Страница
1

Аудит информационной безопасности

Введение

Тема данной контрольной работы обозначена, как: “Аудит информационной безопасности”.

Для реализации поставленных задач, следует изучить основные положения, цели, задачи, применяемые методики аудита информационной безопасности. Для закрепления полученных знаний, будет необходимо выполнить письменный отчёт, в котором должны быть отражены основные аспекты данный темы. В заключение работы следует проанализировать проделанную работу и полученные результаты.

Производственная практика проходит в главном здании АлтГТУ, на кафедре вычислительных систем и информационной безопасности.

Основные положения

аудит информационный безопасность экспертный

Аудит информационной безопасности – независимая оценка текущего состояния системы информационной безопасности, устанавливающая уровень ее соответствия определенным критериям, и предоставление результатов в виде рекомендаций.

Целью аудита является предоставление независимой и объективной комплексной оценки текущего состояния защищенности информационной системы, позволяющей систематизировать угрозы информационной безопасности и предложить рекомендации по их устранению.

Задачи, которые решаются в ходе аудита защищенности информационной системы:

– анализ структуры, функций, используемых технологий автоматизированной обработки и передачи информации в информационной системе, анализ бизнес–процессов, нормативно–распорядительной и технической документации;

– выявление значимых угроз информационной безопасности и путей их реализации, выявление и ранжирование по степени опасности существующих уязвимостей технологического и организационного характера в информационной системе;

– составление неформальной модели нарушителя, применение методики активного аудита для проверки возможности реализации нарушителем выявленных угроз информационной безопасности;

– проведение теста на проникновение по внешнему периметру IP–адресов, проверка возможности проникновения в информационную систему при помощи методов социальной инженерии;

– анализ и оценка рисков, связанных с угрозами безопасности информационных ресурсов;

– оценка системы управления информационной безопасностью на соответствие требованиям стандарта ГОСТ Р ИСО/МЭК 27001–2006 и разработка рекомендаций по совершенствованию системы управления информационной безопасностью;

– разработка предложений и рекомендаций по внедрению новых и повышению эффективности существующих механизмов обеспечения информационной безопасности.

Аудит информационной безопасности состоит из следующих этапов:

– инициирование работ и планирование;

– обследование и сбор информации;

– поиск уязвимостей и несоответствий;

– выработка рекомендаций и подготовка отчетных документов.

Результатом аудита информационной безопасности является создание документа, который содержит детальную информацию о:

– всех выявленных уязвимостях объекта аудита;

– критичности найденных уязвимостях;

– последствие в случае реализации угроз;

– рекомендации по устранению уязвимостей.

На основании результатов аудита информационной безопасности, организация сможет выстроить грамотную систему безопасности, минимизировать возможные риски информационной безопасности, а также повысить свой авторитет в глазах партнеров и клиентов.

Аудит информационной безопасности позволит руководству организации увидеть реальное состояние информационных активов и оценить их защищенность.

Методики аудита

Экспертный аудит

Экспертный аудит необходим, когда оценивается уровень защищенности только тех компонентов информационных систем, которые, по мнению владельца организации, являются наиболее значимыми, то есть, отсутствует необходимость в полном обследовании организации. Таким образом, появляется возможность сосредоточиться на наиболее критичных ресурсах и минимизировать затраты на комплексный аудит.

Основные этапы экспертного аудита включают в себя:

– анализ информационной системы;

– анализ наиболее значимых активов;

– формирование модели угроз, модели нарушителя;

– анализ требований к безопасности информационной среды;

– оценка текущего состояния;

– разработка рекомендаций по устранению обнаруженных недочетов и уязвимостей;

– создание отчетной рекомендации.

При выполнении экспертного аудита сотрудники компании–аудитора совместно с представителями организации проводят следующие виды работ:

– сбор исходных данных об информационной системе, об её функциях и особенностях, используемых технологиях автоматизированной обработки и передачи данных;

– сбор информации об имеющихся организационно–распорядительных документах по обеспечению информационной безопасности и их анализ;

– определение точек ответственности систем, устройств и серверов информационной системы;

– формирование перечня подсистем каждого подразделения компании с категорированием критичной информации и схемами информационных потоков.

Один из самых объемных видов работ, которые проводятся при экспертном аудите, – сбор данных об информационной системе путем интервьюирования представителей организации и заполнения ими специальных анкет. Основная цель интервьюирования технических специалистов - сбор информации о функционировании сети, а руководящего состава компании – выяснение требований, которые предъявляются к системе информационной безопасности.

Ключевой этап экспертного аудита - анализ проекта информационной системы, топологии сети и технологии обработки информации, в ходе, которого выявляются, такие недостатки существующей топологии сети, которые снижают уровень защищенности информационной системы. По результатам работ данного этапа предлагаются изменения в существующей информационной системе и технологии обработки информации, направленные на устранение найденных недостатков с целью достижения требуемого уровня информационной безопасности.

Следующий этап – анализ информационных потоков организации. На данном этапе определяются типы информационных потоков в информационной системе организации, и составляется их диаграмма, где для каждого информационного потока указывается его ценность и используемые методы обеспечения безопасности, отражающие уровень защищенности информационного потока. На основании результатов данного этапа работ предлагается защита или повышение уровня защищенности тех компонент информационной системы, которые участвуют в наиболее важных процессах передачи, хранения и обработки информации. Для менее ценной информации уровень защищенности остается прежним, что позволяет сохранить для конечного пользователя простоту работы с информационной системой.

Применение анализа информационных потоков организации позволяет спроектировать систему обеспечения информационной безопасности, которая будет соответствовать принципу разумной достаточности.

В рамках экспертного аудита производится анализ организационно–распорядительных документов, таких как политика безопасности, план защиты и различного рода инструкции. Организационно–распорядительные документы оцениваются на предмет достаточности и непротиворечивости, декларируемым целям и мерам информационной безопасности. Особое внимание на этапе анализа информационных потоков уделяется определению полномочий и ответственности конкретных лиц за обеспечение информационной безопасности различных участков информационной системы. Полномочия и ответственность должны быть закреплены положениями организационно–распорядительных документов.

Перейти на страницу номер:
 1  2  3  4