May 13th, 2012 
admin
В ряде случаев проводится аудит на соответствие стандартам ИБ. Спе- циально уполномоченные организации-аудиторы по результатам аудита при- нимают решение и выдают документальное подтверждение о соответствии СОИБ тому или иному эталонному стандарту (проводят сертификацию). Сер- тификация является показателем качества СОИБ и поднимает престиж и уро- вень доверия к организации.
Аудит на соответствие стандартам чаще всего подразумевает проведе-
ние активного и экспертного аудита. По результатам могут быть подготовле-
ны отчеты, содержащие следующую информацию:
? степень соответствия проверяемой ИС выбранным стандартам;
? количество и категории полученных несоответствий и замечаний;
? рекомендации по построению или модификации СОИБ, позволяющие привести ее в соответствие с требованиями рассматриваемого стандарта.
8.2. Методика проведения инструментальных проверок
Инструментальные проверки (ИП) выполняются в процессе активного аудита ИБ. Как уже было отмечено, ИП состоят из набора заранее согласован- ных тестов, направленных на получение характеристик об уровне защищен- ности выбранных ПИБ. Для проведения инструментальных проверок может быть предложена следующая методика, предполагающая тестирование воз- можности несанкционированного доступа (НСД) к информации, обрабаты- ваемой или хранящейся в АИС, как изнутри организации, так и из внешних сетей. Методика включает три этапа: анализ структуры АИС, внутренний ау- дит, внешний аудит.
На этапе анализа структуры АИС с позиций ИБ производится анализ и инвентаризация информационных ресурсов и СВТ: формируется перечень за-
щищаемых сведений; описываются информационные потоки, структура и со-
став АИС; проводится категорирование ресурсов, подлежащих защите.
На втором этапе осуществляется внутренний аудит АИС, включающий анализ настроек АИС с точки зрения ИБ. На данном этапе с учетом известных изъянов ОС и специализированных СЗИ осуществляется анализ защищенно- сти от опасных внутренних воздействий. Исследуется возможность несанк- ционированных действий легальных пользователей компьютерной сети, кото- рые могут привести к модификации, копированию или разрушению конфи- денциальных данных. Анализ осуществляется путем детального изучения на- строек безопасности средств защиты с использованием как общеупотребимых (в том числе входящих в арсенал хакеров), так и специально разработанных автоматизированных средств исследования уязвимости АИС. Анализируются следующие компоненты АИС:
? средства защиты ПК — возможность отключения программно- аппаратных систем защиты при физическом доступе к выключенным станци- ям; использование и надежность встроенных средств парольной защиты BIOS;
? состояние антивирусной защиты – наличие в АИС вредоносных про-
грамм, возможность их внедрения через машинные носители, сеть Интернет;
? ОС — наличие требуемых настроек безопасности;
? парольная защита в ОС — возможность получения файлов с зашифро- ванными паролями и их последующего дешифрования; возможность подклю- чения с пустыми паролями, подбора паролей, в том числе по сети;
? система разграничения доступа пользователей АИС к ресурсам — фор- мирование матрицы доступа; анализ дублирования и избыточности в предос- тавлении прав доступа; определение наиболее осведомленных пользователей
и уровней защищенности конкретных ресурсов; оптимальность формирования рабочих групп;
? сетевая инфраструктура — возможность подключения к сетевому обору-
дованию для получения защищаемой информации путем перехвата и анализа сетевого трафика; настройки сетевых протоколов и служб;
? аудит событий безопасности — настройка и реализация политики аудита;
? прикладное ПО — надежность элементов защиты используемых АРМ; возможные каналы утечки информации; анализ версий используемого про- граммного обеспечения на наличие уязвимых мест;
? СЗИ: надежность и функциональность используемых СЗИ; наличие уяз-
вимых мест в защите; настройка СЗИ.
На третьем этапе осуществляется внешний аудит АИС, оценивающий состояние защищенности информационных ресурсов организации от НСД,
осуществляемого из внешних сетей, в том числе из Интернет. Последователь-
но анализируются следующие возможности проникновения извне:
? получение данных о внутренней структуре АИС — наличие на web-
серверах информации конфиденциального характера; выявление настроек DNS- и почтового серверов, позволяющих получить информацию о внутрен- ней структуре АИС;
? выявление компьютеров, подключенных к сети и достижимых из Интер- нет — сканирование по протоколам ICMP, TCP, UDP; определение степени доступности информации об используемом в АИС ПО и его версиях; выявле-
ние активных сетевых служб; определение типа и версии ОС, сетевых прило-
жений и служб;
? получение информации об учетных записях, зарегистрированных в АИС
с применением утилит, специфичных для конкретной ОС.
? подключение к доступным сетевым ресурсам — определение наличия доступных сетевых ресурсов и возможности подключения к ним;
? использование известных уязвимостей в программном обеспечении МЭ,
выявление неверной конфигурации МЭ.
? выявление версий ОС и сетевых приложений, подверженных атакам типа
«отказ в обслуживании»;
? тестирование возможности атак на сетевые приложения — анализ защи- щенности web-серверов, тестирование стойкости систем удаленного управле- ния, анализ возможности проникновения через имеющиеся модемные соеди- нения.
По результатам тестирования оформляется экспертное заключение, опи- сывающее реальное состояние защищенности АИС от внутренних и внешних угроз, содержащее перечень найденных изъянов в настройках систем безопас-
ности. На основании полученного заключения разрабатываются рекоменда- ции по повышению степени защищенности АИС, по администрированию сис- тем, по применению СЗИ.
Реализация методики требует постоянного обновления знаний об обна- руживаемых изъянах в системах защиты. Не все этапы методики могут быть автоматизированы. Во многих случаях требуется участие эксперта, обладаю-
щего соответствующей квалификацией.
Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс
Опубликовано в рубрике