28.02.2009 Аудит информационной безопасности
Аудит (проверка) – это систематический, независимый и документированный процесс, получения свидетельств аудита (проверки) и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита (проверки).
Для чего нужен аудит информационной безопасности?
Аудит информационной безопасности в первую очередь нужен для того, чтобы понять уровень защищенности компании перед лицом внешних и внутренних угроз информационной безопасности.
Выды аудита информационной безопасности
Можно выделить следующие виды аудита информационной безопасности:
- Аудит системы управления информационной безопасности;
- Аудит информационной безопасности с использованием методов социальной инженерии;
- Аудит безопасности ИТ-инфраструктуры.
Аудит системы управления информационной безопасностью
Аудит системы управления информационной безопасностью (СУИБ) сфокусирован на аудите процессов обеспечения информационной безопасности.
Аудит проходит в два этапа:
Этап 1. Проверка адекватности документации системы управления информационной безопасностью. Аудиторы анализируют принятую в компании методологию оценки рисков информационной безопасности, результаты оценки рисков, с перечнем мер минимизации рисков из стандарта ISO 27002, которые компания решила внедрить. Проверяется насколько существующие политики и процедуры соответствуют целям выбранных мер.
Этап 2. Тестирование эффективности мер минимизации рисков информационной безопасности.
В качестве примера можно рассмотреть оценку эффективности процедуры предоставления доступа к информационной системе компании. Аудиторы выбирают, как правило, случайным образом, учетные записи пользователей, и проверяют наличие заявок на предоставление доступа, а также наличие свидетельств их авторизации непосредственным руководителем пользователя, владельцем системы, сотрудником отдела информационной безопасности. В отделе кадров запрашивается список уволенных пользователей и проверяется то, что их учетные записи были своевременно заблокированы.
Следует отметить, что компания может пройти сертификационный аудит на соответствие требованиям стандарта ISO 27001 и получить общепризнанный сертификат.
Аудит информационной безопасности с использованием методов социальной инженерии
Данный вид аудита позволит определить насколько компания может противодействовать самым коварным атакам злоумышленников, направленным на человеческие слабости.
Общий подход основан на получении конфиденциальной информации обманным путем.
Аудиторы собирают информацию о сотрудниках компании в социальных сетях (www.moikrug.ru, www.linkedin.com), блогах и т.п. Затем специалисты связываются с сотрудниками по электронной почте или телефону и, используя полученную информацию, пытаются получить конфиденциальные данные.
Аудит безопасности ИТ-инфраструктуры
Эффективные процессы управления информационной безопасности не гарантируют отсутствия уязвимостей, которыми могут воспользоваться внешние и внутренние злоумышленники.
Аудит безопасности ИТ-инфраструктуры заключаетя в комбинации следующих проверок технического уровня:
- Тестирование на проникновение;
- Сканирование на наличие уязвимостей;
- Анализ настроек безопасности.
Тестирование на проникновение
Тестирование на проникновение представляет собой имитацию действий реальных злоумышленников. По сути, существует всего два этапа, которые повторяются итерационно – идентификация уязвимостей и их последующее использование для проникновения в системы.
В ходе тестирования используются специальные программные средства и различные методики взлома, наподобие описанных мною в следующих постах:
В результате успешного проникновения мы получаем список наиболее опасных уязвимостей, которые реально могут быть использованы злоумышленниками для взлома корпоративных систем.
Сканирование уязвимостей
Сканирование уязвимостей является наиболее распространенным аудитом информационной безопасности технического уровня. Сканирование проводится с помощью специального программного обеспечения, например такого, как сканер Nessus (www.nessus.org), которое отчасти имитирует действия злоумышленника. Сначала определяются функционирующие на узле сетевые сервисы, а затем по базе уязвимостей сканера осуществлятся поиск информации о брешах в защите, характерных для данного приложения. Иногда сканер отправляет специально подготовленные сетевые запросы и в зависимости от ответа определяет наличие уязвимости.
Анализ настроек безопасности
Анализ настроек безопасности наиболее простой и безопасный способ выявления уязвимостей технического уровня. Анализ заключается в сверке текущих настроек безопасности корпоративных систем, систем управления базами данных, операционных систем, активного сетевого оборудования с рекомендованными вендорами и экспертами по информационной безопасности. Для проведения данного вида аудита зачастую используются специальные проверочные листы (checklists), подобные тем, что доступны на сайтах NIST (http://checklists.nist.gov/), SANS (http://checklists.nist.gov/), Center for Internet Security (http://www.cisecurity.org/). Никаких активных действий, которые могут привести к нарушению работы систем, не проводится.
Вместо заключения
Related Posts
- Материалы тренинга "Аудит информационной безопасности". Часть третья. Аудит с применением методов социальной инженерии. Анализ настроек безопасности.
- Материалы тренинга "Аудит информационной безопасности". Часть вторая. Аудит системы управления информационной безопасностью
- Материалы тренинга "Аудит информационной безопасности". Часть первая.
- Политики и процедуры по информационной безопасности
- АУДИТ ИБ: за что платит компания?
Метки: аудит
- Ваш отзыв
- Рубрика: информационная безопасность