Презентация. Аудит информационной безопасности

Скачать презентацию




Аудит информационной безопасности
 


Доктрина информационной безопасности РФ — это совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации.
 


 
 


«Аудит информационных систем — это проверка используемых компанией информационных систем, систем безопасности, систем связи с внешней средой, корпоративной сети на предмет их соответствия бизнес-процессам, протекающим в компании, а также соответствия международным стандартам, с последующей оценкой рисков сбоев в их функционировании» («Консалтинг и аудит в сфере ИТ 2004». CNews Analytics). Аудит информационной безопасности — это проверка используемых компанией информационных систем, систем безопасности, систем связи с внешней средой, корпоративной сети на предмет их соответствия бизнес-процессам, протекающим в компании, а также соответствия международным стандартам, с последующей оценкой рисков сбоев в их функционировании.
 


Аудит информационной безопасности – это системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности.
 


Аудит это проверка систем информационной безопасности и сравнение ее результатов с неким идеалом.
 


Это нормативный правовой акт, являющийся основой нормативного регулирования обработки (использования) персональных данных. Закон был принят 27 июля 2006 года и вступил в законную силу 26 января 2007 г. Целью закона является защита прав и свобод человека при обработке его персональных данных. Аудит ИБ проводится в соответствии с требованиями Закона №152-ФЗ «О персональных данных»
 


Одним из самых распространенных видов аудита является активный аудит. Это исследование состояния защищенности информационной системы с точки зрения хакера (или некоего злоумышленника, обладающего высокой квалификацией в области информационных технологий).
 


При осуществлении активного аудита на систему сетевой защиты моделируется как можно большее количество сетевых атак, которые может выполнить хакер. При этом аудитор искусственно ставится именно в те условия, в которых работает хакер, – ему предоставляется минимум информации, только та, которую можно раздобыть в открытых источниках.
 


Активный аудит условно можно разделить на два вида – «внешний» и «внутренний». При «внешнем» активном аудите специалисты моделируют действия «внешнего» злоумышленника.
 


«Внутренний» активный аудит по составу работ аналогичен «внешнему», однако при его проведении с помощью специальных программных средств моделируются действия «внутреннего» злоумышленника.
 


Деление активного аудита на «внешний» и «внутренний» актуально для заказчика в следующих случаях: у заказчика существуют финансовые ограничения в приобретении услуг и продуктов по защите информации; модель злоумышленника, которую рассматривает заказчик, не включает «внутренних» злоумышленников; в компании заказчика расследуется факт обхода системы сетевой защиты.
 


Один из видов услуг, предлагаемых в ходе активного аудита, – исследование производительности и стабильности системы, или стресс-тестирование. Оно направлено на определение критических точек нагрузки, при которой система вследствие атаки на отказ в обслуживании или повышенной загруженности перестает адекватно реагировать на легитимные запросы пользователей.
 


Одна из самых «эффектных» услуг - тест на проникновение: Penetration Testing. Основная цель – демонстрация «успехов», которых может достигнуть хакер, действующий при текущем состоянии системы сетевой защиты.
 


При тесте на проникновение возникают определенные особенности. Например, технического характера: заказчик информируется только о факте уязвимости системы сетевой защиты, в то время как в результатах «внешнего» активного аудита заказчику сообщаются не только факт уязвимости сети, но и сведения обо всех уязвимостях и способах их устранения.
 


 
 


Система управления информационной безопасностью (СУИБ)
 


Процессы взаимодействия СУИБ
 


Политика информационной безопасности
 


Архитектура СУИБ
 


Государственные стандарты РФ: ГОСТ Р 50922-2006 — Защита информации (ЗИ). Основные термины и определения. ГОСТ Р 50.1.053-2005 — Информационные технологии (ИТ). Основные термины и определения в области технической защиты информации. ГОСТ Р 51188—98 — Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство. ГОСТ Р 51275-99 — Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. ГОСТ Р ИСО/МЭК 15408-1-2008 — ИТ. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 1. Введение и общая модель. Часть 2. Функциональные требования безопасности. Часть 3. Требования доверия к безопасности. ГОСТ Р ИСО/МЭК 15408 — «Общие критерии оценки безопасности информационных технологий». Сфера приложения— защита информации от несанкционированного доступа, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами. ГОСТ Р ИСО/МЭК 17799 — «ИТ. Практические правила УИБ». Прямое применение международного стандарта с дополнением — ISO/IEC 17799:2005. ГОСТ Р ИСО/МЭК 27001 — «ИТ. Методы безопасности. СУИБ. Требования». Прямое применение международного стандарта — ISO/IEC 27001:2005. ГОСТ Р 51898-2002 — Аспекты безопасности. Правила включения в стандарты.
 


Международные стандарты: BS 7799-1:2005 — Британский стандарт BS 7799 1-я часть. BS 7799 Part 1 — Code of Practice for Information Security Management (Практические правила УИБ). Служит практическим руководством по созданию СУИБ BS 7799-2:2005 — Британский стандарт BS 7799 2-я часть. BS 7799 Part 2 — Information Security management — specification for information security management systems (Спецификация СУИБ). Используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации. BS 7799-3:2006 — Британский стандарт BS 7799 3-я часть. Новый стандарт в области управления рисками информационной безопасности ISO/IEC 17799:2005 — «Информационные технологии — Технологии безопасности — Практические правила менеджмента ИБ». ISO/IEC 27000 — Словарь и определения. ISO/IEC 27001:2005 — «Информационные технологии — Методы обеспечения безопасности — СУИБ — Требования». ISO/IEC 27002 — Сейчас: ISO/IEC 17799:2005. Дата выхода — 2007 год. ISO/IEC 27005 — Сейчас: BS 7799-3:2006 — Руководство по менеджменту рисков ИБ. German Information Security Agency. IT Baseline Protection Manual — Standard security safeguards (Руководство по базовому уровню защиты IT). Стандарт WebTrust. Применим для подтверждения высокого уровня защищенности системы электронной коммерции и web-сервисов.
 


 
 


 
 


Также существуют руководящие документы Гостехкомиссии, например, такие как: – «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (далее – РД для АС); – «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К); – «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» (ГОСТ Р ИСО/МЭК 15408-2002 или «Общие критерии»)
 


Желательно, чтобы специалисты-аудиторы имели соответствующую квалификацию, как правило, подтвержденную: международными сертификатами CISA и CISM, сертификатами Гостехкомиссии РФ, сертификатами ведущих производителей оборудования и программного обеспечения, включая: Microsoft Certified Systems Engineer (MCSE): Security, CheckPoint Certified Security Expert (CCSE), Cisco Certified Internetwork Expert (CCIE).
 

< <       > >