этапом является анализ информационных потоков организации.

На данном процессе происходит анализ информационных потоков ИС. Для уточнения процесса, также строятся различные диаграммы, которые показывают и определяют уровень защиты данного потока. После данного этапа работ аудиторами предлагается повышение уровня защищенности для ценной информации. Для неценной информации уровень защищенности остается прежним.

В процессе экспертного аудита проводится анализ организационно-распорядительных документов, таких как политика безопасности, план защиты и различного рода инструкции.

Определение полномочий и ответственности конкретных лиц за обеспечение информационной безопасности различных участков / подсистем ИС является важным шагом при анализе информационных систем. Полномочия и ответственность должны быть закреплены положениями организационно-распорядительных документов.

Типичный отчет о проведении экспертного аудита может включать в себя следующее:

    - "Изменения (если они требуются) в существующей топологии сети и технологии обработки информации; - Рекомендации по выбору и применению систем защиты информации и других дополнительных специальных технических средств; - Предложения по совершенствованию пакета организационно-распорядительных документов; - Предложения по этапам создания системы информационной безопасности; - Ориентировочные затраты на создание или совершенствование СОИБ (включая техническую поддержку и обучение персонала)".

Аудит на соответствие стандартам

Основной сутью данного аудита является формулирование целей в финансовой сфере. При проведении данного аудита происходит сравнение текущей информационной безопасности с описанием некой безопасности в одном из стандартов.

Отчет, который будет подготовлен после проведения данного аудита, должен включать в себя следующее:

    - Уровень соответствия информационной системы текущим стандартам; - Уровень, которому соответствует внутренние требования предприятия в области информационной безопасности; - Количество и категории полученных несоответствий и замечаний; - Рекомендации по построению или усовершенствованию системы, которая обеспечивает информационную безопасность предприятия, позволяющая привести текущую информационную безопасность в соответствие с рассматриваемым стандартом; - Основные документы заказчика, необходимые для обеспечения информационной безопасности.

Примером стандартов, которые будут рассматриваться в качестве "идеальных" может послужить следующие стандарты:

- Отечественные стандарты:

Ь "Специальные требования и рекомендации по технической защите конфиденциальной информации" (СТР-К);

Ь "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий" (ГОСТ Р ИСО/МЭК 15408-2002 или "Общие критерии").

- Международные стандарты:

Ь ISO/IEC 17799 (ныне называется ISO 27002) - "Информационные технологии. Управление информационной безопасностью";

Ь "WOT (Web of Trust) - бесплатная надстройка к браузеру, которая предупреждает интернет-пользователя во время поиска информации или совершения покупок о сайтах с низкой репутацией".

Теперь перейдем к выделению основных причин проведения данного аудита. Причины условно можно разделить по степени обязательности:

    - Обязательная сертификация; - Сертификация, вызванная некими объективными причинами; - Сертификация, позволяющая в будущем принести больший доход компании; - Сертификация по доброй воле.

Государственные организации обязаны проводить ежегодную аттестацию безопасности своей информационной системы. Однако существуют и организации, которые не обязаны проводить аттестацию своей ИС. Для таких компаний проведение аудита будет намного выгоднее. За услугами аудита, заказчик обращается в крупную компанию-интегратор, которая обладает высоким опытом.

В большинстве случаев компании проводят аудит только лишь для того, чтобы привлечь крупного клиента, предоставляя ему сертификат, который подтверждает высокий уровень информационной безопасности. В такой ситуации происходит проведение сертификации на соответствие тем стандартам, которые довольно важны для клиентов.

В заключение данной главы отметим, что при планировке проведения проверки информационной безопасности важно не только грамотно выбрать вид аудита, но и правильно выполнить исполнителя. Ведь данный выбор напрямую зависит от потребностей, возможностей и желаний компании

Похожие статьи




Аудит безопасности - Информационная безопасность на предприятии

Предыдущая | Следующая