Анализ уязвимостей корпоративной сети Дмитрий Снопченко Дмитрий Снопченко ЗАО «Объединение ЮГ»

ВОПРОСЫ ОБ АУДИТЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Что такое аудит и цель его проведения? Как проводится аудит? Какими средствами проводить аудит?

ЧТО ТАКОЕ АУДИТ? Аудит информационной безопасности – это системный процесс получения объективных оценок текущего состояния информационной безопасности организации (предприятия) в соответствии с определенными критериями информационной безопасности, который включает комплексное обследование различных сред функционирования ИТС, проведения тестирования на уязвимости ИТС, анализ и оценку защищенности ИТС, формирование отчёта и разработку соответствующих рекомендаций.

ЦЕЛЬ АУДИТА Основной целью аудита информационной безопасности ИТС является оценка текущего состояния информационной безопасности учреждения или предприятия, а также подготовка исходных данных для формирования требований к комплексной системе защиты информации (КСЗИ) ИТС.

КАК ПРОВОДИТСЯ АУДИТ? Соответствующие требования и рекомендации по проведению аудита (обследования) информационной безопасности отражены в международных, государственных стандартах, нормативно-правовых базе Украины в сфере защиты информации: Соответствующие требования и рекомендации по проведению аудита (обследования) информационной безопасности отражены в международных, государственных стандартах, нормативно-правовых базе Украины в сфере защиты информации: ISO/IEC:17799 «Информационные технологии. Управление информационной безопасностью»; ISO/IEC:17799 «Информационные технологии. Управление информационной безопасностью»; ISO/IEC 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования»; ISO/IEC 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования»; ДСТУ «Защита информации. Техническая защита информации. Порядок проведения работ», а также в законодательной базе Украины в сфере защиты информации. ДСТУ «Защита информации. Техническая защита информации. Порядок проведения работ», а также в законодательной базе Украины в сфере защиты информации. НД ТЗІ «Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно- телекомунікаційній системі». НД ТЗІ «Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно- телекомунікаційній системі». НД ТЗІ «Критерії оцінки захищеності інформації в компютерних системах від несанкціонованого доступу» и др. НД ТЗІ «Критерії оцінки захищеності інформації в компютерних системах від несанкціонованого доступу» и др.

ЭТАПЫ ПРОВЕДЕНИЯ АУДИТА Подготовка к проведению аудита (обследования) ИТС: формирование требований к проведению аудита; создание совместной комиссии по аудиту. КОМПЛЕКСНОЕ ОБСЛЕДОВАНИЕ ИТС Обследование информационной среды ИТС Обследование вычислительной системы ИТС Обследование физической среды ИТС Обследование среды пользователей Тестирование на уязвимости ИТС Оценка уровня защищённости ИТС Анализ и систематизация полученных результатов обследования ИТС Создание отчёта и разработка соответствующих рекомендаций Идентификация полученных уязвимостей АНАЛИЗ ЗАЩИЩЕННОСТИ ИТС

ОБСЛЕДОВАНИЕ ВЫЧИСЛИТЕЛЬНОЙ СИСТЕМЫ ИТС Проверка наличия документации на ИТС и ее предварительный анализ. Проверка наличия документации на ИТС и ее предварительный анализ. Проверка наличия распорядительных документов на ИТС и их предварительный анализ. Проверка наличия распорядительных документов на ИТС и их предварительный анализ. Сбор сведений об общей структурной схеме ИТС, ее компонентах – состав оборудования, технических и программных средств, их связи, особенности конфигурации, архитектуры и топологии, программные и программно-аппаратные средства защиты информации, взаимное размещение средств. Сбор сведений об общей структурной схеме ИТС, ее компонентах – состав оборудования, технических и программных средств, их связи, особенности конфигурации, архитектуры и топологии, программные и программно-аппаратные средства защиты информации, взаимное размещение средств. Сбор сведений информации о видах каналов связи, их характеристики. Сбор сведений информации о видах каналов связи, их характеристики. Сбор сведений о особенностях взаимодействия отдельных компонентов ИТС. Сбор сведений о особенностях взаимодействия отдельных компонентов ИТС. Анализ полученной информации. Анализ полученной информации.

ОБСЛЕДОВАНИЕ ИНФОРМАЦИОННОЙ СРЕДЫ ИТС Сбор сведений о технологии обработки информации в ИТС. Сбор сведений о технологии обработки информации в ИТС. Сбор сведений о информационных потоках ИТС. Сбор сведений о информационных потоках ИТС. Сбор сведений о предъявляемых в организации требований к защите информации в ИТС. Сбор сведений о предъявляемых в организации требований к защите информации в ИТС. Сбор сведений о режиме доступа к информационным ресурсам ИТС; Сбор сведений о режиме доступа к информационным ресурсам ИТС; Сбор сведений о информационных носителях и правилах работы с ними. Сбор сведений о информационных носителях и правилах работы с ними. Анализ полученной информации. Анализ полученной информации.

ОБСЛЕДОВАНИЕ ФИЗИЧЕСКОЙ СРЕДЫ ИТС Проверка наличия документации на компоненты физической среды ИТС и ее предварительный анализ. Проверка наличия документации на компоненты физической среды ИТС и ее предварительный анализ. Собор сведений о территориальном размещении компонентов ИТС. Собор сведений о территориальном размещении компонентов ИТС. Сбор сведений о наличии охраняемой территории и пропускного режима на объекте. Сбор сведений о наличии охраняемой территории и пропускного режима на объекте. Сбор сведений о наличии на объекте или объектах категорированных помещений. Сбор сведений о наличии на объекте или объектах категорированных помещений. Сбор сведений о наличии на объекте или объектах охранной, пожарной сигнализации, систем видеонаблюдения и контроля доступа. Сбор сведений о наличии на объекте или объектах охранной, пожарной сигнализации, систем видеонаблюдения и контроля доступа. Сбор сведений о режиме доступа к компонентам физической среды ИТС. Сбор сведений о режиме доступа к компонентам физической среды ИТС. Сбор сведений о наличии в помещениях, где функционирует ИТС, элементов коммуникаций, систем жизнеобеспечения и связи, имеющих выход за пределы контролируемой территории. Сбор сведений о наличии в помещениях, где функционирует ИТС, элементов коммуникаций, систем жизнеобеспечения и связи, имеющих выход за пределы контролируемой территории. Сбор сведений о наличии системы заземления оборудования ИТС и ее технических характеристик. Сбор сведений о наличии системы заземления оборудования ИТС и ее технических характеристик. Сбор сведений о условиях хранения магнитных, оптико- магнитных, бумажных и других носителей информации. Сбор сведений о условиях хранения магнитных, оптико- магнитных, бумажных и других носителей информации. Анализ полученной информации. Анализ полученной информации.

ОБСЛЕДОВАНИЕ СРЕДЫ ПОЛЬЗОВАТЕЛЕЙ Проверка наличия документов, регламентирующих деятельность персонала организации по обеспечению безопасности информации в ИТС и их предварительный анализ. Проверка наличия документов, регламентирующих деятельность персонала организации по обеспечению безопасности информации в ИТС и их предварительный анализ. Анализ функционального и количественного состава пользователей и их обязанностей; Анализ функционального и количественного состава пользователей и их обязанностей; Анализ функций и полномочий подразделения защиты информации; Анализ функций и полномочий подразделения защиты информации; Анализ категорий пользователей по уровню полномочий. Анализ категорий пользователей по уровню полномочий.

ТЕСТИРОВАНИЕ НА УЯЗВИМОСТИ ИТС Проведение сканирования всех компонентов ИТС на уязвимости как изнутри, так и снаружи.

XSpider 7.5 Сетевой сканер безопасности нового поколения как средство проведения аудита безопасности

Пример сканирования

Список уязвимостей Определение ОС Список портов TCP порт с идентифицированным сервисом, подверженный критической уязвимости TCP порт с идентифицированным сервисом, подверженный некритической уязвимости Общая информация Уязвимость или нет?...

Описание уязвимостей

Возможности сканирования

АНАЛИЗ ЗАЩИЩЕННОСТИ ИТС Анализ и систематизация полученных результатов обследования ИТС Идентификация полученных уязвимостей Оценка уровня защищённости ИТС

СОЗДАНИЕ ОТЧЁТА И РАЗРАБОТКА СООТВЕТСТВУЮЩИХ РЕКОМЕНДАЦИЙ Отчёт дает полную картину состояния защищенности ИТС организации, а также рекомендации по устранению уязвимостей.

ЗАКЛЮЧЕНИЕ Таким образом, мы видим, что проведение аудита информационной безопасности предприятия (организации) – это не просто «инвентаризация» ИТС, а тщательная и всесторонняя работа по исследованию ИТС, которая дает наиболее полную картину состояния защищенности и позволяет сформировать требования к комплексной системе защите информации в ИТС организации. Таким образом, мы видим, что проведение аудита информационной безопасности предприятия (организации) – это не просто «инвентаризация» ИТС, а тщательная и всесторонняя работа по исследованию ИТС, которая дает наиболее полную картину состояния защищенности и позволяет сформировать требования к комплексной системе защите информации в ИТС организации. Проведение квалифицированного аудита информационной безопасности и исполнение комплекса мер по защите информационных ресурсов по рекомендациям, выработанным в результате такого аудита, дает уверенность в защищенности ИТС на определенный период времени. Уверенность в защищенности Ваших информационных ресурсов может быть только тогда обоснована, когда она подтверждена. Проведение квалифицированного аудита информационной безопасности и исполнение комплекса мер по защите информационных ресурсов по рекомендациям, выработанным в результате такого аудита, дает уверенность в защищенности ИТС на определенный период времени. Уверенность в защищенности Ваших информационных ресурсов может быть только тогда обоснована, когда она подтверждена.

Благодарю за внимание ! ЗАО «Объединение ЮГ» г. Киев-40, Проспект 40-летия Октября, 88 тел./факс: +38(044) ,+38(044) ,+38(044)