Аудит информационной безопасности методические указания к практическим занятиям
..pdf
|
|
|
|
|
|
|
|
|
1.1-2007) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-стандарт |
PCI DSS |
|
|
|
||
|
|
|
|
|
|
|
|
|
|
||||||
2.7 |
Аудит |
доступа |
к |
Аудит политик |
|
-Политика |
информационной |
|
|
||||||
|
съемным носителям |
контроля |
до- |
|
безопасности Банка; |
|
|
|
|||||||
|
информации |
|
ступа |
к |
съем- |
|
-другие документы Банка, |
|
|
||||||
|
|
|
|
ным носителям |
|
регламентирующие |
правила |
|
|
||||||
|
|
|
|
и |
внешним |
|
контроля |
идентификации и |
|
|
|||||
|
|
|
|
портам |
на |
ра- |
|
предоставления |
прав досту- |
|
|
||||
|
|
|
|
бочих станциях |
|
па; |
|
|
|
|
|
||||
|
|
|
|
филиала |
|
|
|
-Стандарт |
Банка |
России |
|
|
|||
|
|
|
|
|
|
|
|
|
"Обеспечение |
информаци- |
|
|
|||
|
|
|
|
|
|
|
|
|
онной безопасности органи- |
|
|
||||
|
|
|
|
|
|
|
|
|
заций банковской |
системы |
|
|
|||
|
|
|
|
|
|
|
|
|
Российской |
Федерации. |
|
|
|||
|
|
|
|
|
|
|
|
|
Аудит информационной без- |
|
|
||||
|
|
|
|
|
|
|
|
|
опасности (СТО БР ИББС- |
|
|
||||
|
|
|
|
|
|
|
|
|
1.1-2007) |
|
|
|
|
|
|
2.8 |
Аудит |
сетевой |
ин- |
Запуск |
|
про- |
|
Стандарт PCI DSS |
|
|
|
||||
|
фраструктуры |
на |
граммы- |
|
|
|
|
|
|
|
|
|
|||
|
наличие уязвимо- |
сканера |
с |
це- |
|
|
|
|
|
|
|
|
|||
|
стей |
|
|
лью |
проведе- |
|
|
|
|
|
|
|
|
||
|
|
|
|
ния сканирова- |
|
|
|
|
|
|
|
|
|||
|
|
|
|
ния сети, рабо- |
|
|
|
|
|
|
|
|
|||
|
|
|
|
чих станций и |
|
|
|
|
|
|
|
|
|||
|
|
|
|
серверов фили- |
|
|
|
|
|
|
|
|
|||
|
|
|
|
ала на предмет |
|
|
|
|
|
|
|
|
|||
|
|
|
|
обнаружения |
|
|
|
|
|
|
|
|
|||
|
|
|
|
возможных |
|
|
|
|
|
|
|
|
|||
|
|
|
|
проблем в |
си- |
|
|
|
|
|
|
|
|
||
|
|
|
|
стеме |
безопас- |
|
|
|
|
|
|
|
|
||
|
|
|
|
ности. |
Анализ |
|
|
|
|
|
|
|
|
||
|
|
|
|
и |
обработка |
|
|
|
|
|
|
|
|
||
|
|
|
|
результатов |
|
|
|
|
|
|
|
|
|||
2.9 |
Аудит |
прав досту- |
Аудит на соот- |
|
-Политика |
информационной |
|
|
|||||||
|
пов сотрудников к |
ветствие |
прав |
|
безопасности Банка; |
|
|
|
|||||||
|
сетевым ресурсам и |
доступа |
|
со- |
|
-другие документы Банка, |
|
|
|||||||
|
АБС |
|
|
трудников |
За- |
|
регламентирующие |
правила |
|
|
|||||
|
|
|
|
явкам |
|
на |
|
контроля |
идентификации и |
|
|
||||
|
|
|
|
предоставление |
|
предоставления |
прав досту- |
|
|
||||||
|
|
|
|
доступа |
к |
ре- |
|
па; |
|
|
|
|
|
||
|
|
|
|
сурсам |
БИС и |
|
-Стандарт |
Банка |
России |
|
|
||||
|
|
|
|
АБС |
|
|
|
|
"Обеспечение |
информаци- |
|
|
|||
|
|
|
|
|
|
|
|
|
онной безопасности органи- |
|
|
||||
|
|
|
|
|
|
|
|
|
заций банковской |
системы |
|
|
|||
|
|
|
|
|
|
|
|
|
Российской |
Федерации. |
|
|
|||
|
|
|
|
|
|
|
|
|
Аудит информационной без- |
|
|
||||
|
|
|
|
|
|
|
|
|
опасности (СТО БР ИББС- |
|
|
||||
|
|
|
|
|
|
|
|
|
1.1-2007) |
|
|
|
|
|
|
11
2.10 |
Контроль функцио- |
Соблюдение |
-Постановление |
Правитель- |
||||||||
|
нирования техниче- |
требований, |
ства РФ от 16.04.2012 № 313 |
|||||||||
|
ских средств и си- |
изложенных в |
«Об утверждении Положе- |
|||||||||
|
стем криптографи- |
эксплуатаци- |
ния о лицензировании дея- |
|||||||||
|
ческой защиты ин- |
онной |
|
доку- |
тельности |
по |
разработке, |
|||||
|
формации, |
управ- |
ментации |
к |
производству, |
распростра- |
||||||
|
ление ключами |
НСД |
и СКЗИ. |
нению |
|
шифровальных |
||||||
|
|
|
Проверка |
жур- |
(криптографических) |
|
|
|||||
|
|
|
налов поэкзем- |
средств, |
информационных |
|||||||
|
|
|
плярного учета |
систем |
и |
телекоммуникаци- |
||||||
|
|
|
СКЗИ |
|
|
онных систем, защищенных |
||||||
|
|
|
|
|
|
с |
использованием |
шифро- |
||||
|
|
|
|
|
|
вальных |
(криптографиче- |
|||||
|
|
|
|
|
|
ских) средств, выполнению |
||||||
|
|
|
|
|
|
работ, оказанию услуг в об- |
||||||
|
|
|
|
|
|
ласти |
шифрования |
инфор- |
||||
|
|
|
|
|
|
мации, техническому обслу- |
||||||
|
|
|
|
|
|
живанию |
шифровальных |
|||||
|
|
|
|
|
|
(криптографических) |
|
|
||||
|
|
|
|
|
|
средств, |
информационных |
|||||
|
|
|
|
|
|
систем |
и |
телекоммуникаци- |
||||
|
|
|
|
|
|
онных систем, защищенных |
||||||
|
|
|
|
|
|
с |
использованием |
шифро- |
||||
|
|
|
|
|
|
вальных средств (за исклю- |
||||||
|
|
|
|
|
|
чением случая, если техни- |
||||||
|
|
|
|
|
|
ческое |
обслуживание |
шиф- |
||||
|
|
|
|
|
|
ровальных средств, инфор- |
||||||
|
|
|
|
|
|
мационных систем и теле- |
||||||
|
|
|
|
|
|
коммуникационных |
систем, |
|||||
|
|
|
|
|
|
защищенных с |
использова- |
|||||
|
|
|
|
|
|
нием |
|
шифровальных |
||||
|
|
|
|
|
|
средств, осуществляется для |
||||||
|
|
|
|
|
|
обеспечения |
собственных |
|||||
|
|
|
|
|
|
нужд |
юридического |
лица |
||||
|
|
|
|
|
|
или индивидуального |
пред- |
|||||
|
|
|
|
|
|
принимателя)»; |
|
|
|
|||
|
|
|
|
|
|
- Стандарт PCI DSS |
|
|
||||
2.11 |
Наличие |
докумен- |
-АКТ |
приема- |
|
|
|
|
|
|
|
|
|
тов учета и движе- |
передачи носи- |
|
|
|
|
|
|
|
|||
|
ния носителей клю- |
телей |
ключе- |
|
|
|
|
|
|
|
||
|
чевой информации |
вой |
информа- |
|
|
|
|
|
|
|
||
|
|
|
ции; |
|
|
|
|
|
|
|
|
|
|
|
|
-Журнал |
поэк- |
|
|
|
|
|
|
|
|
|
|
|
земплярного |
|
|
|
|
|
|
|
||
|
|
|
учета |
носите- |
|
|
|
|
|
|
|
|
|
|
|
лей ключевой |
|
|
|
|
|
|
|
||
|
|
|
информации |
|
|
|
|
|
|
|
||
2.12Наличие журналов 1) Журнал по-
информационной экземплярного безопасности учета СКЗИ –
для регистрации и учета СКЗИ установленных на рабочих станци-
ях.
2)Журнал поэкземплярного учета дистрибутивов СКЗИ
– для регистрации и учета эталонных дистрибутивов СКЗИ.
3)Журнал учета ключевых документов СКЗИ – для регистрации и учета ключевых документов.
4)Журнал уче-
та ключевых носителей - для учета выдаваемых («чистых») носителей информации, например, токенов системы ДБО.
5) Журнал учета носителей конфиденциальной информации
13
Практическое занятие №3. Сбор исходных данных
Цель занятия: изучить этап сбора исходных данных; научиться вы-
делять критерии информации, необходимой для последующего аудита.
Этап сбора исходных данных является крайне важным, так как каче-
ство проводимого аудита будет почти полностью зависеть от достаточно-
сти и точности информации, полученной на этом этапе.
Таким образом, информация должна включать в себя: существую-
щую организационно-распорядительную документацию, касающуюся во-
просов информационной безопасности, сведения о программно-
аппаратном обеспечении АС, информацию о средствах защиты, установ-
ленных в АС и т.д. Более подробный перечень исходных данных представ-
лен в табл. 3.1.
Таблица 3.1
Перечень исходных данных, необходимых для проведения аудита без-
|
|
|
опасности |
|
|
||
Тип информации |
Описание состава исходных данных |
||
|
|
|
|
Организационно- |
|
политика информационной безопасности АС; |
|
распорядительная |
документа- |
руководящие документы (приказы, распоряжения, ин- |
|
ция по вопросам информаци- |
струкции) по вопросам хранения, порядка доступа и |
||
онной безопасности |
передачи информации; |
||
|
|
|
регламенты работы пользователей с информационны- |
|
|
|
ми ресурсами АС |
Информация |
об |
аппаратном |
перечень серверов, рабочих станций и коммуникаци- |
обеспечении хостов |
онного оборудования, установленного в АС; |
||
|
|
|
информация об аппаратной конфигурации серверов |
|
|
|
и рабочих станций; |
|
|
|
информация о периферийном оборудовании, установ- |
|
|
|
ленном в АС |
Информация |
об |
общесистем- |
информация об операционных системах, установлен- |
ном ПО |
|
|
ных на рабочих станциях и серверах АС; |
|
|
|
данные о СУБД, установленных в АС |
Информация о прикладном ПО |
перечень прикладного ПО общего и специального |
||
|
|
|
назначения, установленного в АС; |
|
|
|
описание функциональных задач, решаемых с помо- |
|
|
|
щью прикладного ПО, установленного в АС |
Информация о средствах за- |
информация о производителе средства защиты; |
||
щиты, установленных в АС |
конфигурационные настройки средства защиты; |
||
схема установки средства защиты
Информация о топологии АС карта локальной вычислительной сети, включающей схему распределения серверов и рабочих станций по сегментам сети; информация о типах каналов связи, используемых в АС;
информация об используемых в АС сетевых протоколах; схема информационных потоков АС
Также необходимо собрать и общеорганизационную информацию о предприятии. Например, выяснить количество сотрудников, имеющих до-
ступ к конфиденциальной информации, характер конфиденциальной ин-
формации, размер клиентской базы, список предоставляемых организаци-
ей услуг и т.д.
Задание: необходимо определить информацию, которая потребуется для аудита, составить список собираемых данных о выбранной организа-
ции.
Ниже представлен пример выполненного задания в виде возможного списка необходимых исходных данных для проведения аудита информа-
ционной безопасности банка.
Список собираемых данных о банке:
1.Общеорганизационная информация
Размер организации, количество сотрудников;
Размер клиентской базы, тип конфиденциальной информации
(в данном случае: персональные данные, информация, содержащая ком-
мерческую тайну).
2.Организационно-распорядительная документация
Политика информационной безопасности АО «Банк»;
Инструкция по обеспечению антивирусной защиты в системах АО
«Банк»;
Политика парольной защиты в АО «Банк»;
15
Порядок использования ресурсной сети Интернет в АО «Банк»;
Порядок использования съемных носителей информации в АО
«Банк»;
Порядок учета, хранения и обращения в АО «Банк» сертификатов ключей проверки электронной подписи и ключевых носителей;
Регламент предоставления доступа к информационным ресурсам АО «Банк»;
Регламент использования корпоративной почтовой системы АО
«Банк»;
Положение об обработке персональных данных в АО «Банк»;
Порядок взаимодействия с субъектами персональных данных в АО
«Банк»;
Приказы об утверждении вышеперечисленных документов.
3.Информация об аппаратном обеспечении хостов
Количество, наименования, адреса, тип серверов, рабочих станций и коммуникационного оборудования, используемых в банке;
информация об аппаратной конфигурации серверов и рабочих
станций;
4.Информация об общесистемном ПО
информация об операционных системах, установленных на ра-
бочих станциях и серверах;
данные о СУБД, установленных в АС;
5.Информация о прикладном ПО
перечень прикладного ПО общего и специального назначения,
используемого в организации;
описание функциональных задач, решаемых с помощью при-
кладного ПО, установленного в организации.
6.Информация о средствах защиты, установленных в АС
информация о производителе средств защиты;
конфигурационные настройки средств защиты;
схема установки средств защиты.
7.Информация о топологии сети
карта локальной вычислительной сети, включающей схему распределения серверов и рабочих станций по сегментам сети;
информация о типах каналов связи, используемых в организа-
ции;
информация об используемых сетевых протоколах;
схема информационных потоков организации.
17
Практическое занятие №4. Инструментальный анализ
Цель занятия: изучить инструменты, используемые при проведении активного аудита безопасности.
Сбор исходных данных можно осуществлять с помощью использо-
вания специализированных программных средств, которые позволяют по-
лучить необходимую информацию о составе и настройках программно-
аппаратного обеспечения автоматизированной системы организации. Так,
например, ПО Internet Scanner (компании ISS) и XSpider (компании Positive Technologies) являются частными случаями системы анализа защищенно-
сти (Security Scanners), основной задачей которых является проведение ин-
вентаризации сетевых ресурсов с последующим выявлением в них уязви-
мостей.
Следующим логичным этапом после сбора информации является анализ этой информации с целью оценки текущего уровня защищенности аудируемой системы. Задачей такого анализа является выявление рисков информационной безопасности, которым может быть подвержены органи-
зация. Можно сказать, риск является интегральной оценкой, показываю-
щей, насколько эффективно средства защиты, установленные на данном предприятии, могут противостоять рассматриваемым информационном атакам.
Данную задачу также можно решить использованием специализиро-
ванных программных комплексов, позволяющих автоматизировать про-
цесс анализа исходных данных и расчета значений рисков при аудите без-
опасности. Примеры таких комплексов - "Гриф" и "Кондор" компании
Digital Security, а также "АванГард", разработанный в Институте системно-
го анализа РАН.
Задание: 1. выбрать из списка (табл. 4.1) одно из средств проведения активного аудита безопасности, изучить; рассмотреть назначение инстру-
мента; плюсы и минусы использования именно этого инструмента. Пред-
ставить в виде презентации.
Таблица 4.1
Инструментальные средства проведения активного аудита ИБ
№ варианта |
Средство проведения аудита |
|
|
1 |
Internet Scanner и System Security Scanner |
2 |
Сканер уязвимости Symantec NetRecon |
3 |
Сканер уязвимостей систем безопасности Cisco Secure |
|
Scanner (NetSonar) |
4 |
Сканер Retina |
5 |
Сетевой сканер NESSUS |
6 |
Сканер Xspider |
7 |
CommView – программа для мониторинга |
8 |
MaxPatrol 8.0 – новое поколение Xspider |
Программные средства анализа и управления рисками |
|
|
|
№ варианта |
Средство проведения аудита |
|
|
1 |
ПО анализа рисков и аудита Cobra |
2 |
ПО анализа рисков и аудита Software Tool |
3 |
ПО компании MethodWare |
4 |
ПО анализа и управления рисками Risk Advisor |
5 |
ПО идентификации и оценки защищаемых ресурсов, угроз, |
|
уязвимостей и мер защиты в сфере компьютерной и «фи- |
|
зической» безопасности предприятия. RiskWatch |
6 |
средства анализа и управления рисками CRAMM |
7 |
комплексная система анализа и управления рисками ин- |
|
формационной системы компании ГРИФ |
8 |
комплексная экспертная система управления информаци- |
|
онной безопасностью «РискМенеджер» |
19
Практическое занятие №5. Оценка рисков с помощью системы
«ГРИФ»
Цель занятия: изучить процесс оценки рисков информационной безопасности на основе использования системы «ГРИФ».
Задание: выбрать один из вариантов исходных данных, указанных в методических указаниях по ссылке Анализ и управление информационны-
ми рисками ГРИФ. Выполнить работу в соответствии с выбранным вари-
антом и заданием, описанным в методических указаниях. Составить отчет по проделанной работе. По окончанию работы уметь рассказать о процессе оценки рисков информационной безопасности на предприятии.