Комплексный аудит информационной безопасности предприятия
Сегодня с уверенностью можно сказать, что нет ни одной организации, не столкнувшейся с вопросами обеспечения безопасности информации в том или ином разрезе данного предмета. Вопросы информационной безопасности тесно переплетены с вопросами экономической безопасности, обеспечения непрерывности деятельности учреждений, безопасностью труда и многими другими сферами деятельности и технологическими процессами работы организаций в целом.
Обеспечение информационной безопасности учреждения (организации) сегодня выходит далеко за рамки рассмотрения в разрезе обеспечения информационной безопасности и технической защиты информации (далее — ИБиТЗИ) объектов информатизации, подлежащих защите в соответствии с требованиями нормативно-правовых актов РФ, методических документов ФСТЭК и ФСБ России. Кроме того законодательством РФ сегодня предусмотрены мероприятия касающиеся обеспечения безопасности информации без преувеличения каждого учреждения – это мероприятия по защите общедоступной информации в системах общего пользования и обеспечения деятельности, персональных данных и систем управления технологическими процессами, защита в кредитно-платёжных системах, защита государственных (муниципальных) информационных ресурсов.
В современных условиях обеспечение ИБиТЗИ – это комплекс мер, многие из которых не описаны (часть из них только планируется) в нормативно-методических документах регуляторов. Это и меры противодействия инсайду (с помощью пакета правовых инструментов, DLP систем, применения психологодиагностического оборудования в отношении тестирования персонала), меры по анализу, оценке и устранению рисков ИБ в процессе всей деятельности учреждения и по отношению ко всем активам организации, меры противодействия социальной инженерии.
На вопросы обеспечения ИБ объектов защиты, которые не изолированы от всех процессов жизнедеятельности учреждения, влияют все без исключения факторы и рабочие процессы: организация режимных мер и охраны, вопросы работоспособности СКУД, пожарной и охранной сигнализаций, вопросы системы менеджмента, вопросы связанные с развитием и эксплуатацией инженерных систем учреждения (и не только локально-вычислительных сетей), использованием информационных технологий в целом (программного обеспечения, сетей связи общего пользования и т.д.), в любом месте и в любое время вопросы ремонта и техобслуживания средств вычислительной техники, СКС, инженерных коммуникаций здания.
Учитывая данный факт, большой объём нормативно-методической документации, многоаспектность обеспечения ИБ учреждений, существенные различия между самими учреждениями в части технологии обработки информации, используемого перечня средств вычислительной техники и программного обеспечения сегодня мероприятия способные охватить все указанные абзацем выше вопросы являются сложнейшей задачей с привлечением специалистов различных квалификаций и направлений, а результат решения этой задачи кардинально отличается от результатов стандартных аудитов в области защиты информации и информационной безопасности.
Структура аудита ИБ
(техническое задание на составление программы и методик проведения аудита ИБ)
Этап 1. Определение направлений и состава аудита
1.1. Определение активов учреждения, подлежащих защите и определение перечня информации, воздействующей на данные активы и подлежащей защите. Осуществляется определение перечня защищаемой информации и критериев, необходимых для обеспечения её безопасности.
1.2. Определение состава защищаемой информации применительно к каждому необходимому критерию безопасности:
— перечень информации, которой необходимо обеспечить конфиденциальность.
— перечень информации, которой необходимо обеспечить целостность.
— перечень информации, которой необходимо обеспечить доступность.
1.3. Категорирование информации из определённого выше перечня с целью определения для каждой категории набора требований нормативно-правовых и нормативно-методических документов (далее НПА и НМД), действующих в РФ, а также составления аналитическо-экономического обоснования набора мер безопасности информации для каждой категории. Из определённой к защите информации могут выделяться следующие категории: коммерческая тайна, служебная тайна, персональные данные, государственные информационные ресурсы, государственная тайна, общедоступная информация, воздействующая на активы учреждения.
1.4. Определение защищаемых объектов информатизации (далее ЗОИ), обрабатывающих выделенную защищаемую информацию: ключевые системы информационной инфраструктуры (далее КСИИ), государственные и муниципальные информационные системы (далее ГИС (МИС), информационные системы персональных данных (далее ИСПДН), объекты вычислительной техники (далее ОВТ), защищаемые помещения (далее ЗП), технические помещения, безопасность которых влияет на ИБ организации в целом или на ИБ и ТЗИ конкретных ОИ.
1.5. Определение перечня лиц, обрабатывающих и получающих в ходе деятельности защищаемую информацию.
1.6. Определение процессов (рабочих, бизнес процессов), которые воздействуют на безопасность данной информации.
Этап 2. Аудит процессов и систем влияющих на ИБ учреждения
2.1. Аудит организационных, административных, правовых аспектов деятельности учреждения, влияющих на ИБ.
Рассматриваются следующие вопросы:
— вопросы менеджмента ИБ: процедуры вовлечения персонала в процессы ИБ, участие и роль руководства, анализ и оценка штатной структуры учреждения в целом и подразделений, задействованных в вопросах обеспечения безопасности информации и влияния их на ИБ;
— порядок взаимодействия между подразделениями в ходе выполнения рабочих задач, имеющих влияние на ИБ учреждения, координация деятельности подразделений;
— состояние политик ИБ (регламентов, инструкций, процедур).
Это достаточно большая и важная часть аудита. Программа и методики аудита по данному вопросу содержат подробное описание проверяемых процедур, правил и политик. Оценка качества политик ИБ учреждения предусматривает детальную оценку каждого документа Заказчика и аналитическое обоснование его работоспособности, актуальности и соответствия НМД в области защиты информации в зависимости от категории информации и объекта информатизации. Итогом аудита данного направления является выдача детальных рекомендаций в отношении как имеющейся политики ИБ учреждения, так и по созданию и внедрению новых организационно-распорядительных, правовых и административных инструментов. По выбору заказчика оценка может проводиться на соответствие политик безопасности нормативно-методическим документам России, СМИБ (ГОСТ ИСО), отраслевым стандартам (ЦБР СТО БР ИББС и др.). Не маловажным является демонстрация по итогам анализа последствий отсутствия политик ИБ (либо наоборот демонстрация работоспособности политик и правил в части устранения реальных угроз безопасности информации);
— состояние документооборота: наличие, ведение закрытого (ограниченного) документооборота и правила работы с ним, рекомендации по организации такого документооборота, приём и передача документов ограниченного распространения, порядок уничтожения носителей, внутренний электронный документооборот, его роль и место в ИБ учреждения;
— оценка возможности сертификации учреждения в системе менеджмента информационной безопасности.
2.2. Обследование состояния ИТ инфраструктуры и инженерных систем:
— аудит процессов использования средств вычислительной техники, в том числе:
аудит безопасности домена на основе службы каталогов MS Active Directory, аудит FSMO ролей, позволит минимизировать негативные последствия выхода из строя контроллера домена с последующей разработкой рекомендаций по размещению FSMO-ролей, аудит объектов групповой политики в части аутентификации, авторизации, аудита (Group Policy Object, GPO), при помощи шаблонов безопасности позволит упростить выполнение задач администрирования, поскольку обеспечивает приведение к единой конфигурации безопасности заданного множества компьютеров в рамках одного домена, с последующей разработкой рекомендаций по настройке шаблонов GPO, аудит установленных обновлений ОС Microsoft (позволит выяснить установлены ли последние обновления безопасности и какие системы в них нуждаются, с последующей разработкой рекомендаций по установке и настройке Службы обновления Windows Server – Windows Server Update Services (WSUS), что позволит ИТ-администраторам централизованно развёртывать новейшие обновления продуктов Microsoft на компьютерах, работающих под управлением операционных систем семейства Windows), обследование Web и Почтового серверов; проверка настроек политики безопасности на серверах; обследование всех рабочих станций в офисе на предмет соблюдения правил информационной безопасности и возможности их использования инсайдерами в качестве инструмента атак;
— проверка возможности перехвата сетевых пакетов в локальной сети:
— построение актуальной «Карты» сети, обнаружение конфигураций «по умолчанию», обнаружение модемов, обнаружение других не задекларированных устройств.
Данная часть аудита позволит выдать следующие рекомендации:
рекомендации по нейтрализации уязвимостей (снижению возможного ущерба от их использования злоумышленниками);
рекомендации по изменению конфигурации и настроек компонентов АС, используемых защитных механизмов;
рекомендации по установке необходимых обновлений (patches, hot-fixes) установленного программного обеспечения;
рекомендации по изменению политик безопасности на Серверах и Рабочих станциях, в настройках файрволла.
— оценка установленного порядка обслуживания СКС (ЛВС);
— анализ состава и уязвимостей используемого штатного прикладного программного обеспечения:
— функции и процедуры, относящиеся к разным прикладным программам и несовместимые между собой (не функционирующие в одной операционной среде) из-за конфликтов, связанных с распределением ресурсов системы;
— функции, процедуры, изменение определенным образом параметров которых позволяет использовать их для проникновения в операционную среду ИСПДн и вызова штатных функций операционной системы, выполнения несанкционированного доступа без обнаружения таких изменений операционной системой;
— фрагменты кода программ («дыры», «люки»), введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др., предусмотренные в операционной системе;
— отсутствие необходимых средств защиты (аутентификации, проверки целостности, проверки форматов сообщений, блокирования несанкционированно модифицированных функций и т.п.);
— ошибки в программах (в объявлении переменных, функций и процедур, в кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации, к возможности несанкционированного доступа к информации;
— анализ использования ССОП Интернет, определение точек подключения к Internet;
— оценка уровня безопасности при использовании корпоративной почты;
— обнаружение сетевых узлов: ping-сканирование, traceroute;
— определение сетевых приложений: сканирование портов, захват заголовков (network application banner grabbing);
— использование SNMP для профилирования целей и определения возможного местонахождения скрытых подключений к сети;
— тестирование защиты сетевых приложений:
службы каталогов и поиска: DNS, DHCP, LDAP, Finger, удаленные сеансы: Telnet, SSH, R-команды, X-Windows, совместное использование файлов: FTP, TFTP, SMB, NFS, отказ в обслуживании: сетевые лавины (network flooding), лавины пакетов установления соединения (SYN floods), распределенные атаки типа отказ в обслуживании (Distributed Denial of Service, DDoS),
— тестирования Web-сайтов:
локализация Web-серверов,идентификация Web-серверов, сканирование защиты Web-сайта при помощи сканеров Web-приложений,
— тестирования сетевых устройств;
— тестирования межсетевых экранов и защиты периметра:
— рассмотрение демилитаризованной зоны/периметра и конфигураций политики межсетевого экрана, локализация узлов в областях демилитаризованной зоны/периметра цели, профилирование и тестирование фильтрующего маршрутизатора;
— анализ уязвимостей ЭД, почтовых приложений;
— вопросы технического обслуживания, ремонта и т.п. имеющегося парка СВТ и создаваемые в ходе данных работ угрозы и уязвимости;
— оценка общего состояния ИТ инфрастуктуры и воздействие на критерии безопасности информации
— анализ схемы построения ЛВС, схем выхода в ССОП, структуры ЛВС, СКУД, ОПС
— состояние работы по использованию имеющихся в учреждении инструментов (ЛВС, СКУД, АТС и т.д.) для борьбы с инсайдом
— работа СКУД, правила и порядок работы с СКУД, ПС и ОС персонала
— угрозы, создаваемые применением УПАТС, ГТС, мобильных устройств.
2.3. Аудит деятельности основных подразделений учреждения и их сотрудников, задействованных в обеспечении информационной безопасности учреждения:
— подразделения или ответственного за ИБ (ТЗИ)
— ИТ подразделения и администраторов баз данных и специализированных приложений
— подразделения разработки и внедрения ПО
— подразделения делопроизводства
— подразделения режима и охраны
— подразделения кадровой работы
Методики оценки деятельности основаны на СМИБ (ГОСТ ИСО), оценке реальных показателей выполнения требований НМД и НПА РФ в области ИБ, знаний НПА и НМД в области ИБ (в том числе с использованием квалификационных справочников минтруда), количественных показателей в работе (в соответствии с методиками минтруда). Оценку осуществляют самые опытные специалисты Исполнителя, преподаватели согласованных с ФСТЭК и ФСБ России курсов повышения квалификации в области защиты информации и имеющие специализированное образование в области ИБ.
Рассматривается большой объём вопросов касающихся полномочий сотрудников, контроля за деятельностью сотрудников значительно влияющих на вопросы обеспечения ИБ, вопросы организации и планирования труда, вопросы работы сотрудников с инцидентами (в том числе с помощью разработанной совместно с заказчиком модели реальных инцидентов ИБ в том числе нештатных ситуаций и форс мажоров). Работы проводятся квалифицированными сотрудниками, разработавшими более сотни политик ИБ.
Аудит подверженности инсайдерской деятельности и социальной инженерии:
— оценка работы кадровых подразделений и руководителей подразделений;
— работа с сотрудниками учреждения с использованием полиграфа (детектора лжи) и метода компьютерного психосемантического анализа, основанного на способе психозондирования и реализуемого с помощью аппаратно-программного комплекса MinReader 2.0. В ходе данной работы проводится оценка по следующим направлениям:
— принадлежность кандидатов к определенным криминальным кругам;
— наличие или отсутствие недозволенных связей с конкурентами;
— степень лояльности к организации и руководству;
— использования служебного положения в корыстных целях, наносящих ущерб компании: сговор с клиентом, «откаты» и тому подобное;
— патологические мотивы (алкоголизация, наркомания, игровая зависимость, стремление к мести, склонность к неоправданному риску и т.п.);
— наличие личных проблем (неадекватное отношение к охраняемому лицу, долги, неадекватное отношение к оружию, проблемы с законом, семейные проблемы и т.п.);
— криминальные намерения кандидата.
— социальные пентесты (реальное моделирование проведения атак социальной инженерии на сотрудников учреждения по согласованным и описанным в программе и методиках сценариям)