Аудит информационной безопасности методические указания к практическим занятиям
..pdfФЕДЕРАЛЬНОЕ АГЕНТСТВО СВЯЗИ Федеральное государственное бюджетное образовательное учреждение
высшего образования «ПОВОЛЖСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОМ-
МУНИКАЦИЙ И ИНФОРМАТИКИ»
Кафедра информационной безопасности
Н.В. Киреева, И.С. Поздняк, О.А. Караулова
АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Методические указания к практическим занятиям
Самара
2019
УДК
БКК
К
Рекомендовано к изданию методическим советом ПГУТИ, протокол №42, от 14.05.2019 г.
Рецензент:
заведующий кафедрой ССС ФГБОУ ВО ПГУТИ, д.т.н., проф. Росляков А.В.
Киреева, Н.В., Поздняк, И.С., Караулова, О.А.
КАудит информационной безопасности: методические указания к практическим занятиям / Н.В. Киреева, И.С. Поздняк, О.А. Караулова. – Самара: ПГУТИ, 2019.
–21 с.
Аннотация Методические указания к практическим занятиям по дисциплине «Аудит информационной безопасности» содержат информацию для подготовки и проведения занятий, в частности рассмотрена нормативно-правовая база, предложено рассмотрение жизненного цикла программы аудита информационной безопасности. Также рассмотрены методика и анализ проведения аудита, процесс оценки рисков информационной безопасности. Методические указания предназначены студентам, обучающимся по направлениям подготовки 10.03.01, 10.04.01 и специальности 10.05.02 для проведения практических занятий.
ISBN
©, Киреева Н.В., 2019
Содержание
Практическое занятие №1. Международные стандарты…………………….3
Практическое занятие №2. Программа аудита……………………………….5
Практическое занятие №3. Сбор исходных данных………………………..12 Практическое занятие №4. Инструментальный анализ…………………….16
Практическое занятие №5. Оценка рисков с помощью системы «ГРИФ»..18
Список литературы……………………………………………………………21
3
Практическое занятие №1. Международные стандарты
Цель занятия: изучить международные стандарты, используемые при проведении аудита информационной безопасности.
Аудит ИБ – это системный процесс, который направлен на получение объективных и количественных оценок о текущем состоянии информационной безопасности организации; результатом аудита является сравнение этих оценок с соответствующими установленными критериями и показателями безопасности.
Целью проведения аудита является разработка комплекса организационных мер и технических средств для обеспечения защиты информационных ресурсов проверяемой системы от угроз безопасности. Аудит безопасности позволяет обосновать решения по защите отдельно взятого предприятия.
Результатом проведения аудита является отчет, содержащий подробную информацию о состоянии информационной системы.
Задание: выбрать по варианту один стандарт из списка, описать состав, назначение, затрагиваемые области. Представить в виде презентации.
Таблица 1.1
|
Варианты |
|
|
№ варианта |
Стандарт |
|
|
1 |
Критерий оценки надежности компьютерных систем «Оран- |
|
жевая книга» (США) |
2 |
Рекомендации Х.800 |
3 |
Германский стандарт BSI «Руководство по защите информа- |
|
ционных технологий для базового уровня защищенности» |
4 |
Британский стандарт BS 7799 |
5 |
Стандарт «Общие критерии» ISO 15408 |
6 |
Стандарт ISO 17799 «Информационная технология. Система |
|
менеджмента информационной безопасности. Требования» |
7 |
Стандарт COBIT (Control Objectives for Information and related |
|
Technology, «Контрольные Объекты для Информационной и |
|
смежных Технологий») |
8 |
Стандарт аудита PCI DSS |
9 |
Стандарт ISO 27005 (BS 7799 – 3:2006) «Управление рисками |
|
информационной безопасности» |
10 |
Стандарт ISO 27001 «Информационная технология. Методы |
|
обеспечения безопасности. Руководство по управлению ин- |
|
формационной безопасностью» |
11 |
Стандарт ITIL (Information Technologies Infrastructure Library, |
|
«Библиотека инфраструктуры информационных техноло- |
|
гий») |
12 |
Методика проведения аудита информационной безопасности |
|
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability |
|
Evaluation) |
5
Практическое занятие №2. Программа аудита
Цель занятия: изучить жизненный цикл программы аудита инфор-
мационной безопасности.
Под программой аудита ИБ понимается совокупность одного или нескольких аудитов ИБ, запланированных на конкретный период времени и направленных на достижение конкретной цели. Данный документ дол-
жен включать в себя все мероприятия, требуемые для полного и успешно-
го проведения одного или нескольких аудитов ИБ, а также для обеспече-
ния необходимых ресурсов, чтобы проводить аудиты ИБ эффективно и в соответствии с запланированными временными рамками. Цели и объем программы аудита ИБ зависят от типа аудируемой организации.
Может быть создана как одна, так и больше программ аудита ИБ.
Каждая программа аудита ИБ может включать несколько аудитов ИБ.
Жизненный цикл программы аудита ИБ указан на рис.2.1 цикла
«Планирование – Реализация– Оценка – Корректировка».
Рис.2.1 Жизненный цикл программы аудита информационной безопасности
В фазе планирования ведется непосредственная разработка програм-
мы аудита ИБ. На этом этапе определяются цели и объем аудита ИБ, а
также назначаются ответственные за его проведение, планируются ресур-
сы и процедуры.
В фазе реализации происходит внедрение программы аудита ИБ.
При этом разрабатывается план-график аудитов ИБ, формируется аудитор-
ская группа, и проводятся работы по аудиту ИБ, осуществляются ведение записей и руководство работами по аудиту ИБ.
В фазе оценки осуществляются мониторинг и анализ программы аудита ИБ. На этом этапе определяется, необходимо ли корректировка или другие действия, рассматриваются возможности для улучшения.
На последнем этапе производится улучшение программы аудита ИБ,
если установлено, что оно необходимо.
Задание:
1.Выбрать тип аудита ИБ, организацию;
2.Составить программу аудита ИБ выбранной организации с учетом особенностей ее деятельности, структуры, размера и т.д.
3.Описать этапы жизненного цикла созданной программы ауди-
та.
Ниже представлен пример выполнения данного практического заня-
тия.
В табл.2.1 отражена возможная программа аудита с целью оценки степени соответствия обеспечения ИБ банка требованиям законодатель-
ства РФ и внутренних регламентирующих документов в области информа-
ционной безопасности (аудит на соответствие стандартам).
7
Таблица 2.1
Программа аудита
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Срок |
Ответствен- |
№ |
Мероприятие |
Описание |
Регламентирующие докумен- |
испол- |
ный за вы- |
|||||||||||
п/п |
ты |
|
|
|
нения |
полнение |
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
сотрудник |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
I этап. Начало проверки |
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
||||||||
1.1 |
Представление |
|
|
|
|
-Служебное удостоверение; |
|
|
||||||||
|
должностных |
лиц |
|
|
|
-Приказ или распоряжение о |
|
|
||||||||
|
Банка, |
проводящих |
|
|
|
проведении проверки фили- |
|
|
||||||||
|
проверку, |
руковод- |
|
|
|
ала |
|
|
|
|
|
|
||||
|
ству |
|
проверяемого |
|
|
|
|
|
|
|
|
|
|
|||
|
филиала |
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
||||||
1.2 |
Вручение |
|
руково- |
|
|
|
Заверенная копия приказа |
|
|
|||||||
|
дителю |
|
филиала |
|
|
|
или распоряжения о прове- |
|
|
|||||||
|
или лицу, которому |
|
|
|
дении проверки филиала |
|
|
|||||||||
|
уполномочено |
|
|
|
|
|
|
|
|
|
|
|
||||
|
представлять инте- |
|
|
|
|
|
|
|
|
|
|
|||||
|
ресы |
|
филиала |
при |
|
|
|
|
|
|
|
|
|
|
||
|
проведении |
|
про- |
|
|
|
|
|
|
|
|
|
|
|||
|
верки, |
заверенной |
|
|
|
|
|
|
|
|
|
|
||||
|
печатью |
|
копии |
|
|
|
|
|
|
|
|
|
|
|||
|
приказа или распо- |
|
|
|
|
|
|
|
|
|
|
|||||
|
ряжения |
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|||||||||||
II этап. Проведение проверки соответствия уровня информационной безопасности филиала норма- |
||||||||||||||||
|
|
|
|
|
|
|
|
тивным правовым актам |
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
||||||
2.1 |
Проверка |
|
соблю- |
Документы, |
|
-Федеральный |
|
закон |
от |
|
|
|||||
|
дения |
|
требований, |
подтверждаю- |
27.07.2006 №152-ФЗ «О пер- |
|
|
|||||||||
|
установленных |
за- |
щие |
принятие |
сональных данных»; |
|
|
|
|
|||||||
|
конодательством |
мер: |
|
|
-Постановление |
Правитель- |
|
|
||||||||
|
Российской |
Феде- |
1) |
Кадровая |
ства РФ от 01.11.2012г. № |
|
|
|||||||||
|
рации, в |
|
области |
политика |
фи- |
1119; |
|
|
|
|
|
|
||||
|
информационной |
лиала; |
|
-Письмо ЦБ РФ от 14 марта |
|
|
||||||||||
|
безопасности |
бан- |
2) |
Должност- |
2014г. №42-Т «Об усилении |
|
|
|||||||||
|
ковской |
сферы, а |
ные |
инструк- |
контроля за рисками, возни- |
|
|
|||||||||
|
также при обработ- |
ции |
специали- |
кающими у кредитных орга- |
|
|
||||||||||
|
ке |
персональных |
стов |
службы |
низаций при |
использовании |
|
|
||||||||
|
данных работников |
информацион- |
информации, |
|
содержащей |
|
|
|||||||||
|
и клиентов филиала |
ной безопасно- |
персональные |
данные |
граж- |
|
|
|||||||||
|
|
|
|
|
|
|
сти |
и подраз- |
дан»; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
деления |
ин- |
-Приказ ФСБ от 10 июля |
|
|
|||||
|
|
|
|
|
|
|
формационных |
2014 №378 «Об утверждении |
|
|
||||||
|
|
|
|
|
|
|
технологий |
|
состава и содержания орга- |
|
|
|||||
|
|
|
|
|
|
|
филиала; |
|
низационных и технических |
|
|
|||||
|
|
|
|
|
|
|
должностные |
мер по обеспечению без- |
|
|
||||||
|
|
|
|
|
|
|
инструкции |
|
опасности ПДн при их обра- |
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
лиц, имеющих ботке в ИСПДн с использодоступ и (или) ванием средств защиты иносуществляюформации, необходимых для щих обработку выполнения установленных
|
|
|
|
|
персональных |
правительством РФ требова- |
|||||||
|
|
|
|
|
данных; |
|
|
ний к защите ПДн для каж- |
|||||
|
|
|
|
|
3) Положение о |
дого из уровней защищенно- |
|||||||
|
|
|
|
|
подразделении, |
сти». |
|
|
|||||
|
|
|
|
|
осуществляю- |
-Политика Банка в области |
|||||||
|
|
|
|
|
щем |
функции |
обработки |
и |
защиты ПДн |
||||
|
|
|
|
|
по организации |
(общедоступная, размещае- |
|||||||
|
|
|
|
|
защиты |
|
персо- |
мая на сайте Банка) |
|||||
|
|
|
|
|
нальных |
дан- |
-Положение о работе с пер- |
||||||
|
|
|
|
|
ных; |
|
|
|
|
сональными данными работ- |
|||
|
|
|
|
|
4) Приказы/ |
|
ников Банка; |
|
|||||
|
|
|
|
|
распоряжения |
-Приказы о назначении ад- |
|||||||
|
|
|
|
|
о |
назначении |
министраторов |
информаци- |
|||||
|
|
|
|
|
ответственных |
онных систем Банка (АБС, |
|||||||
|
|
|
|
|
лиц филиала за |
ДБО и др.); |
|
|
|||||
|
|
|
|
|
ин |
|
формаци- |
-стандарт PCI DSS |
|||||
|
|
|
|
|
онные |
|
ресур- |
|
|
|
|||
|
|
|
|
|
сы и системы |
|
|
|
|||||
|
|
|
|
|
филиала |
|
|
|
|
||||
|
|
|
|
|
|
|
|||||||
2.2 |
Мониторинг |
про- |
Выявление |
|
Политика |
информационной |
|||||||
|
граммного |
обеспе- |
фактов инстал- |
безопасности Банка |
|||||||||
|
чения |
на |
рабочих |
ляции |
|
запре- |
|
|
|
||||
|
станциях и серверах |
щенного |
про- |
|
|
|
|||||||
|
филиала |
|
|
граммного |
|
|
|
|
|||||
|
|
|
|
|
обеспечения, |
|
|
|
|||||
|
|
|
|
|
не |
включенно- |
|
|
|
||||
|
|
|
|
|
го |
|
в |
|
список |
|
|
|
|
|
|
|
|
|
стандартного, а |
|
|
|
|||||
|
|
|
|
|
также |
предпо- |
|
|
|
||||
|
|
|
|
|
ложительно |
не |
|
|
|
||||
|
|
|
|
|
связанного |
с |
|
|
|
||||
|
|
|
|
|
выполнением |
|
|
|
|||||
|
|
|
|
|
функциональ- |
|
|
|
|||||
|
|
|
|
|
ных |
обязанно- |
|
|
|
||||
|
|
|
|
|
стей |
сотрудни- |
|
|
|
||||
|
|
|
|
|
ков |
|
|
|
|
|
|
|
|
2.3 |
Проверка состояния |
Аудит |
|
эффек- |
-Письмо ЦБ РФ от 24 марта |
||||||||
|
антивирусной |
за- |
тивности при- |
2014г. №49-Т «О рекомен- |
|||||||||
|
щиты |
в |
филиале |
меняемых |
по- |
дациях по организации при- |
|||||||
|
(включая |
защиту |
литик |
антиви- |
менения средств защиты от |
||||||||
|
серверов, |
рабочих |
русной |
|
защи- |
вредоносного кода при осу- |
|||||||
|
станций, интернет- |
ты, |
|
защиты |
от |
ществлении банковской дея- |
|||||||
|
шлюза) |
|
|
|
вторжений, |
|
тельности»; |
|
|
||||
|
|
|
|
|
превентивной |
-стандарт PCI DSS |
|||||||
|
|
|
|
|
защиты; |
|
|
|
|
|
|||
|
|
|
|
|
Анализ |
|
журна- |
|
|
|
|||
|
|
|
|
|
лов систем ан- |
|
|
|
|||||
9
|
|
|
|
|
|
тивирусной |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
защиты; |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
Выявление |
ра- |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
бочих |
|
станций |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
и серверов, не |
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
снабженных |
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
средствами |
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
антивирусной |
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
защиты |
|
|
|
|
|
|
|
|
|
|
||
2.4 |
Аудит |
|
групп |
ло- |
Проверка |
ад- |
|
-Политика |
информационной |
|
|
|||||||
|
кальных |
|
админи- |
министратив- |
|
безопасности Банка; |
|
|
|
|
||||||||
|
страторов |
на рабо- |
ных |
прав |
до- |
|
-другие |
документы |
Банка, |
|
|
|||||||
|
ступа |
на рабо- |
|
регламентирующие |
правила |
|
|
|||||||||||
|
чих станциях и сер- |
|
|
|
||||||||||||||
|
чих |
станциях |
|
контроля |
идентификации и |
|
|
|||||||||||
|
верах филиала |
|
|
|
|
|||||||||||||
|
|
филиала с |
це- |
|
предоставления |
прав досту- |
|
|
||||||||||
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
лью выявления |
|
па |
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
фактов присут- |
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
ствия |
|
учетных |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
записей |
со- |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
трудников |
в |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
группе |
локаль- |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
ных |
|
админи- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
страторов |
|
|
|
|
|
|
|
|
|
|
||
2.5 |
Аудит |
учетных |
за- |
Аудит |
состоя- |
|
-Политика |
информационной |
|
|
||||||||
|
писей |
|
пользовате- |
ния |
|
списка |
|
безопасности Банка; |
|
|
|
|
||||||
|
лей |
в |
|
каталоге |
пользователей |
|
-другие документы Банка, |
|
|
|||||||||
|
Active Directory |
|
домена |
филиа- |
|
регламентирующие |
правила |
|
|
|||||||||
|
|
|
|
|
|
ла с целью об- |
|
контроля |
идентификации и |
|
|
|||||||
|
|
|
|
|
|
наружения |
ак- |
|
предоставления |
прав досту- |
|
|
||||||
|
|
|
|
|
|
тивных |
учет- |
|
па |
|
|
|
|
|
|
|
||
|
|
|
|
|
|
ных |
|
записей |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
уволенных |
со- |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
трудников, |
те- |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
стовых |
учет- |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
ных записей, а |
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
также |
|
учетных |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
записей с |
рас- |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
ширенными |
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
правами в |
до- |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
мене |
|
|
|
|
|
|
|
|
|
|
|
|
2.6 |
Аудит |
|
парольной |
Аудит |
пред- |
|
-Стандарт |
Банка |
России: |
|
|
|
||||||
|
политики |
в корпо- |
установленных |
|
«Обеспечение |
информаци- |
|
|
|
|||||||||
|
ративной |
сети |
фи- |
правил пароль- |
|
онной безопасности органи- |
|
|
|
|||||||||
|
лиала |
|
|
|
|
ной |
политики |
|
заций |
банковской |
системы |
|
|
|
||||
|
|
|
|
|
|
на |
|
соответ- |
|
Российской Федерации. Об- |
|
|
|
|||||
|
|
|
|
|
|
ствие |
|
мини- |
|
щие положения» (СТО БР |
|
|
|
|||||
|
|
|
|
|
|
мальным |
тре- |
|
ИББС-1.0-2014); |
|
|
|
|
|
||||
|
|
|
|
|
|
бованиям |
без- |
|
-Стандарт |
Банка |
России |
|
|
|||||
|
|
|
|
|
|
опасности |
|
|
«Обеспечение |
информаци- |
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
онной безопасности органи- |
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
заций |
банковской |
системы |
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
Российской |
Федерации». |
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
Аудит информационной без- |
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
опасности (СТО БР ИББС- |
|
|
|||||