Консалтинг

Аудит информационной безопасности

Комплексный аудит информационной безопасности

Аудит информационной безопасности – это анализ системы информационной безопасности предприятия на соответствия требованиям, предъявляемым международными стандартами к информационным системам в области обеспечения защиты.
Комплексный аудит безопасности информационных систем позволяет получить наиболее полную и объективную оценку защищенности информационной системы, локализовать имеющиеся проблемы и разработать эффективную программу построения системы обеспечения информационной безопасности организации.

Какие задачи решает проведение аудита?

Аудит безопасности проводят с целью решения следующих задач:

•    Повышение уровня защиты информации до приемлемого;
•    Оптимизация и планирование затрат на обеспечение информационной безопасности;
•    Обоснование инвестиций в системы защиты информации;
•    Получение максимальной отдачи от инвестиций, вкладываемых в системы защиты информации;
•    Подтверждение того, что используемые внутренние средства контроля соответствуют задачам организации и позволяют обеспечить эффективность и непрерывность бизнеса.

Какие преимущества эта услуга дает заказчику?

Аудит информационной безопасности позволяет получить наиболее полную и объективную оценку защищенности информационной системы , локализовать имеющиеся проблемы и разработать эффективную программу построения системы обеспечения ИБ организации.
Аудит информационной безопасности можно проводить как силами штатного персонала, так и привлекая независимых специалистов (внешний аудит). Преимущества внешнего аудита информационной безопасности перед внутренним заключается в следующем:
1.    Аудит представляет собой независимое исследование, что повышает степень объективности результатов.
2.    Эксперты, проводящие аудит, имеют более высокую квалификацию и больший опыт подобной работы, нежели штатные сотрудники организации.
3.    Дешевле поручить выполнение работ по аудиту специализированной организации, чем организовывать их самостоятельно.

Описание услуги

Проведение аудита безопасности корпоративной информационной системы заказчика осуществляется в четыре этапа:
1.    Постановка задачи и уточнение границ работ
2.    Сбор и анализ информации
3.    Проведение анализа рисков
4.    Разработка рекомендаций

Постановка задачи и уточнение границ работ
На данном этапе проводятся сбор исходных данных от заказчика, их предварительный анализ, а также организационные мероприятия по подготовке проведения аудита:
•    Уточняются цели и задачи аудита;
•    Формируется рабочая группа;
•    Подготавливается и согласовывается техническое задание на проведение аудита.
Целью аудита может быть как комплексный аудит системы защиты информации компании-заказчика, так и аудит информационной безопасности отдельных ИТ-систем (сетей передачи данных, вычислительных систем и систем хранения данных, и др.). На этом этапе цели проведения аудита уточняются и планируются все последующие шаги.
В состав рабочей группы должны входить специалисты компании исполнителя ( проводящей аудит ) и сотрудники компании заказчика. Сотрудники заказчика обеспечивают представление всей необходимой информации, контролируют процессы проведения обследования, а также участвуют в согласовании его результатов (промежуточных и конечных). Специалисты исполнителя отвечают за квалифицированное проведение работ по обследованию предметных областей в соответствии с определенными целями и задачами проекта, согласуют процессы и результаты проведения обследования.
Этап постановки задачи завершается разработкой, согласованием и утверждением технического задания (ТЗ). В ТЗ на аудит фиксируется состав и содержание работ по аудиту и требования к разрабатываемым документам. Кроме того, в ТЗ вносят сроки проведения работ, а при необходимости — план-график.
Параллельно с ТЗ разрабатывается соглашение о конфиденциальности и организуется взаимодействие со службой безопасности заказчика.

Сбор и анализ информации
На этом этапе собирается информация и дается оценка следующих мер и средств:
•    организационных мер в области информационной безопасности;
•    программно-технических средств защиты информации;
•    обеспечения физической безопасности.
Анализируются следующие харакетиристики построения и функционирования корпоративной информационной системы:
•    Организационные характеристики
•    Организационно-технические характеристики
•    Технические характеристики, связанные с архитектурой ИС
•    Технические характеристики, связанные с конфигурацией сетевых устройств и серверов ИС
•    Технические характеристики, связанные с использованием встроенных механизмов информационной безопасности
Организационные характеристики:
•    наличие, полнота и актуальность организационно-регламентных и нормативно-технических документов;
•    разделение зон ответственности ролей персонала по обеспечению информационной безопасности и его корректность;
•    наличие документированных списков, описывающих полномочия сотрудников по доступу к сетевым устройствам и серверам;
•    наличие планов по поддержке квалификации персонала, ответственного за обеспечение информационной безопасности;
•    осведомленность пользователей и персонала, поддерживающего функционирование ИС, о требованиях по обеспечению информационной безопасности;
•    корректность процедур управления изменениями и установления обновлений;
•    порядок предоставления доступа к внутренним ресурсам информационных систем;
•    наличие механизмов разграничения доступа к документации.
Организационно-технические характеристики:
•    возможности использования найденных уязвимых мест в сетевых устройствах и серверах для реализации атак;
•    наличие оперативного анализа журналов аудита и реагирования на события, связанные с попытками несанкционированного доступа, оценка полноты анализируемых событий, оценка адекватности защиты журналов аудита;
•    наличие процедур по обнаружению и фиксации инцидентов информационной безопасности и механизмов расследования таких инцидентов;
•    наличие процедуры и документирование любых действий, связанных с модификацией прав доступа, изменениями параметров аудита;
•    периодичность контроля защищенности сетевых устройств и серверов;
•    наличие процедуры отслеживания новых уязвимостей в системном программном обеспечении и его обновления;
•    ограничение доступа в серверные помещения;
•    адекватность времени восстановления в случае сбоев критичных устройств и серверов;
•    наличие зоны опытной эксплуатации новых решений, процедуры тестирования и ввода в промышленную эксплуатацию.
Технические характеристики, связанные с архитектурой ИС:
•    топология и логическая организация сетевой инфраструктуры, адекватность контроля логических путей доступа, адекватность сегментирования;
•    топология и логическая организация системы защиты периметра, адекватность контроля доступа из внешних сетей;
•    топология, логическая организация и адекватность контроля доступа между сегментами;
•    наличие узлов, сбои на которых приведут к невозможности функционирования значительной части в ИС;
•    наличие точек удаленного доступа к информационным ресурсам ИС и адекватность защиты такого доступа.
Технические характеристики, связанные с конфигурацией сетевых устройств и серверов ИС:
•    права доступа персонала к сетевым устройствам и серверам, оценка минимально необходимых прав, которые требуются для выполнения производственных задач;
•    соответствие списков контроля доступа на критичных сетевых устройствах документированным требованиям;
•    соответствие конфигурации операционных систем и использованию штатных механизмов информационной безопасности рекомендациям производителя и лучшей практике;
•    наличие неиспользованных сервисов или сервисов, содержащих известные уязвимости;
•    соответствие механизма и стойкости процедуры аутентификации – критичности ресурсов, оценка адекватности парольной политики и протоколирования деятельности операторов.
Технические характеристики, связанные с использованием встроенных механизмов информационной безопасности:
•    оценка соответствия конфигурации встроенных средств защиты документированным требованиям и оценка адекватности существующей конфигурации;
•    оценка адекватности использования криптографической защиты информации и процедуры распределения ключевой информации;
•    наличие антивирусной проверки трафика, а также антивирусного контроля на рабочих станциях пользователей;
•    наличие резервных копий файлов конфигурации и образов дисков для критичных сетевых устройств и серверов;
•    наличие источников бесперебойного питания для критичных сетевых устройств и серверов и их адекватность требованиям по времени бесперебойной работы.
После получения исходных данных готовится отчет об обследовании. Отчет об обследовании является основой для последующих этапов аудита: анализа рисков и разработки рекомендаций.

Проведение анализа рисков
Проведение данного этапа является важной стадией при аудите информационной безопасности. Анализ рисков проводится для оценки реальных угроз нарушения информационной безопасности и разработки рекомендаций, выполнение которых позволит минимизировать эти угрозы.
Исходной информацией для анализа рисков является согласованный с заказчиком отчет о проведенном обследовании.
Анализ рисков дает возможность:
•    адекватно оценить существующие угрозы;
•    идентифицировать критичные ресурсы ИС;
•    выработать адекватные требования по защите информации;
•    сформировать перечень наиболее опасных уязвимых мест, угроз и потенциальных злоумышленников;
•    получить определенный уровень гарантий, основанный на объективном экспертном заключении.
При анализе рисков осуществляется:
•    классификация информационных ресурсов;
•    анализ уязвимостей;
•    составление модели потенциального злоумышленника;
•    оценка рисков нарушения информационной безопасности.
В процессе анализа рисков проводится оценка критичности идентифицированных уязвимых мест и возможности их использования потенциальным злоумышленником для осуществления несанкционированных действий.

Разработка рекомендаций
На основании информации, полученной в ходе обследования информационной инфраструктуры заказчика и результатов анализа рисков, разрабатываются рекомендации по совершенствованию системы защиты информации, применение которых позволит минимизировать риски, с приложением списка конкретных уязвимостей активного сетевого оборудования, серверов, межсетевых экранов и др.
По завершении аудита подготавливается итоговый отчет, содержащий оценку текущего уровня безопасности ИТ-инфраструктуры, информацию об обнаруженных проблемах, анализ соответствующих рисков и рекомендации по их устранению.

Результат

Результатом аудита безопасности внешнего периметра корпоративной сети является аудиторский отчет.

Общая структура отчета:
•    Оценка текущего уровня защищенности информационной системы:
•    Описание и оценка текущего уровня защищенности информационной системы;
•    Анализ конфигурации конфигурационной информации, найденные уязвимости;
•    Анализ рисков, связанных с возможностью осуществления внутренних и внешних угроз в отношении ресурсов информационной системы;

Рекомендации по технической составляющей ИБ:
•    по изменению конфигурации существующих сетевых устройств и серверов;
•    по изменению конфигурации существующих средств защиты;
•    по активации дополнительных штатных механизмов безопасности на уровне системного программного обеспечения;
•    по использованию дополнительных средств защиты;

Рекомендации по организационной составляющей ИБ:
•    по разработке политики информационной безопасности;
•    по организации службы ИБ;
•    по разработке организационно-распорядительных и нормативно-технических документов;
•    по пересмотру ролевых функций персонала и зон ответственности;
•    по разработке программы осведомленности сотрудников в части информационной безопасности;
•    по поддержке и повышению квалификации персонала.
Вы можете отправить свой запрос воспользовавшись формой