Аудит информационных систем
Аудит ИБ является независимой оценкой защищенности информационных ресурсов и определением степени соответствия уровня информационной безопасности компании критериям, определенным в нормативных документах и стандартах ИБ. В процессе проверки фиксируется текущее состояние объекта и разрабатывается комплекс рекомендаций и мер, необходимых для обеспечения необходимого уровня защиты информационной системы компании.
Объекты аудита - рабочая станция, сервер, службы и приложения, телекоммуникационная сеть, корпоративная информационная система, информационные- и бизнес-потоки, политика информационной безопасности, включая иные административно-организационные меры обеспечения информационной безопасности предприятия.
Организационные меры обеспечения информационной безопасности, зафиксированные в политике информационной безопасности предприятия, включая регламенты, правила, инструкции и прочие анализируются на соответствие реальным требованиям обеспечения защиты информации и экономической безопасности бизнеса с привлечением штатных сотрудников компании, ответственных за их разработку, исполнение и контроль.
Программно-технические меры и средства обеспечения информационной безопасности, включая встроенные (штатные) средства, парольную защиту, защитное ПО, разграничение прав доступа, системы резервного копирования, конфигурации операционных систем, служб и приложений анализируются на полноту, достаточность и правильность применения, наличие ошибок конфигурирования, соответствие рекомендациям по использованию и лучшим мировым практикам.
Выбор методик (*) и глубина исследования определяется на начальном этапе и фиксируется в техническом задании или соглашении. Для полноты исследования рисков объекта и/или эмуляции действия потенциальных злоумышленников выбор инструментов исследования не оговаривается заранее, не ограничивается заказчиком и определяется исполнителем. При этом применяются как открытые источники информации об уязвимостях и ошибках в ПО и технических средствах и способах их использования, так и собственные алгоритмы [вторжения] и разработки.
Важный фактор эффективности исследования - внезапность для служб обеспечения безопасности, действующих в обычном режиме, что достигается секретностью проведения работ на этапе согласования процедуры аудита информационной безопасности.
Исследование объекта или информационной системы в профилактических целях проводится по сокращенной программе, согласованной с заказчиком при сохранении неосведомленности IT-персонала о процедуре тестирования до момента начала. Рекомендуется регулярное проведение, с интервалом, не превышающем 6 месяцев, а так же при внесении изменений в архитектуру сети, при замене оборудовании, при внедрении нового ПО и при обновлении действующего.
(*) В работе используются рекомендации консенсусной группы по информационной безопасности в составе Агентства защищенных информационных систем (DISA) Министерства обороны США (DoD), Агентства национальной безопасности США (NSA), подразделения компьютерной безопасности лаборатории информационных технологий (ITL) Национального института стандартов и технологий США (NIST), компании Microsoft, Центра безопасности Интернет (CIS), а также лучшие мировые практики в области аудита информационной безопасности и собственные методические материалы и разработки.
Порядок проведения и этапы
работ определяются в согласованном с заказчиком регламенте и фиксируются в техническом задании. По результатам работы
готовится аналитический отчет, включающий полный перечень выполненных работ,
текущее состояние объекта исследования, комментарии полученных результатов
и рекомендации по совершенствованию обеспечения информационной безопасности
объекта исследования.
Аудит информационной системы - необходимая технология обеспечения информационной
безопасности
