Аудит безопасности - Информационная безопасность на предприятии
Так как практической частью данного диплома является практическое применение стандарта ISO 27001, который описывает рекомендации к системе управления информационной безопасности, необходимо подробно познакомится с данным понятием. При обсуждении ISO 27001 мы столкнемся с понятием аудит. В настоящее время все более востребованной на рынке информационной безопасности становится услуга аудита. Однако, как показывает практика, и заказчики, и поставщики зачастую понимают суть этой услуги по-разному. Данная глава дает подробную классификацию услуг аудита и акцентирует внимание на особенностях различных видов аудита.
Активный аудит
Активный аудит является одним из самых распространенных видов аудита. Данный аудит является исследованием защищенности информационной системы предприятия с точки зрения хакера. Другими словами данный вид аудита можно назвать, как инструментальный анализ защищенности. Суть активного аудита заключается в том, что при помощи специализированного программного обеспечения происходит сбор информации о состоянии защиты. Стоит отметить тот факт, что под состоянием защиты понимаются только те настройки, с помощью которых злоумышленник может проникнуть в информационную систему.
Когда используется данный вид аудита, происходит моделирование огромного количества атак, которые может осуществить хакер для проникновения в информационную базу предприятия. Аудитор в это время становится хакером - ему предоставляется абсолютный минимум информации. Ему доступна только та информация, которую можно узнать из открытых источников.
Результатом такого аудита может служить информация о, различного рода уязвимостей в системе и способах ее устранения. По окончании активного аудита выдаются рекомендации по модернизации системы сетевой защиты. Они помогают устранить опасные уязвимости, повысив уровень защищенности информационной системы от действий "внешнего" злоумышленника при минимальных затратах на информационную безопасность.
Требуется проведения и других типов аудита для создания "идеальной" системы сетевой защиты. Активный аудит не предоставляет информации
Корректности, с точки зрения безопасности, проекта информационной системы.
Под активным аудитом понимается услуга, которая может и должна заказываться периодически. Выполнения такого рода аудита должна проводиться раз в год, что позволит предприятию удостовериться, что в высоком уровне сетевой информационной безопасности.
Активный аудит условно можно разделить на два вида - "внешний" и "внутренний".
При "внешнем" активном аудите специалисты моделируют действия "внешнего" злоумышленника. В данном случае проводятся следующие процедуры:
- - "Определение доступных сетей IP-адресов заказчика; - Сканирование данных адресов с целью определения работающих сервисов и служб, а также назначения отсканированных хостов; - Определение версий сервисов и служб сканируемых хостов; - Изучение маршрутов прохождения трафика к хостам заказчика; - Сбор информации об ИС заказчика из открытых источников; - Анализ полученных данных с целью выявления уязвимостей".
"Внутренний" активный аудит по составу работ аналогичен "внешнему", однако есть отличие. При проведении такого рода аудита, хакер предоставляется как внутренний злоумышленник.
Экспертный аудит
Мной было выделено следующее определение экспертного аудита. Экспертный аудит - это сравнение состояния информационной безопасности с описание "идеала", базирующееся на следующем:
- - Требования руководства при проведении аудита; - Описание "идеала" информационной безопасности, основанной на частном опыте.
При проведении экспертного аудита, аудиторам необходимо сделать следующее:
- * "Сбор исходных данных об информационной системе, об ее функциях и особенностях, используемых технологиях автоматизированной обработки и передачи данных (с учетом ближайших перспектив развития); * Сбор информации об имеющихся организационно-распорядительных документах по обеспечению информационной безопасности и их анализ; * Определение точек ответственности систем, устройств и серверов ИС; * Формирование перечня подсистем каждого подразделения компании с категорированием критичной информации и схемами информационных потоков".
Самой объемной и трудоемкой работой всего аудита является сбор данных об информационной системе при помощи интервьюирования сотрудников компании. Основная цель интервьюирования технических специалистов - сбор информации о функционировании сети, а у руководящего состава компании - выяснение требований, которые предъявляются к системе информационной безопасности.
Основным этапом экспертного аудита является анализ информационной системы, топологии сети и способе обработки информации, при котором может выявиться снижения уровня защищенности информационной системы. По истечении данного этапа представляются документы, описывающие недостатки информационной системы с выделением критериев и способов увеличения уровня безопасности.
Следующим этапом является анализ информационных потоков организации.
На данном процессе происходит анализ информационных потоков ИС. Для уточнения процесса, также строятся различные диаграммы, которые показывают и определяют уровень защиты данного потока. После данного этапа работ аудиторами предлагается повышение уровня защищенности для ценной информации. Для неценной информации уровень защищенности остается прежним.
В процессе экспертного аудита проводится анализ организационно-распорядительных документов, таких как политика безопасности, план защиты и различного рода инструкции.
Определение полномочий и ответственности конкретных лиц за обеспечение информационной безопасности различных участков / подсистем ИС является важным шагом при анализе информационных систем. Полномочия и ответственность должны быть закреплены положениями организационно-распорядительных документов.
Типичный отчет о проведении экспертного аудита может включать в себя следующее:
- - "Изменения (если они требуются) в существующей топологии сети и технологии обработки информации; - Рекомендации по выбору и применению систем защиты информации и других дополнительных специальных технических средств; - Предложения по совершенствованию пакета организационно-распорядительных документов; - Предложения по этапам создания системы информационной безопасности; - Ориентировочные затраты на создание или совершенствование СОИБ (включая техническую поддержку и обучение персонала)".
Аудит на соответствие стандартам
Основной сутью данного аудита является формулирование целей в финансовой сфере. При проведении данного аудита происходит сравнение текущей информационной безопасности с описанием некой безопасности в одном из стандартов.
Отчет, который будет подготовлен после проведения данного аудита, должен включать в себя следующее:
- - Уровень соответствия информационной системы текущим стандартам; - Уровень, которому соответствует внутренние требования предприятия в области информационной безопасности; - Количество и категории полученных несоответствий и замечаний; - Рекомендации по построению или усовершенствованию системы, которая обеспечивает информационную безопасность предприятия, позволяющая привести текущую информационную безопасность в соответствие с рассматриваемым стандартом; - Основные документы заказчика, необходимые для обеспечения информационной безопасности.
Примером стандартов, которые будут рассматриваться в качестве "идеальных" может послужить следующие стандарты:
- Отечественные стандарты:
Ь "Специальные требования и рекомендации по технической защите конфиденциальной информации" (СТР-К);
Ь "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий" (ГОСТ Р ИСО/МЭК 15408-2002 или "Общие критерии").
- Международные стандарты:
Ь ISO/IEC 17799 (ныне называется ISO 27002) - "Информационные технологии. Управление информационной безопасностью";
Ь "WOT (Web of Trust) - бесплатная надстройка к браузеру, которая предупреждает интернет-пользователя во время поиска информации или совершения покупок о сайтах с низкой репутацией".
Теперь перейдем к выделению основных причин проведения данного аудита. Причины условно можно разделить по степени обязательности:
- - Обязательная сертификация; - Сертификация, вызванная некими объективными причинами; - Сертификация, позволяющая в будущем принести больший доход компании; - Сертификация по доброй воле.
Государственные организации обязаны проводить ежегодную аттестацию безопасности своей информационной системы. Однако существуют и организации, которые не обязаны проводить аттестацию своей ИС. Для таких компаний проведение аудита будет намного выгоднее. За услугами аудита, заказчик обращается в крупную компанию-интегратор, которая обладает высоким опытом.
В большинстве случаев компании проводят аудит только лишь для того, чтобы привлечь крупного клиента, предоставляя ему сертификат, который подтверждает высокий уровень информационной безопасности. В такой ситуации происходит проведение сертификации на соответствие тем стандартам, которые довольно важны для клиентов.
В заключение данной главы отметим, что при планировке проведения проверки информационной безопасности важно не только грамотно выбрать вид аудита, но и правильно выполнить исполнителя. Ведь данный выбор напрямую зависит от потребностей, возможностей и желаний компании
Похожие статьи
-
Понятие и задачи информационной безопасности - Информационная безопасность на предприятии
Перед описанием стандартов информационной безопасности следует сначала определить: что же такое информационная безопасность. Данное понятие можно...
-
Информация с точки зрения информационной безопасности обладает следующими категориями: * конфиденциальность -- гарантия того, что конкретная информация...
-
"ISO/IEC 27000 - серия международных стандартов, включающая стандарты, по информационной безопасности, опубликованные совместно Международной...
-
ВВЕДЕНИЕ - Разработка модели системы информационной безопасности на предприятии
Обеспечение безопасности информационных ресурсов давно стало предметом обсуждения во многих учреждениях, в совокупности с развитием информационных...
-
Введение - Информационная безопасность на предприятии
Информационный программный безопасность В настоящее время большую ценность представляет информация. По этой причине вопросы информационной безопасности...
-
Безопасность информации предполагает отсутствие недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и...
-
1.1 Физические средства-различные устройства и системы механического, электрического либо электронного плана, деятельность которых не зависит от...
-
Информационный безопасность автоматизированный угроза Классификация угроз информационной безопасности Анализ актуальных угроз конфиденциальной...
-
Основы информационной безопасности
Введение Курс с названием "Основы информационной безопасности" (Information Security) входит в целый ряд государственных образовательных стандартов по...
-
Проведенный анализ причинно-следственной природы информационных рисков, позволяет определить сущность управления информационными рисками. Она заключается...
-
При рассмотрении вопросов защиты АС целесообразно использовать четырехуровневую градацию доступа к хранимой, обрабатываемой и защищаемой АС информации....
-
Разработка политики безопасности организации - Основные понятия политики информационной безопасности
Разработка политики безопасности ведется для конкретных условий функционирования информационной системы. Как правило, речь идет о политике безопасности...
-
Введение - Обеспечение информационной безопасности на предприятии
Данная статья посвящена важности информационной системы и необходимости ее защиты. В ней говориться о различных средствах и методах, помогающих...
-
ИНФОРМАЦИОННОЕ ОБЕСПЕЧЕНИЕ База данных как основа информационного обеспечения В состав информационного, программного и математического обеспечения...
-
Большинство инцидентов информационной безопасности связано с воздействием внутренних угроз - утечки и кражи информации, утечки коммерческой тайны и...
-
- Подключение к исходной базе данных пользователей внешних информационных систем; - Отказ в доступе к желаемому ресурсу, если пользователем не пройдена...
-
Заключение - Обеспечение информационной безопасности в сети Internet
Исходно сеть создавалась как незащищенная открытая система, предназначенная для информационного общения все возрастающего числа пользователей. При этом...
-
Учебный процесс в ННГАСУ сопровождается значительной информационной базой, развитием компьютерного парка и внедрением в образовательный процесс...
-
В процессе развития нашего общества информация, особенно экономическая, играет особую роль. Желание преуспеть заставляет людей соревноваться, соперничать...
-
Определение методов реинжиниринга информационных систем Основные задачи, которые стоят перед проектировщиком, занимающимся реинжинирингом информационных...
-
Количество рабочих станций, всего 20 Количество ПК, работающих в сети 21 Характеристики компьютеров От amd phenom 1055t и выше Операционная система...
-
В настоящее время существует множество видов угроз информации. Так как информация сейчас является одним из ключевых факторов успешного функционирования...
-
Законодательные средства - законы и другие нормативно-правовые акты, с помощью которых регламентируются правила использования, обработки и передачи...
-
Самым правильным шагом в этом направлении будет приглашение специалиста по информационной безопасности, который вместе с вами постарается решить весь...
-
IDS сетевого уровня имеют много достоинств, которые отсутствуют в системах обнаружения атак на системном уровне. В действительности, многие покупатели...
-
1. Общие сведения 1.1 Наименование Система информационной безопасности ФГБОУ ВПО "Нижегородский государственный архитектурно-строительный университет" 2....
-
Для определения актуальных угроз безопасности, необходимо учитывать два значения. Первый показатель - это уровень исходной защищенности информационной...
-
Подсистема управления политикой ИБ предназначена для поддержания в актуальном состоянии политик и других организационно-распорядительных документов по...
-
Идентификация и оценка информационных активов Информационный актив является компонентом системы, в которую организация напрямую вкладывает средства, и...
-
Обследование проводилось с целью сбора сведений об информационных системах персональных данных НАО "Вальмонт индастрис" для последующего проведения...
-
Предложение автоматизации предприятия "Авиаэкспресс-Сервис" с внедрением программного комплекса "САМО-ТурАгент" Процесс внедрения автоматизированного...
-
Что защищать на предприятии Система федерального законодательства включает себя огромное количество актов, относительно различных видов тайн. В данной...
-
Комплексный подход к обеспечению информационной безопасности, Основные понятия - Защита информации
Основные понятия Под информацией, применительно к задаче ее защиты понимается сведения о лицах, предметах, фактах, событиях явлениях и процессах...
-
Особенность сети Internet на сегодняшний день состоит в том, что 99% процентов информационных ресурсов сети являются общедоступными. Удаленный доступ к...
-
Правовое аспекты - Организационно-правовое обеспечение информационной безопасности
В развитых странах мира, в том числе и в Российской Федерации, электронная цифровая подпись широко используется в гражданском обороте. Различные банки...
-
Постановка задачи Основной целью дипломной работы является создание комплексной системы информационной безопасности предприятия на примере информационной...
-
При работе на предприятии я опирался на помощь моего наставника, мнения и советы, которые помогли мне постигнуть основы деятельности в информационном...
-
Доклад Всемирного экономического форума "Глобальные риски 2012" ("Global Risks 2012") рассматривает кибератаки как одну из основных угроз мировой...
-
Анализ на соответствие стандартам и существующим политикам Проанализировав актуальные стандарты и "лучшие практики" в сфере информационной безопасности и...
-
Как отмечалось ранее, единственным базовым протоколом семейства TCP/IP, в котором изначально предусмотрена функция обеспечения безопасности соединения и...
Аудит безопасности - Информационная безопасность на предприятии