Аудит на соответствие стандартам ИБ

В ряде случаев проводится аудит на соответствие стандартам ИБ. Спе- циально уполномоченные организации-аудиторы по результатам аудита при- нимают решение и выдают документальное подтверждение о соответствии СОИБ тому или иному эталонному стандарту (проводят сертификацию). Сер- тификация является показателем качества СОИБ и поднимает престиж и уро- вень доверия к организации.

Аудит на соответствие стандартам чаще всего подразумевает проведе-

ние активного и экспертного аудита. По результатам могут быть подготовле-

ны отчеты, содержащие следующую информацию:

?    степень соответствия проверяемой ИС выбранным стандартам;

?    количество и категории полученных несоответствий и замечаний;

?    рекомендации по построению или модификации СОИБ, позволяющие привести ее в соответствие с требованиями рассматриваемого стандарта.

8.2. Методика проведения инструментальных проверок

Инструментальные проверки (ИП) выполняются в процессе активного аудита ИБ. Как уже было отмечено, ИП состоят из набора заранее согласован- ных тестов,  направленных на получение характеристик об уровне защищен- ности выбранных ПИБ. Для проведения инструментальных проверок может быть предложена следующая методика, предполагающая тестирование воз- можности несанкционированного доступа (НСД) к информации, обрабаты- ваемой или хранящейся в АИС, как изнутри организации, так и из внешних сетей. Методика включает три этапа: анализ структуры АИС, внутренний ау- дит, внешний аудит.

На этапе анализа структуры АИС с позиций ИБ производится анализ и инвентаризация информационных ресурсов и СВТ: формируется перечень за-

щищаемых сведений; описываются информационные потоки, структура и со-

став АИС; проводится категорирование ресурсов, подлежащих защите.

На втором этапе осуществляется внутренний аудит АИС, включающий анализ настроек АИС с точки зрения ИБ. На данном этапе с учетом известных изъянов ОС и специализированных СЗИ осуществляется анализ защищенно- сти от опасных внутренних воздействий. Исследуется возможность несанк- ционированных действий легальных пользователей компьютерной сети, кото- рые могут привести к модификации, копированию или разрушению конфи- денциальных данных. Анализ осуществляется путем детального изучения на- строек безопасности средств защиты с использованием как общеупотребимых (в том числе входящих в арсенал хакеров), так и специально разработанных автоматизированных средств исследования уязвимости АИС. Анализируются следующие компоненты АИС:

?  средства   защиты   ПК   —   возможность   отключения      программно- аппаратных систем защиты при физическом доступе к выключенным станци- ям; использование и надежность встроенных средств парольной защиты BIOS;

?  состояние антивирусной защиты –  наличие в  АИС  вредоносных про-

грамм, возможность их внедрения через машинные носители, сеть Интернет;

?  ОС — наличие требуемых настроек безопасности;

?  парольная защита в ОС — возможность получения файлов с зашифро- ванными паролями и их последующего дешифрования; возможность подклю- чения с пустыми паролями, подбора паролей, в том числе по сети;

?  система разграничения доступа пользователей АИС к ресурсам — фор- мирование матрицы доступа; анализ дублирования и избыточности в предос- тавлении прав доступа; определение наиболее осведомленных пользователей

и уровней защищенности конкретных ресурсов; оптимальность формирования рабочих групп;

?  сетевая инфраструктура — возможность подключения к сетевому обору-

дованию для получения защищаемой информации путем перехвата и анализа сетевого трафика; настройки сетевых протоколов и служб;

?  аудит событий безопасности — настройка и реализация политики аудита;

?  прикладное ПО — надежность элементов защиты используемых АРМ; возможные каналы утечки информации; анализ версий используемого про- граммного обеспечения на наличие уязвимых мест;

?  СЗИ: надежность и функциональность используемых СЗИ; наличие уяз-

вимых мест в защите; настройка СЗИ.

На третьем этапе осуществляется внешний аудит АИС, оценивающий состояние защищенности информационных ресурсов организации от  НСД,

осуществляемого из внешних сетей, в том числе из Интернет. Последователь-

но анализируются следующие возможности проникновения извне:

?  получение данных  о  внутренней структуре АИС  —  наличие  на  web-

серверах  информации  конфиденциального  характера;  выявление  настроек DNS- и почтового серверов, позволяющих получить информацию о внутрен- ней структуре АИС;

?  выявление компьютеров, подключенных к сети и достижимых из Интер- нет — сканирование по протоколам ICMP, TCP, UDP; определение степени доступности информации об используемом в АИС ПО и его версиях; выявле-

ние активных сетевых служб; определение типа и версии ОС, сетевых прило-

жений и служб;

?  получение информации об учетных записях, зарегистрированных в АИС

с применением утилит, специфичных для конкретной ОС.

?  подключение к доступным сетевым ресурсам — определение наличия доступных сетевых ресурсов и возможности подключения к ним;

?  использование известных уязвимостей в программном обеспечении МЭ,

выявление неверной конфигурации МЭ.

?  выявление версий ОС и сетевых приложений, подверженных атакам типа

«отказ в обслуживании»;

?  тестирование возможности атак на сетевые приложения — анализ защи- щенности web-серверов, тестирование стойкости систем удаленного управле- ния, анализ возможности проникновения через имеющиеся модемные соеди- нения.

По результатам тестирования оформляется экспертное заключение, опи- сывающее реальное состояние защищенности АИС от внутренних и внешних угроз, содержащее перечень найденных изъянов в настройках систем безопас-

ности. На основании полученного заключения разрабатываются рекоменда- ции по повышению степени защищенности АИС, по администрированию сис- тем, по применению СЗИ.

Реализация методики требует постоянного обновления знаний об обна- руживаемых изъянах в системах защиты. Не все этапы методики могут быть автоматизированы. Во многих случаях требуется участие эксперта, обладаю-

щего соответствующей квалификацией.

Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий