Лабораторна робота №15, Проведення аудиту безпеки інформаційної системи

« Назад

Мета: Ознайомитись із методикою проведення аудиту інформаційних систем і навчитись складати документ про результати проведення аудиту інформаційної системи.

Теоретичні відомості

1. Поняття аудиту безпеки і мети його проведення

Аудит є незалежною експертизою окремих областей функціонування організації. Розрізняють зовнішній і внутрішній аудит. Зовнішній аудит – це, як правило, разовий захід, що проводиться за ініціативою керівництва організації або акціонерів. Рекомендується проводити зовнішній аудит регулярно, а, наприклад, для багатьох фінансових організацій і акціонерних суспільств це є обов'язковою вимогою. Внутрішній аудит є безперервною діяльністю, яка здійснюється на підставі «Положення про внутрішній аудит» і відповідно до плану, підготовка якого здійснюється підрозділом внутрішнього аудиту і затверджується керівництвом організації. Аудит безпеки інформаційних систем є одним з складових інформаційних технологій (ІТ) аудиту. Цілями проведення аудиту безпеки є:

- аналіз ризиків, пов'язаних з можливістю здійснення загроз безпеці відносно ресурсів інформаційних систем (ІС);

- оцінка поточного рівня захищеності ІС;

- локалізація вузьких місць в системі захисту ІС;

- оцінка відповідності ІС існуючим стандартам в області інформаційної безпеки;

- вироблення рекомендацій по впровадженню нових і підвищенню ефективності існуючих механізмів безпеки ІС.

Слід зауважити, що цим переліком вичерпується набір цілей проведення аудиту безпеки, в тому випадку, якщо мова йде про зовнішній аудит. У число додаткових завдань, що стоять перед внутрішнім аудитором, крім надання допомоги зовнішнім аудиторам, можуть також входити:

- розробка політик безпеки і інших організаційно-розпорядливих документом по захисту інформації і участь в їх впровадженні в роботу організації;

- постановка завдань для ІТ персоналу, що стосуються забезпечення захисту інформації;

- участь в навчанні користувачів і обслуговуючого персоналу ІС питанням забезпечення інформаційної безпеки;

- участь в розборі інцидентів, пов'язаних з порушенням інформаційної безпеки;

- та інші.

Необхідно відзначити, що всі перераховані вище «додаткові» завдання, що стоять перед внутрішнім аудитором, за винятком участі в навчанні, по суті аудитом не є. Аудитор за визначенням повинен здійснювати незалежну експертизу реалізації механізмів безпеки в організації, що є одним з основних принципів аудиторської діяльності. Якщо аудитор бере діяльну участь в реалізації механізмів безпеки, то незалежність аудитора втрачається, а разом з нею втрачається і об'єктивність його думок, оскільки аудитор не може здійснювати незалежний і об'єктивних контроль своєї власної діяльності. Проте, на практиці, внутрішній аудитор, деколи, будучи найбільш компетентним фахівцем в організації в питаннях забезпечення інформаційної безпеки, не може залишатися в стороні від реалізації механізмів захисту.

Принаймні, діяльна участь у впровадженні тієї ж підсистеми аудиту безпеки, яка змогла б надавати аудиторові початкові дані для аналізу поточної ситуації, він прийняти може і винен. Звичайно, в цьому випадку, аудитор вже не зможе об'єктивно оцінити реалізацію цей підсистеми і вона природним чином випадає з плану проведення аудиту. Точно також, внутрішній аудитор може взяти діяльну участь в розробці політик безпеки, надавши можливість оцінювати якість цих документів зовнішнім аудиторам.

2. Етапність робіт по проведенню аудиту безпеки інформаційних систем

2.1. Ініціація процедури аудиту

Аудит проводиться не за ініціативою аудитора, а за ініціативою керівництва компанії, яке в даному питанні є основною зацікавленою стороною. Підтримка керівництва компанії є необхідною умовою для проведення аудиту.

Аудит це комплекс заходів, в яких крім самого аудитора, виявляються задіяними представники більшості структурних підрозділів компанії. Дії всіх учасників цього процесу повинні бути скоординовані. Тому на етапі ініціації процедури аудиту повинні бути вирішені наступні організаційні питання:

- права і обов'язки аудитора повинні бути чітко визначені і документально закріплені в його посадових інструкціях, а також в положенні про внутрішній (зовнішньому) аудит;

- аудитором повинен бути підготовлений і узгоджений з керівництвом план проведення аудиту;

- у положенні про внутрішній аудит повинно бути закріплено, зокрема, що співробітники компанії зобов'язані сприяти аудиторові і надавати всю необхідну для проведення аудиту інформацію.

На етапі ініціації процедури аудиту повинні бути визначені межі проведення обстеження. Одні інформаційні підсистеми компанії не є достатньо критичними і їх можна виключити з меж проведення обстеження. Інші підсистеми можуть виявитися недоступними для аудиту із-за міркувань конфіденційності.

Межі проведення обстеження визначаються в наступних термінах:

1. Список обстежуваних фізичних, програмних і інформаційних ресурсів;

2. Майданчики (приміщення), що потрапляють в межі обстеження;

3. Основні види загроз безпеки, що розглядаються при проведенні аудиту;

4. Організаційні (законодавчі, адміністративні і процедурні), фізичні, програмно-технічні та інші аспекти забезпечення безпеки, які необхідно врахувати в ході проведення обстеження, і їх пріоритети (у якому об'ємі вони повинні бути враховані).

План і межі проведення аудиту обговорюється на робочих зборах, в яких беруть участь аудитори, керівництво компанії і керівники структурних підрозділів.

2.2. Збір інформації аудиту

Етап збору інформації аудиту, є найбільш складним і тривалим. Це пов'язано з відсутністю необхідної документації на інформаційну систему і з необхідністю щільної взаємодії аудитора з багатьма посадовими особами організації.

Компетентні виводи щодо положення справ в компанії з інформаційною безпекою можуть бути зроблені аудитором тільки за умови наявності всіх необхідних початкових даних для аналізу. Отримання інформації про організацію, функціонування і поточний стан ІС здійснюється аудитором в ході спеціальних організованих інтерв'ю з відповідальними особами компанії, шляхом вивчення технічної і організаційно-розпорядливої документації, а також дослідження ІС з використанням спеціалізованого програмного інструментарію. Зупинимося на тому, яка інформація необхідна аудиторові для аналізу.

Забезпечення інформаційної безпеки організації – це комплексний процес, що вимагає чіткої організації і дисципліни. Він повинен починатися з визначення ролей і розподілу відповідальності серед посадових осіб, що займаються інформаційною безпекою. Тому перший пункт аудиторського обстеження починається з отримання інформації про організаційну структуру користувачів ІС і обслуговуючих підрозділів. У зв'язку з цим аудиторові потрібна наступна документація:

1. Схема організаційної структури користувачів;

2. Схема організаційної структури обслуговуючих підрозділів.

Зазвичай, в ході інтерв'ю аудитор ставить опитуваним наступні питання:

1. Хто є власником інформації?

2. Хто є користувачем (споживачем) інформації?

3. Хто є провайдером послуг?

Призначення і принципи функціонування ІС багато в чому визначають існуючі ризики і вимоги безпеки, що пред'являються до системи. Тому на наступному етапі аудитора цікавить інформація про призначення і функціонування ІС. Аудитор ставить опитуваним приблизно наступні питання:

1. Які послуги і яким чином надаються кінцевим користувачам?

2. Які основні види додатків, функціонують в ІС?

3. Кількість і види користувачів, що використовують ці застосування?

Йому знадобитися також наступна документація, звичайно, якщо така взагалі є в наявність (що, взагалі кажучи, трапляється нечасто):

1. Функціональні схеми;

2. Опис автоматизованих функцій;

3. Опис основних технічних рішень;

4. Інша проектна і робоча документація на інформаційну систему.

Далі, аудиторові потрібна детальніша інформація про структуру ІС. Це дозволить з'ясувати, яким чином здійснюється розподіл механізмів безпеки по структурних елементах і рівнях функціонування ІС. Типові питання, які обговорюються у зв'язку з цим під час інтерв'ю, включають:

1. З яких компонентів (підсистем) полягає ІС?

2. Функціональність окремих компонент?

3. Де проходять межі системи?

4. Які точки входу є?

5. Як ІС взаємодіє з іншими системами?

6. Які канали зв'язку використовуються для взаємодії з іншими ІС?

7. Які канали зв'язку використовуються для взаємодії між компонентами системи?

8. По яких протоколах здійснюється взаємодія?

9. Які програмно-технічні платформи використовуються при побудові системи?

На цьому етапі аудиторові необхідно запастися наступною документацією:

1. Структурна схема ІС;

2. Схема інформаційних потоків;

3. Опис структури комплексу технічних засобів інформаційної системи;

4. Опис структури програмного забезпечення;

5. Опис структури інформаційного забезпечення;

6. Розміщення компонентів інформаційної системи.

Підготовка значної частини документації на ІС, зазвичай, здійснюється вже в процесі проведення аудиту. Коли всі необхідні дані по ІС, включаючи документацію, підготовлені, можна переходити до їх аналізу.

2.3. Аналіз даних аудиту

Використовувані аудиторами методи аналізу даних визначаються вибраними підходами до проведення аудиту, які можуть істотно розрізнятися.

Перший підхід, найскладніший, базується на аналізі ризиків. Спираючись на методи аналізу ризиків, аудитор визначає для обстежуваної ІС індивідуальний набір вимог безпеки, що найбільшою мірою враховує особливості даної ІС, середовища її функціонування і загрози безпеці, що існують в даному середовищі. Цей підхід є найбільш трудомістким і вимагає найвищої кваліфікації аудитора. На якість результатів аудиту, в цьому випадку, сильно впливає використовувана методологія аналізу і управління ризиками і її застосовність до даного типу ІС.

Другий підхід, найпрактичніший, спирається на використання стандартів інформаційної безпеки. Стандарти визначають базовий набір вимог безпеки для широкого класу ІС, який формується в результаті узагальнення світової практики. Стандарти можуть визначати різні набори вимог безпеки, залежно від рівня захищеності ІС, який потрібно забезпечити, її приладдя (комерційна організація, або державна установа), а також призначення (фінанси, промисловості, зв'язок і т.п.). Від аудитора в даному випадку потрібно правильно визначити набір вимог стандарту, відповідність яким потрібно забезпечити для даної ІС. Необхідна також методика, що дає можливість оцінити цю відповідність. Із-за своєї простоти (стандартний набір вимог для проведення аудиту вже заздалегідь визначений стандартом) і надійності (стандарт - є стандарт і його вимоги ніхто не спробує оспорити), описаний підхід найбільш поширений на практиці (особливо при проведенні зовнішнього аудиту). Він дає можливість при мінімальних витратах ресурсів робити обґрунтовані висновки про стан ІС.

Третій підхід, найбільш ефективний, припускає комбінування перших двох. Базовий набір вимог безпеки, що пред'являються до ІС, визначається стандартом. Додаткові вимоги, в максимальному ступені особливості функціонування даної, що враховують, ІС, формуються на основі аналізу ризиків. Цей підхід є набагато простішим першого, оскільки велика частина вимог безпеки вже визначена стандартом, і, в той же час, він позбавлений недоліку другого підходу, що укладає в тому, що вимоги стандарту можуть не зважати на специфіку обстежуваної ІС.

3. Зміст аналізу ризиків і управління ризиками

Аналіз ризиків - це те, з чого повинна починатися побудова будь-якої системи інформаційної безпеки. Він включає заходи щодо обстеження безпеки ІС, з метою визначення того які ресурси і від яких загроз треба захищати, а також в якому ступені ті або інші ресурси потребують захисту. Визначення набору адекватних контрзаходів здійснюється в ході управління ризиками. Ризик визначається вірогідністю спричинення збитку і величиною збитку, що наноситься ресурсам ІС, у разі здійснення загрози безпеці.

Аналіз ризиків полягає в тому, щоб виявити існуючі ризики і оцінити їх величину (дати їм якісну, або кількісну оцінку). Процес аналізу ризиків можна розділити на декілька послідовних етапів:

- Ідентифікація ключових ресурсів ІС;

- Визначення важливості тих або інших ресурсів для організації;

- Ідентифікація існуючих загроз безпеці і уразливостей, що роблять можливим здійснення загроз;

- Обчислення ризиків, пов'язаних із здійсненням загроз безпеці.

Ресурси ІС можна розділити на наступні категорії:

- Інформаційні ресурси;

- Програмне забезпечення;

- Технічні засоби (сервери, робочі станції, активне мережне устаткування і т. ін.);

- Людські ресурси.

У кожній категорії ресурси діляться на класи і підкласи. Необхідно ідентифікувати тільки ті ресурси, які визначають функціональність ІС і істотні з погляду забезпечення безпеки.

Важливість (або вартість) ресурсу визначається величиною збитку, що наноситься у разі порушення конфіденційності, цілісності або доступності цього ресурсу. Зазвичай розглядаються наступні види збитку:

- Дані були розкриті, змінені, видалені або стали недоступні;

- Апаратура була пошкоджена або зруйнована;

- Порушена цілісність програмного забезпечення.

Збитки можуть бути завдані організації в результаті успішного здійснення наступних видів загроз безпеці:

- локальні і віддалені атаки на ресурси ІС;

- стихійні лиха;

- помилки, або умисні дії персоналу ІС;

- збої в роботі ІС, викликані помилками в програмному забезпеченні або несправностями апаратури.

Під уразливостями зазвичай розуміють властивості ІС, що роблять можливим успішне здійснення загроз безпеці.

Величина ризику визначається на основі вартості ресурсу, вірогідності здійснення загрози і величини уразливості по наступній формулі:

Ризик = (вартість ресурсу * вірогідність загрози) / величина уразливості

Завдання управління ризиками полягає у виборі обґрунтованого набору контрзаходів, що дають можливість знизити рівні ризиків до прийнятної величини. Вартість реалізації контрзаходів повинна бути менше величини можливого збитку. Різниця між вартістю реалізації контрзаходів і розмірами можливого збитку повинна бути обернено пропорційна вірогідності спричинення збитку.

Використання методів аналізу ризиків

Якщо для проведення аудиту безпеки вибраний підхід, що базується на аналізі ризиків, то на етапі аналізу даних аудиту зазвичай виконуються наступні групи завдань:

1. Аналіз ресурсів ІС, включаючи інформаційні ресурси, програмні і технічні засоби, а також людські ресурси;

2. Аналіз груп завдань, що вирішуються системою, і бізнес процесів;

3. Побудова (неформальною) моделі ресурсів ІС, визначальному взаємозв'язку між інформаційними, програмними, технічними і людськими ресурсами, їх взаємне розташування і способи взаємодії;

4. Оцінка критичності інформаційних ресурсів, а також програмних і технічних засобів;

5. Визначення критичності ресурсів з урахуванням їх взаємозалежностей;

6. Визначення найбільш вірогідних загроз безпеці відносно ресурсів ІС і уразливостей захисту, що роблять можливим здійснення цих загроз;

7. Оцінка вірогідності здійснення загроз, величини уразливостей і збитку, що наноситься організації у разі успішного здійснення загроз;

8. Визначення величини ризиків для кожної трійки: загроза – група ресурсів – уразливість.

Перерахований набір завдань, є достатньо загальним. Для їх вирішення можуть використовуватися різні формальні і неформальні, кількісні і якісні, ручні і автоматизовані методики аналізу ризиків. Суть підходу від цього не міняється.

Оцінка ризиків може даватися з використанням різних як якісних, так і кількісних шкал. Головне, щоб існуючі ризики були правильно ідентифіковані і ранжовані відповідно до ступеня їх критичності для організації. На основі такого аналізу може бути розроблена система першочергових заходів щодо зменшення величини ризиків до прийнятного рівня.

4. Оцінка відповідності вимогам стандарту

У разі проведення аудиту безпеки на відповідність вимогам стандарту, аудитор, покладаючись на свій досвід, оцінює застосовність вимог стандарту до обстежуваної ІС і її відповідність цим вимогам. Дані про відповідність різних областей функціонування ІС вимогам стандарту, зазвичай, представляються в табличній формі. З таблиці видно, які вимоги безпеки в системі не реалізовані. Виходячи з цього, робляться виводи про відповідність обстежуваною ІС вимогам стандарту і даються рекомендації по реалізації в системі механізмів безпеки, що дають можливість забезпечити таку відповідність.

5. Вироблення рекомендацій

Рекомендації, що видаються аудитором за наслідками аналізу стану ІС, визначаються використовуваним підходом, особливостями обстежуваної ІС, станом справ з інформаційною безпекою і ступенем деталізації, використовуваної при проведенні аудиту.

У будь-якому випадку, рекомендації аудитора повинні бути конкретними і застосовними до даної ІС, економічно обґрунтованими, аргументованими (підкріпленими результатами аналізу) і відсортованими по ступеню важливості. При цьому заходи щодо забезпечення захисту організаційного рівня практично завжди мають пріоритет над конкретними програмно-технічними методами захисту.

В той же час, наївно чекати від аудитора, як результат проведення аудиту, видачі технічного проекту підсистеми інформаційної безпеки, або детальних рекомендацій по впровадженню конкретних програмно технічних засобів захисту інформації. Це вимагає детальнішого опрацьовування конкретних питань організації захисту, хоча, внутрішні аудитори можуть брати в цих роботах найактивнішу участь.

6. Підготовка звітних документів

Аудиторський звіт є основним результатом проведення аудиту. Його якість характеризує якість роботи аудитора. Структура звіту може істотно розрізнятися залежно від характеру і цілей аудиту, що проводиться. Проте певні розділи повинні бути обов'язково присутніми в аудиторському звіті. Він винен, принаймні, містити опис цілей проведення аудиту, характеристику обстежуваної ІС, вказівка меж проведення аудиту і використовуваних методів, результати аналізу даних аудиту, висновки, що узагальнюють ці результати і містять оцінку рівня захищеності ІС або відповідність її вимогам стандартів, і, звичайно, рекомендації аудитора по усуненню існуючих недоліків і вдосконаленню системи захисту.

Зразок структури аудиторського звіту за наслідками аналізу ризиків, пов'язаних із здійсненням загроз безпеці відносно обстежуваної ІС має такий вигляд.

Структура звіту за наслідками аудиту безпеки ІС і аналізу ризиків

1. Вступна частина

1.1 Вступ

1.2 Цілі і завдання проведення аудиту

1.3 Опис ІС

1.3.1 Призначення і основні функції системи

1.3.2 Групи завдань, що вирішуються в системі

1.3.3 Класифікація користувачів ІС

1.3.4 Організаційна структура обслуговуючого персоналу ІС

1.3.5 Структура і склад комплексу програмно-технічних засобів ІС

1.3.6 Види інформаційних ресурсів, що зберігаються і оброблюваних в системі

1.3.7 Структура інформаційних потоків

1.3.8 Характеристика каналів взаємодії з іншими системами і точок входу

1.4 Межі проведення аудиту

1.4.1 Компоненти і підсистеми ІС, що потрапляють в межі проведення аудиту

1.4.2 Розміщення комплексу програмно-технічних засобів ІС по майданчиках (приміщенням)

1.4.3 Основні класи загроз безпеки, що розглядаються в ході проведення аудиту

1.5 Методика проведення аудиту

1.5.1 Методика аналізу ризиків

1.5.2 Початкові дані

1.5.3 Етапність робіт

1.6 Структура документ

2. Оцінка критичності ресурсів ІС

2.1 Критерії оцінки величини можливого збитку, пов'язаного із здійсненням загроз безпеці

2.2 Оцінка критичності інформаційних ресурсів

2.2.1 Класифікація інформаційних ресурсів

2.2.2 Оцінка критичності по групах інформаційних ресурсів

2.3 Оцінка критичності технічних засобів

2.4 Оцінка критичності програмних засобів

2.5 Модель ресурсів ІС, що описує розподіл ресурсів по групах завдань

3. Аналіз ризиків, пов'язаних із здійсненням загроз безпеці відносно ресурсів ІС

3.1 Модель порушника інформаційної безпеки

3.1.1 Модель внутрішнього порушника

3.1.2 Модель зовнішнього порушника

3.2 Модель загроз безпеці і уразливостей інформаційних ресурсів

3.2.1 Загрози безпеки, направлені проти інформаційних ресурсів

3.2.1.1 Загрози несанкціонованого доступу до інформації за допомогою програмних засобів

3.2.1.2 Загрози, здійснювані з використанням штатних технічних засобів

3.2.1.3 Загрози, пов'язані з просочуванням інформації по технічних каналах

3.2.2 Загрози безпеки, направлені проти програмних засобів

3.2.3 Загрози безпеці направлені проти технічних засобів

3.3 Оцінка серйозності загроз безпеці і величини уразливостей

3.3.1 Критерії оцінки серйозності загроз безпеці і величини уразливостей

3.3.2 Оцінка серйозності загроз

3.3.3 Оцінка величини уразливостей

3.4 Оцінка ризиків для кожного класу загроз і групи ресурсів

4. Виводи за наслідками обстеження

5. Рекомендації

5.1 Контрзаходи організаційного рівня, що рекомендуються

5.2 Контрзаходи програмно-технічного рівня, що рекомендуються

7. Методика аналізу захищеності

В конкретних ситуаціях алгоритми дій аудиторів інформаційної безпеки можуть істотно розрізнятися. Проте типову методику аналізу захищеності корпоративної мережі запропонувати можливо. І хоча дана методика не претендує на загальність, її ефективність багато разів перевірена на практиці.

Типова методика включає виконання наступних кроків:

- Вивчення початкових даних по ІС;

- Оцінка ризиків, пов'язаних із здійсненням загроз безпеці відносно ресурсів ІС;

- Аналіз механізмів безпеки організаційного рівня, політики безпеки організації і організаційно-розпорядливої документації по забезпеченню режиму інформаційної безпеки і оцінка їх відповідності вимогам існуючих нормативних документів, а також їх адекватності існуючим ризикам;

- Ручний аналіз конфігураційних файлів маршрутизаторів, МЕ і проксі-серверів, що здійснюють управління міжмережними взаємодіями, поштових і DNS серверів, а також інших критичних елементів мережної інфраструктури;

- Сканування зовнішніх мережних адрес LAN з мережі Інтернет;

- Сканування ресурсів LAN зсередини;

- Аналіз конфігурації серверів і робочих станцій LAN за допомогою спеціалізованих програмних агентів.

Перераховані методи дослідження припускають використання як активного, так і пасивного тестування системи захисту. Активне тестування системи захисту полягає в емуляції дій потенційного зловмисника по подоланню механізмів захисту. Пасивне тестування припускає аналіз конфігурації ОС і застосувань по шаблонах з використанням списків перевірки. Тестування може проводитися уручну, або з використанням спеціалізованих програмних засобів.

7.1. Початкові дані по обстежуваній ІС

При проведенні робіт по атестації безпеки ІС, що включають попереднє обстеження і аналіз захищеності об'єкту інформатизації, замовником робіт повинні бути надані наступні початкові дані:

1. Повне і точне найменування об'єкту інформатизації і його призначення.

2. Характер (науково-технічна, економічна, виробнича, фінансова, військова, політична) і рівень секретності (конфіденційності) оброблюваної інформації визначений (відповідно до яких переліків (державним, галузевим, відомчим, підприємства).

3. Організаційна структура об'єкту інформатизації.

4. Перелік приміщень, склад комплексу технічних засобів (основних і допоміжних), що входять в об'єкт інформатизації, в яких (на яких) обробляється вказана інформація (розташованих в приміщеннях, де вона циркулює).

5. Особливості і схема розташування об'єкту інформатизації з вказівкою меж контрольованої зони.

6. Структура програмного забезпечення (загальносистемного і прикладного), використовуваного на об'єкті інформатизації, що атестується, і призначеного для обробки інформації, що захищається, використовувані протоколи обміну інформацією.

7. Загальна функціональна схема об'єкту інформатизації, включаючи схему інформаційних потоків і режими обробки інформації, що захищається.

8. Наявність і характер взаємодії з іншими об'єктами інформатизації.

9. Склад і структура системи захисту інформації на об'єкті інформатизації, що атестується.

10. Перелік технічних і програмних засобів в захищеного виконання, засобів захисту і контролю, що використовуваного на об'єкті інформатизації, що атестується, і мають відповідний сертифікат, розпорядження на експлуатацію.

11. Відомості про розробників системи захисту інформації, наявність у сторонніх розробників (по відношенню до підприємства, на якому розташований об'єкт інформатизації, що атестується) ліцензій на проведення подібних робіт.

12. Наявність на об'єкті інформатизації (на підприємстві, на якому розташований об'єкт інформатизації) служби безпеці інформації, служби адміністратора (автоматизованої системи, мережі, баз даних).

13. Наявність і основні характеристики фізичного захисту об'єкту інформатизації (приміщень, де обробляється інформація, що захищається, і зберігаються інформаційні носії).

14. Наявність і готовність проектної і експлуатаційної документації на об'єкт інформатизації і інші початкові дані по об'єкту, що атестується, інформатизації, що впливають на безпеку інформації.

Досвід показує, що перерахованих початкових даних явно недостатньо для виконання робіт по аналізу захищеності ІС, і наведений список потребує розширення і конкретизації. Пункт 14 наведеного списку припускає надання інших початкових даних по об'єкту інформатизації, що впливають на безпеку інформації. Якраз ці «додаткові» дані і є найбільш значущими для оцінки поточного положення справ із забезпеченням безпеки ІС. Їх список включає наступні види документів:

7.1.1. Додаткова документація:

1. Нормативно-розпорядлива документація по проведенню регламентних робіт;

2. Нормативно-розпорядлива документація по забезпеченню політики безпеки;

3. Посадові інструкції для адміністраторів, інженерів технічної підтримки, служби безпеці;

4. Процедури і плани запобігання і реагування на спроби НСД до інформаційних ресурсів;

5. Схема топології корпоративної мережі з вказівкою IP-адрес і структурна схема;

6. Дані по структурі інформаційних ресурсів з вказівкою ступеню критичності або конфіденційності кожного ресурсу;

7. Розміщення інформаційних ресурсів в корпоративній мережі;

8. Схема організаційної структури користувачів;

9. Схема організаційної структури обслуговуючих підрозділів;

10. Схеми розміщення ліній передачі даних;

11. Схеми і характеристики систем електроживлення і заземлення об'єктів ІС;

12. Дані по використовуваних системах мережного управління і моніторингу.

7.1.2. Проектна документація:

1. Функціональні схеми;

2. Опис автоматизованих функцій;

3. Опис основних технічних рішень.

7.1.3. Експлуатаційна документація:

1. Керівництво користувачів і адміністраторів використовуваних програмних і технічних засобів захисту інформації (ЗЗІ) (у разі потреби).

7.2. Аналіз конфігурації засобів захисту зовнішнього периметра LAN

При аналізі конфігурації засобів захисту зовнішнього периметра LAN і управління міжмережними взаємодіями особлива увага звертається на наступні аспекти, визначувані їх конфігурацією:

- налагодження правил розмежування доступу (правил фільтрації мережних пакетів) на МЕ і маршрутизаторах;

- використовувані схеми і налагодження параметрів аутентифікації;

- налагодження параметрів системи реєстрації подій;

- використання механізмів, що забезпечують заховання топології мережі, що захищається, включають трансляцію мережних адрес (NAT), маскарадинг і використання системи split DNS;

- налагодження механізмів сповіщення про атаки і реагування;

- наявність і працездатність засобів контролю цілісності;

- версії використовуваного ПЗ і наявність встановлених пакетів програмних корекцій.

7.3. Методи тестування системи захисту

Тестування системи захисту ІС проводиться з метою перевірки ефективності використовуваних в ній механізмів захисту, їх стійкості відносно можливих атак, а також з метою пошуку уразливостей в захисті. Традиційно використовуються два основні методи тестування:

- тестування по методу «чорного ящика»;

- тестування по методу «білого ящика».

Тестування по методу «чорного ящика» припускає відсутність у тестуючої сторони яких-небудь спеціальних знань про конфігурацію і внутрішню структуру об'єкту випробувань. При цьому проти об'єкту випробувань реалізуються всі відомі типи атак і перевіряється стійкість системи захисту відносно цих атак. Використовувані методи тестування емулюють дії потенційних зловмисників, що намагаються зламати систему захисту. Основним засобом тестування в даному випадку є мережні сканери, що мають в своєму розпорядженні бази даних відомих уразливостей.

Метод «білого ящика» припускає складання програми тестування на підставі знань про структуру і конфігурацію об'єкту випробувань. В ході тестування перевіряється наявність і працездатність механізмів безпеки, відповідність складу і конфігурації системи захисту вимогам безпеки і що існує ризиками. Виводи об наявність уразливостей робляться на підставі аналізу конфігурації використовуваних засобів захисту і системного ПО, а потім перевіряються на практиці. Основним інструментом аналізу в даному випадку є програмні агенти засобів аналізу захищеності системного рівня, що розглядаються нижче.

Практичне завдання

1. Провести аудит безпеки інформаційної системи.

2. Скласти документ про результати проведення аудиту інформаційної системи.

3. Оформити протокол за результатами виконання роботи у відповідності із додатком.

Контрольні запитання

1. Сформулювати цілі проведення аудиту.

2. Назвати основні етапи робіт по проведенню аудиту.

3. Які організаційні питання вирішуються перед ініціацією процедури аудиту?

4. В яких термінах визначаються межі проведення обстеження?

5. Яка документація використовується при вивченні організаційної структури користувачів під час аудиту ІС?

6. Яка документація використовується при вивченні структури ІС?

7. Які існують основні підходи до проведення аудиту?

8. В чому полягає аналіз ризиків?

9. На які категорії можна поділити ресурси ІС?

10. Яким співвідношенням оцінюється величина ризику?

11. Які групи завдань виконуються при аудиті безпеки на основі аналізу ризиків?

12. Які розділи містить звіт за наслідками аудиту безпеки ІС?

13. Які кроки включає типова методика аналізу захищеності?

14. Яка основна документація необхідна для проведення атестації безпеки ІС?

15. Яка додаткова документація необхідна для проведення атестації безпеки ІС?

16. Які характеристики управління міжмережною взаємодією досліджуються при аналізі засобів захисту зовнішнього периметра LAN?