- •Организация и проведение аудита безопасности информации в организции
- •Введение
- •Вопрос 1. Цели и задачи аудита информационной безопасности организации
- •Вопрос 1.1. Задачи, решаемые при проведении аудита информационной безопасности
- •Вопрос 1.2. Цели аудита информационной безопасности
- •Вопрос 1.3. Понятие контролируемых параметров
- •Вопрос 2. Классификация видов аудита информационной безопасности организации
- •Вопрос 2.1. Пассивный аудит
- •Вопрос 2.2. Активный аудит
- •Вопрос 2.3. Экспертный аудит
- •Вопрос 2.4. Аудит на соответствие стандартам
- •Вопрос 3. Мероприятия по проведению аудита информационной безопасности организации
- •Вопрос 3.1. Инициирование процедуры аудита
- •Вопрос 3.2. Сбор исходных данных
- •Вопрос 3.3. Анализ данных аудита
- •Вопрос 3.4. Использование методов анализа рисков
- •Вопрос 3.5 Оценка соответствия требованиям стандарта
- •Вопрос 3.6. Выработка рекомендаций
- •Вопрос 3.7. Подготовка отчетных документов
Вопрос 2.2. Активный аудит
Активный аудит относится к наиболее распространенным видам аудита и представляет собой исследование состояния защищенности информационной системы с точки зрения хакера (или некоего злоумышленника, в том числе внутреннего, обладающего высокой квалификацией в области информационных технологий). Зачастую компании - поставщики услуг активного аудита именуют его инструментальным анализом защищенности, чтобы отделить данный вид аудита от других.
Суть активного аудита состоит в том, что с помощью специальных программ и специальных методов осуществляется сбор информации о состоянии системы защиты информации. Под состоянием системы защиты информации понимаются лишь те параметры и настройки, использование которых помогает злоумышленнику нанести урон компании.
При осуществлении активного аудита моделируется как можно большее количество атак на систему защиты информации, которые может выполнить злоумышленник. При этом аудитор искусственно ставится именно в те условия, в которых работает злоумышленник: при моделировании внешнего воздействия ему предоставляется минимум информации (только та, которую можно раздобыть в открытых источниках), а для осуществления внутреннего воздействия — полномочия сотрудника. Естественно, атаки всего лишь моделируются и не оказывают какого-либо деструктивного воздействия на информационную систему. Их разнообразие зависит от используемых систем анализа защищенности и квалификации аудитора. Результатом активного аудита должна являться информация обо всех уязвимостях, степени их критичности и методах устранения, сведения о широкодоступной информации (информация, доступная любому потенциальному нарушителю) информационной системы Заказчика.
По окончании активного аудита выдаются рекомендации по модернизации системы защиты, которые позволяют устранить опасные уязвимости и тем самым повысить уровень защищенности информационной системы от действий злоумышленника при минимальных затратах на БИ.
Однако без проведения других видов аудита эти рекомендации могут оказаться недостаточными для создания «идеальной» системы защиты. Например, по результатам активного аудита нельзя сделать вывод о корректности, сточки зрения безопасности, проекта информационной системы.
Активный аудит — услуга, которая может и должна заказываться периодически. Выполнение активного аудита, например, раз в год позволяет удостовериться, что уровень системы безопасности остается на достаточном уровне.
Активный аудит условно можно разделить на внешний активный аудит и внутренний активный аудит. При внешнем активном аудите специалисты моделируют действия внешнего злоумышленника. Внутренний активный аудит по составу работ аналогичен внешнему, однако при его проведении с помощью специальных программных средств моделируются действия внутреннего злоумышленника.
Деление активного аудита на внешний и внутренний актуально для Заказчика в следующих случаях:
у Заказчика существуют финансовые ограничения на приобретение услуг и продуктов по защите информации;
модель злоумышленника, которую рассматривает Заказчик, не включает «внутренних» злоумышленников;
в компании Заказчика расследуется факт обхода системы защиты.