Отчет. Разработка плана и методики систем аудита ИБ
.docxФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ «САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ.ПРОФ. БОНЧ-БРУЕВИЧА»
Отчет по
Самостоятельной работа №4
«Разработка плана и методики систем аудита ИБ»
Выполнил: Яковлев Илья Андреевич Студент I курса Факультет ИКСС Группа ИКБ-95
Подпись________
Проверил: Бабков Иван Николаевич
Подпись________
Аудит и мониторинг безопасности КИС
Для организаций, компьютерные сети которых насчитывают не один десяток компьютеров, функционирующих под управлением различных операционных систем, на первое место выступает задача управления множеством разнообразных защитных механизмов в таких гетерогенных корпоративных сетях. Сложность сетевой инфраструктуры, многообразие данных и приложений приводят к тому, что при реализации системы информационной безопасности за пределами внимания администратора безопасности могут остаться многие угрозы. Поэтому необходимо осуществление регулярного аудита и постоянного мониторинга безопасности информационных систем.
Аудит безопасности информационной системы
Понятие аудита безопасности
Аудит представляет собой независимую экспертизу отдельных областей функционирования предприятия. Одной из составляющих аудита предприятия является аудит безопасности его информационной системы (ИС). Аудит безопасности ИС – системный процесс получения и оценки объективных данных о текущем состоянии защищенности информационной системы, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенному критерию.
Аудит безопасности ИС дает возможность руководителям и сотрудникам организаций получить ответы на приведенные ниже вопросы, а также наметить пути решения обнаруженных проблем: 1. как оптимально использовать существующую ИС при развитии бизнеса; 2. как решаются вопросы безопасности и контроля доступа; как установить единую систему управления и мониторинга ИС; 3. когда и как необходимо провести модернизацию оборудования и ПО; 4. как минимизировать риски при размещении конфиденциальной информации в ИС организации.
Целями проведения аудита безопасности ИС являются: 1. оценка текущего уровня защищенности ИС; 2. локализация узких мест в системе защиты ИС; 3. анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС; 4. выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС; 5. оценка соответствия ИС существующим стандартам в области информационной безопасности.
В число дополнительных задач аудита ИС могут также входить выработка рекомендаций по совершенствованию политики безопасности организации и постановка задач для ИТ-персонала, касающихся обеспечения защиты информации.
Проведение аудита безопасности информационных систем
Работы по аудиту безопасности ИС включают в себя ряд последовательных этапов, которые в целом соответствуют этапам проведения комплексного ИТ-аудита автоматизированной системы: 1. инициирование процедуры аудита; 2. сбор информации аудита; 3. анализ данных аудита; 4. выработка рекомендаций; 5. подготовка аудиторского отчета
Инициирование процедуры аудита. Аудит проводится по инициативе руководства компании, которое в данном вопросе является основной заинтересованной стороной. Аудит представляет собой комплекс мероприятий, в которых помимо самого аудитора оказываются задействованными представители большинства структурных подразделений компании. Действия всех участников этого процесса должны быть четко скоординированы. Поэтому на этапе инициирования процедуры аудита должны быть решены соответствующие организационные вопросы, связанные с подготовкой и утверждением плана проведения аудита, закреплением прав и обязанностей аудитора и т. п.
Сбор информации аудита. Этап сбора информации аудита является наиболее сложным и длительным. Это связано с необходимостью плотного взаимодействия аудитора со многими должностными лицами организации. Компетентные выводы относительно положения дел в компании с информационной безопасностью могут быть сделаны аудитором только при наличии всех необходимых исходных данных для анализа. Получение информации об организации, функционировании и текущем состоянии ИС осуществляется аудитором в ходе специально организованных интервью с ответственными лицами компании, путем изучения технической и организационно-распорядительной документации, а также исследования ИС с использованием специализированного программного инструментария. Когда все необходимые данные по ИС, включая документацию, подготовлены, можно переходить к их анализу.
Анализ данных аудита. Проведение анализа является наиболее ответственной частью проведения аудита ИС. Используемые аудиторами методы анализа данных определяются выбранными подходами к проведению аудита, которые могут существенно различаться. Первый подход базируется на анализе рисков. Цель анализа рисков состоит в том, чтобы выявить существующие риски и оценить их величину (дать им качественную либо количественную оценку). Опираясь на методы анализа рисков, аудитор определяет для обследуемой ИС индивидуальный набор требований безопасности, в наибольшей степени учитывающий особенности данной ИС, среды ее функционирования и существующие в данной среде угрозы безопасности. Второй подход опирается на использование стандартов информационной безопасности. Стандарты определяют базовый набор требований безопасности для широкого класса ИС, который формируется в результате обобщения мировой практики. Стандарты могут определять разные наборы требований безопасности в зависимости от уровня защищенности ИС, который требуется обеспечить, ее принадлежности (коммерческая организация либо государственное учреждение), а также назначения (финансы, промышленность, связь и т. п.). От аудитора в данном случае требуется правильно определить набор требований стандарта, соответствие которым нужно обеспечить для данной ИС. Необходима также методика, позволяющая оценить это соответствие. Из-за своей простоты и надежности описанный подход наиболее распространен на практике. Он позволяет при минимальных затратах ресурсов делать обоснованные выводы о состоянии ИС. Третий подход предполагает комбинирование первых двух подходов. Базовые требования безопасности, предъявляемые к ИС, определяются стандартом. Дополнительные требования, учитывающие особенности функционирования данной ИС, формируются на основе анализа рисков. Этот подход значительно проще первого, так как бо' льшая часть требований безопасности уже определена стандартом, и в то же время он лишен недостатков второго подхода, заключающихся в том, что требования стандарта могут не учитывать специфики обследуемой ИС.
Выработка рекомендаций. Рекомендации, выдаваемые аудитором, определяются особенностями обследуемой ИС, состоянием дел с информационной безопасностью и степенью детализации, используемой при проведении аудита. Рекомендации аудитора должны быть конкретными и применимыми к данной ИС, экономически обоснованными, аргументированными (подкрепленными результатами анализа) и ранжированными по степени важности.
Подготовка отчетных документов. Аудиторский отчет является основным результатом проведения аудита. Его качество характеризует качество работы аудитора. Отчет должен содержать описание целей проведения аудита, характеристику обследуемой ИС, указание границ проведения аудита и используемых методов, результаты анализа данных аудита, выводы, обобщающие эти результаты и содержащие оценку уровня защищенности АС или соответствие ее требованиям стандартов, и, конечно, рекомендации аудитора по устранению существующих недостатков и совершенствованию системы защиты.
Результаты проведения аудита. Результаты аудита ИС организации можно разделить на три основные группы: 1. организационные – планирование, управление, документооборот функционирования ИС; 2. технические – сбои, неисправности, оптимизация работы элементов ИС, непрерывное обслуживание, создание инфраструктуры и т. д.; 3. методологические – подходы к решению проблемных ситуаций, управлению и контролю, общая упорядоченность и структуризация.
Проведенный аудит позволяет обоснованно создавать следующие документы: 1. политику безопасности ИС организации; 2. методологию работы и доводки ИС организации; 3. долгосрочный план развития ИС; 4. план восстановления ИС в чрезвычайной ситуации.
Мониторинг безопасности системы
Функции мониторинга безопасности информационной системы выполняет подсистема мониторинга и управления инцидентами информационной безопасности. Подсистема мониторинга анализирует настройки элементов защиты операционных систем на рабочих станциях и серверах, в базах данных, а также топологию сети; ищет незащищенные или неправильные сетевые соединения; анализирует настройки межсетевых экранов. Управление инцидентами информационной безопасности является реагированием системы управления безопасностью на меняющиеся условия и может быть различным по форме, например: 1. пассивным, то есть реализовывать лишь уведомление системы сетевого управления по протоколу SNMP или администратора по электронной почте либо на пейджер; 2. активным, то есть самостоятельно автоматически завершать сессию с атакующим узлом либо пользователем, реконфигурировать настройку межсетевого экрана или таких сетевых устройств, как маршрутизаторы.
В функции системы управления безопасностью входит выработка рекомендаций администратору по устранению обнаруженных уязвимостей в сетях, приложениях или иных компонентах информационной системы организации. Важным вопросом является организация взаимодействия систем мониторинга (активного аудита) и общего управления. Активный аудит выполняет типичные управляющие функции – анализ данных об активности в информационной системе, отображение текущей ситуации, автоматическое реагирование на подозрительную активность. Сходным образом функционирует система сетевого управления. Активный аудит и общее управление целесообразно интегрировать, используя общие программно-технические и организационные решения. В эту интегрированную систему может быть включен и контроль целостности, а также агенты другой направленности, отслеживающие специфические аспекты поведения ИС.
Примерами систем, осуществляющих мониторинг и управление инцидентами информационной безопасности, являются такие программные продукты компании IBM, как IBM Tivoli Security Operations Manager (TSOM) и IBM Tivoli Security Information and Event Manager (TSIEM). TSOM обеспечивает оперативный мониторинг событий безопасности и предназначен в основном для снижения рисков и угроз, исходящих от внешних нарушителей и технологий. TSIEM осуществляет сбор и анализ информации, полученной от различных средств защиты информации, а также анализ нарушений безопасности, используя корреляцию событий безопасности, выявление на их основе тенденций и прогнозирование возможных в будущем атак.