- •Содержание
- •Введение
- •Понятие консалтинга Определение понятия «консалтинг»
- •Виды консалтинга.
- •Стили консалтинга
- •Экспертное
- •Обучающее
- •Процессное
- •Субъекты, виды и объекты консультирования
- •3. Понятие аудита информационной безопасности Определение понятия «аудит информационной безопасности»
- •4. Виды аудита информационной безопасности Активный аудит
- •Сопроводительные услуги
- •Экспертный аудит
- •Аудит на соответствие стандартам
- •Комплексный аудит
- •5. Состав работ по аудиту информационной безопасности
- •1. Организационные характеристики:
- •2. Организационно-технические характеристики:
- •3. Технические характеристики, связанные с архитектурой ис:
- •4. Технические характеристики, связанные с конфигурацией сетевых устройств и серверов ис:
- •5. Технические характеристики, связанные с использованием встроенных механизмов информационной безопасности:
- •Использование методов анализа рисков
- •Методология оценки угроз безопасности
- •Стандарты проведения аудита иб
- •Стандарты, которые помогут на этапе планирования
- •Стандарты, которые помогут на этапе проведения аудита иб
- •Стандарты, которые помогут на этапе анализа
- •Стандарты, которые помогут на этапе разработки рекомендаций по повышению уровня защиты
- •Лабораторный практикум лабораторная работа № 1
- •Общие сведения
- •Задание на лабораторную работу № 1
- •Отчет по лабораторной работе № 1
- •Лабораторная работа № 2
- •Общие сведения Подходы к оценке, анализу и управлению рисками иб
- •Табличные методы оценки и анализа рисков иб
- •Пример проведения табличной оценки рисков
- •Ранжирование угроз
- •Оценка негативного воздействия угрозы
- •Разделение рисков на приемлемые и неприемлемые
- •Задание на лабораторную работу № 2
- •Лабораторная работа № 3
- •Общие сведения оценка риска от digital security
- •Пример расчета рисков иб на основе модели угроз и уязвимостей
- •Контрольные вопросы
- •Задание на лабораторную работу № 3
- •Отчет по лабораторной работе № 3
- •Лабораторная работа № 4
- •Общие сведения
- •Контрольные вопросы
- •Задание на лабораторную работу № 4
- •Отчет по лабораторной работе № 4
- •Лабораторная работа № 5
- •Общие сведения
- •Отчет по лабораторной работе № 5
- •Задание для самостоятельной работы студента
- •I. Работа с теоретическим материалом.
- •II. Работа с дополнительными программами.
- •III. Оценка затрат на зи в организации.
- •Методика оценки затрат на зи с использованием весовых коэффициентов
- •Отчет по самостоятельной работе
- •Варианты организаций
- •Заключение
- •Список рекомендуемой и используемой литературы
Сопроводительные услуги
Иногда в ходе активного аудита заказчику предлагается ряд дополнительных услуг, напрямую связанных с оценкой состояния системы информационной безопасности, в частности - проведение специализированных исследований.
Зачастую организация в своей информационной системе использует специализированное программное обеспечение (ПО) собственной разработки, предназначенное для решения нестандартных задач (например, корпоративный информационный портал, различные бухгалтерские системы или системы документооборота). Подобные ПО уникальны, поэтому каких-либо готовых средств и технологий для анализа защищенности и отказоустойчивости данного ПО не существует. В данном случае проводятся специализированные исследования, направленные на оценку уровня защищенности конкретного ПО.
Еще один вид услуг, предлагаемых в ходе активного аудита, - исследование производительности и стабильности системы, или стресс-тестирование. Оно направлено на определение критических точек нагрузки, при которой система вследствие атаки на отказ в обслуживании или повышенной загруженности перестает адекватно реагировать на легитимные запросы пользователей.
Стресс-тест позволит выявить «узкие» места в процессе формирования и передачи информации и определить те условия, при которых нормальная работа системы невозможна. Тестирование включает в себя моделирование атак на отказ в обслуживании, пользовательских запросов к системе и общий анализ производительности.
Одной из самых «эффектных» услуг является тест на проникновение (Penetration Testing), который во многом похож на «внешний» активный аудит, но по своей сути аудитом не является.
Основная цель данного тестирование – демонстрация «успехов», которых может достигнуть хакер, действующий при текущем состоянии системы сетевой защита. Результаты данной услуги более наглядны, чем результаты аудита. Однако ей свойственны множество ограничений и особенностей. Например, особенность технического характера: заказчик информируется только о факте уязвимости системы сетевой защиты, в то время как в результатах «внешнего» активного аудита заказчику сообщается не только факт уязвимости сети, но и информация обо всех уязвимостях и способах их устранения.
Экспертный аудит
Экспертный аудит можно условно представить как сравнение состояния информационной безопасности с «идеальным» описанием, которое базируется на следующем:
требования, которые были предъявлены руководством в процессе проведения аудита;
описание «идеальной» системы безопасности, основанное на аккумулированном в компании-аудиторе мировом и частном опыте.
При выполнении экспертного аудита сотрудники компании-аудитора совместно с представителями заказчика проводят следующие виды работ:
сбор исходных данных об информационной системе, об её функциях и особенностях, используемых технологиях автоматизированной обработки и передачи данных (с учетом ближайших перспектив развития);
сбор информации об имеющихся организационно-распорядительных документах по обеспечению информационной безопасности и их анализ;
определение точек ответственности систем, устройств и серверов ИС;
формирование перечня подсистем каждого подразделения компании с категорированием критичной информации и схемами информационных потоков.
Один из самых объемных видов работ, которые проводятся при экспертном аудите, – сбор данных об информационной системе путем интервьюирования представителей заказчика и заполнения ими специальных анкет.
Основная цель интервьюирования технических специалистов - сбор информации о функционировании сети, а руководящего состава компании – выяснение требований, которые предъявляются к системе информационной безопасности.
Необходимо отметить, что при экспертном аудите безопасности информационной системы учитываются результаты предыдущих обследований (в том числе других аудиторов), выполняются обработка и анализ проектных решений и других рабочих материалов, касающихся вопросов создания информационной системы.
Ключевой этап экспертного аудита - анализ проекта информационной системы, топологии сети и технологии обработки информации, в ходе которого выявляются, например, такие недостатки существующей топологии сети, которые снижают уровень защищенности информационной системы.
По результатам работ данного этапа предлагаются изменения (если они требуются) в существующей информационной системе и технологии обработки информации, направленные на устранение найденных недостатков с целью достижения требуемого уровня информационной безопасности.
Следующий этап – анализ информационных потоков организации. На данном этапе определяются типы информационных потоков ИС организации и составляется их диаграмма, где для каждого информационного потока указывается его ценность (в том числе ценность передаваемой информации) и используемые методы обеспечения безопасности, отражающие уровень защищенности информационного потока.
На основании результатов данного этапа работ предлагается защита или повышение уровня защищенности тех компонент информационной системы, которые участвуют в наиболее важных процессах передачи, хранения и обработки информации. Для менее ценной информации уровень защищенности остается прежним, что позволяет сохранить для конечного пользователя простоту работы с информационной системой.
Применение анализа информационных потоков организации позволяет спроектировать систему обеспечения информационной безопасности, которая будет соответствовать принципу разумной достаточности.
В рамках экспертного аудита производится анализ организационно-распорядительных документов, таких как политика безопасности, план защиты и различного рода инструкции. Организационно-распорядительные документы оцениваются на предмет достаточности и непротиворечивости декларируемым целям и мерам информационной безопасности. Особое внимание на этапе анализа информационных потоков уделяется определению полномочий и ответственности конкретных лиц за обеспечение информационной безопасности различных участков/подсистем ИС. Полномочия и ответственность должны быть закреплены положениями организационно-распорядительных документов.
Результаты экспертного аудита могут содержать разноплановые предложения по построению или модернизации системы обеспечения информационной безопасности, например:
изменения (если они требуются) в существующей топологии сети и технологии обработки информации;
рекомендации по выбору и применению систем защиты информации и других дополнительных специальных технических средств;
предложения по совершенствованию пакета организационно-распорядительных документов;
предложения по этапам создания системы информационной безопасности;
ориентировочные затраты на создание или совершенствование СОИБ (включая техническую поддержку и обучение персонала).