Аудит информационной безопасности предприятия

Нельзя сказать, что об обеспечении информационной безопасности учреждения или предприятия мало говорят и пишут. Тем не менее, этот вопрос становится все более и более актуальным, с каждым годом увеличивается количество попыток завладеть, изменить или уничтожить корпоративную информацию, и суммы от таких потерь также растут.

Обеспечение защиты информационно-телекоммуникационной системы (далее ИТС) маленькой компании или большой корпорации изначально требует представления о состоянии защиты в конкретный момент. Аудит информационной безопасности с точки зрения заказчика кажется простым: сначала обследование ИТС, потом большие и толстые папки с отчетами. Но это не совсем так, или совсем не так.

ОСНОВНЫЕ ВОПРОСЫ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Что такое аудит? Аудит информационной безопасности — это системный процесс получения объективных оценок текущего состояния информационной безопасности организации в соответствии с определенными критериями информационной безопасности, включающий обследование различных сред функционирования ИТС, тестирование ее на уязвимости, анализ и оценку защищенности, формирование отчета и разработку соответствующих рекомендаций.

Зачем нужен аудит? Ответ практически очевиден — для того, чтобы:

  • оценить текущее состояние информационной безопасности ИТС учреждения или предприятия;
  • подготовить исходные данные для формирования требований к комплексной системе защиты информации (КСЗИ) ИТС.

Такая КСЗИ позволит нейтрализовать использование злоумышленниками выявленных уязвимостей и обеспечит оптимальную по эффективности защиту информации в ИТС учреждения или предприятия от несанкционированного доступа (НСД), изменений и/или уничтожения информационных ресурсов.

Как проводится аудит? Соответствующие требования отражены в международных стандартах ISO/IEC:17799 «Информационные технологии. Управление информационной безопасностью», ISO/IEC 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования», государственных стандартах ДСТУ 3396.1-96 «Защита информации. Техническая защита информации. Порядок проведения работ», а также в законодательной базе Украины в сфере защиты информации.

Основная цель и задача проведения аудита. Результатом аудита ИТС должна стать объективная оценка текущего состояния информационной безопасности учреждения или предприятия, а также подготовка исходных данных для формирования требований к КСЗИ.

Как показывает практика, проведение данных работ позволяет качественно поднять уровень защищенности ИТС. По опыту проведения аудита отметим, что уровень защищенности, как правило, недостаточен, а это может привести к потере, краже или модификации важной информации, что может стать причиной непредсказуемых последствий. Следует также заметить, что аудит информационной безопасности по украинскому законодательству должен проводиться компанией, имеющей лицензию на проведение деятельности в сфере технической защиты информации в Украине. В противном случае заказчик может привлечь бригаду строителей (ремонтников, грузчиков, переводчиков, врачей — нужное подчеркнуть) и получить на выходе соответствующий результат. Даже если в компании-исполнителе есть сотрудники, имеющие достаточные познания в информационных технологиях, — это не будет соответствовать действующему законодательству Украины, и аудиторский отчет, вместе с разработанными рекомендациями, будет нелегитимным.

Перед началом проведения аудита информационной безопасности ИТС организация-заказчик совместно с выбранной организацией-исполнителем формируют требования к аудиту, которые определяют этапы проведения аудита, степень их детализации и формы отчетности. С целью координации действий по проведению аудита ИТС, организация приказом руководителя создает совместную комиссию, в которую входят представители как заказчика, так и исполнителя.

ЭТАПЫ ПРОВЕДЕНИЯ АУДИТА

В общем случае аудит информационной безопасности включает в себя комплексное обследование различных сред функционирования ИТС, тестирование ее на уязвимости, анализ и систематизацию полученных результатов, оценку уровня защищенности, формирование отчета и разработку соответствующих рекомендаций. Общая схема проведения аудита информационной безопасности ИТС приведена на рисунке.

На этапе комплексного обследования ИТС проводится: обследование вычислительной системы, обследование информационной и физической среды, среды пользователей, тестирование на уязвимости.

В ходе обследования вычислительной системы организации описывается:

  • наличие документации на ИТС и ее компоненты;
  • наличие распорядительных документов на ИТС;
  • общая структурная схема ИТС и ее состав (перечень и состав оборудования, технических и программных средств, их связи, особенности конфигурации, архитектуры и топологии, программные и программно-аппаратные средства защиты информации, взаимное размещение средств);
  • виды и характеристики каналов связи;
  • особенности взаимодействия компонентов ИТС;
  • возможные ограничения относительно использования средств.

Кроме того, при обследовании вычислительной системы ИТС должны быть выделены компоненты, которые являются средствами защиты информации или содержат механизмы защиты. А именно, должны быть описаны потенциальные возможности этих средств и механизмов, их свойства и характеристики, в том числе те, которые устанавливаются по умолчанию.

При обследовании информационной среды описываются:

  • характеристика обрабатываемой информации;
  • виды информации, циркулирующие в ИТС, и требования по ее защите;
  • типы объектов, в которых информация хранится;
  • особенности технологии обработки информации;
  • схемы информационных потоков информации;
  • режимы доступа к информации;
  • носители информации и порядок работы с ними.

При обследовании физической среды ИТС описываются такие характеристики:

  • территориальное размещение компонентов ИТС (генеральный план, ситуативный план);
  • наличие охраняемой территории и пропускного режима в организации;
  • наличие категорированных помещений, в которых должны размещаться компоненты;
  • наличие охранной и пожарной сигнализации, систем видеонаблюдения и контроля доступа в помещениях;
  • режим доступа к компонентам физической среды ИТС;
  • влияние факторов окружающей среды на защищенность информации;
  • наличие в помещениях, где функционирует ИТС, элементов коммуникаций, систем жизнеобеспечения и связи, имеющих выход за пределы контролируемой территории;
  • наличие и технические характеристики систем заземления оборудования ИТС;
  • условия хранения магнитных, оптико-магнитных, бумажных и других носителей информации;
  • наличие проектной и эксплуатационной документации на компоненты физической среды.

При обследовании среды пользователей описывается:

  • наличие распорядительных документов, регламентирующих деятельность персонала организации, по обеспечению безопасности информации в ИТС;
  • наличие службы (подразделения) защиты информации, ее функции и полномочия;
  • функциональный и количественный состава пользователей ИТС организации, их функциональные обязанности и уровень квалификации;
  • категории пользователей по уровню их полномочий;
  • полномочия пользователей по организации доступа к сведениям, которые обрабатываются в ИТС;
  • полномочия пользователей по управлению средствами или механизмами защиты в ИТС.

При тестировании на уязвимости проводится сканирование всех компонентов ИТС с использованием при необходимости тестов на проникновение.

На этапе анализа защищенности выполняется анализ и систематизация полученных результатов обследования, идентификация обнаруженных уязвимостей и оценка уровня защищенности ИТС.

По результатам проведенного анализа защищенности ИТС формируется отчет, и разрабатываются рекомендации по нейтрализации выявленных уязвимостей.

Таким образом, проведение аудита информационной безопасности предприятия — это не просто «инвентаризация», а тщательная и всесторонняя работа по исследованию ИТС, которая дает полную картину состояния защищенности и позволяет сформировать требования к КСЗИ организации.

Проведение квалифицированного аудита информационной безопасности и исполнение комплекса мер по защите информационных ресурсов по рекомендациям, выработанным в результате такого аудита, дает уверенность в защищенности ИТС на определенный период. Но высокие технологии развиваются динамично, и вместе с ними совершенствуются средства совершения преступлений в сфере ИТ. Поэтому аудит информационной безопасности следует проводить периодически и на более технологически совершенном уровне. Уверенность в защищенности информационных ресурсов может быть обоснована только тогда, когда она подтверждена.

Т. А. Недлинский,
руководитель отдела технической защиты информации,
А. Ю. Шевченко,
руководитель отдела технического сопровождения,
Ю. В. Колбасников,
инженер+программист
Тел./факс: (044) 259+8728, 257+4145
www.yug.com.ua info@yug.com.ua

2007.02.21
19.03.2009
В IV квартале 2008 г. украинский рынок серверов по сравнению с аналогичным периодом прошлого года сократился в денежном выражении на 34% – до $30 млн (в ценах для конечных пользователей), а за весь календарный год – более чем на 5%, до 132 млн долл.


12.03.2009
4 марта в Киеве компания Telco провела конференцию "Инновационные телекоммуникации", посвященную новым эффективным телекоммуникационным технологиям для решения задач современного бизнеса.


05.03.2009
25 февраля в Киеве компания IBM, при информационной поддержке "1С" и Canonical, провела конференцию "Как сохранить деньги в условиях кризиса?"


26.02.2009
18-19 февраля в Киеве прошел юбилейный съезд ИТ-директоров Украины. Участниками данного мероприятия стали ИТ-директора, ИТ-менеджеры, поставщики ИТ-решений из Киева, Николаева, Днепропетровска, Чернигова и других городов Украины...


19.02.2009
10 февраля в Киеве состоялась пресс-конференция, посвященная итогам деятельности компании "DiaWest – Комп’ютерний світ" в 2008 году.


12.02.2009
С 5 февраля 2009 г. в Киеве начали работу учебные курсы по использованию услуг "электронного предприятия/ учреждения" на базе сети информационно-маркетинговых центров (ИМЦ).


04.02.2009
29 января 2009 года в редакции еженедельника "Computer World/Украина" состоялось награждение победителей акции "Оформи подписку – получи приз!".


29.01.2009
22 января в Киеве компания "МУК" и представительство компании Cisco в Украине провели семинар для партнеров "Обзор продуктов и решений Cisco Small Business"

 

 
 
Copyright © 1997-2008 ИД "Комиздат".