Аудит информационной безопасности — системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности автоматизированной системы в соответствии с определёнными критериями и показателями безопасности.
Информационная безопасность[1] — состояние сохранности информационных ресурсов и защищенности законных прав личности и общества в информационной сфере.
Аудит позволяет оценить текущую безопасность функционирования информационной системы, оценить и прогнозировать риски, управлять их влиянием на бизнес-процессы фирмы, корректно и обоснованно подойти к вопросу обеспечения безопасности её информационных активов, стратегических планов развития, маркетинговых программ, финансовых и бухгалтерских ведомостей, содержимого корпоративных баз данных. В конечном счете, грамотно проведенный аудит безопасности информационной системы позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание системы безопасности фирмы.
31.Методика проведений инструментальных проверок.
Инструментальные проверки (ИП) выполняются в процессе активного аудита ИБ. Как уже было отмечено, ИП состоят из набора заранее согласованных тестов, направленных на получение характеристик об уровне защищенности выбранных ПИБ. Для проведения инструментальных проверок может быть предложена следующая методика, предполагающая тестирование возможности несанкционированного доступа (НСД) к информации, обрабатываемой или хранящейся в АИС, как изнутри организации, так и из внешних сетей. Методика включает три этапа: анализ структуры АИС, внутренний а дит, внешний аудит.
На этапе анализа структуры АИС с позиций ИБ производится анализ и инвентаризация информационных ресурсов и СВТ: формируется перечень защищаемых сведений; описываются информационные потоки, структура и со-
став АИС; проводится категорирование ресурсов, подлежащих защите.
На втором этапе осуществляется внутренний аудит АИС, включающий анализ настроек АИС с точки зрения ИБ. На данном этапе с учетом известных изъянов ОС и специализированных СЗИ осуществляется анализ защищенности от опасных внутренних воздействий. Исследуется возможность несанкционированных действий легальных пользователей компьютерной сети, которые могут привести к модификации, копированию или разрушению конфиденциальных данных. Анализ осуществляется путем детального изучения на- строек безопасности средств защиты с использованием как общеупотребимых (в том числе входящих в арсенал хакеров), так и специально разработанных автоматизированных средств исследования уязвимости АИС. Анализируются следующие компоненты АИС:
? средства защиты ПК — возможность отключения программно- аппаратных систем защиты при физическом доступе к выключенным станциям; использование и надежность встроенных средств парольной защиты BIOS;
? состояние антивирусной защиты – наличие в АИС вредоносных про-
грамм, возможность их внедрения через машинные носители, сеть Интернет;
? ОС — наличие требуемых настроек безопасности;
? парольная защита в ОС — возможность получения файлов с зашифрованными паролями и их последующего дешифрования; возможность подключения с пустыми паролями, подбора паролей, в том числе по сети;
? система разграничения доступа пользователей АИС к ресурсам — формирование матрицы доступа; анализ дублирования и избыточности в предоставлении прав доступа; определение наиболее осведомленных пользователей
и уровней защищенности конкретных ресурсов; оптимальность формирования рабочих групп;
? сетевая инфраструктура — возможность подключения к сетевому оборудованию для получения защищаемой информации путем перехвата и анализа сетевого трафика; настройки сетевых протоколов и служб;
? аудит событий безопасности — настройка и реализация политики аудита;
? прикладное ПО — надежность элементов защиты используемых АРМ; возможные каналы утечки информации; анализ версий используемого программного обеспечения на наличие уязвимых мест;
? СЗИ: надежность и функциональность используемых СЗИ; наличие уязвимых мест в защите; настройка СЗИ.
На третьем этапе осуществляется внешний аудит АИС, оценивающий состояние защищенности информационных ресурсов организации от НСД,
осуществляемого из внешних сетей, в том числе из Интернет. Последователь-
но анализируются следующие возможности проникновения извне:
? получение данных о внутренней структуре АИС — наличие на web-
серверах информации конфиденциального характера; выявление настроек DNS- и почтового серверов, позволяющих получить информацию о внутренней структуре АИС;
? выявление компьютеров, подключенных к сети и достижимых из Интернет — сканирование по протоколам ICMP, TCP, UDP; определение степени доступности информации об используемом в АИС ПО и его версиях; выявление активных сетевых служб; определение типа и версии ОС, сетевых приложений и служб;
? получение информации об учетных записях, зарегистрированных в АИС
с применением утилит, специфичных для конкретной ОС.
? подключение к доступным сетевым ресурсам — определение наличия доступных сетевых ресурсов и возможности подключения к ним;
? использование известных уязвимостей в программном обеспечении МЭ,
выявление неверной конфигурации МЭ.
? выявление версий ОС и сетевых приложений, подверженных атакам типа
«отказ в обслуживании»;
? тестирование возможности атак на сетевые приложения — анализ защищенности web-серверов, тестирование стойкости систем удаленного управления, анализ возможности проникновения через имеющиеся модемные соединения.
По результатам тестирования оформляется экспертное заключение, описывающее реальное состояние защищенности АИС от внутренних и внешних угроз, содержащее перечень найденных изъянов в настройках систем безопасности. На основании полученного заключения разрабатываются рекомендации по повышению степени защищенности АИС, по администрированию систем, по применению СЗИ.
Реализация методики требует постоянного обновления знаний об обнаруживаемых изъянах в системах защиты. Не все этапы методики могут быть автоматизированы. Во многих случаях требуется участие эксперта, обладающего соответствующей квалификацией.
