Проведение аудита безопасности: Введение

Проведение аудита безопасности: Введение

От слова „аудит” даже у самих закаленных в битвах должностных лиц могут побежать мурашки по коже. Это значит, что некая внешняя организация проведет формальную письменную проверку одного или нескольких компонентов организации. Аудит безопасности информации – это один из лучших путей для достижения безопасности информации внутри организации без лишних затрат или других убытков, связанных со случаями нарушения безопасности.

TECKLORD

От слова „аудит” даже у самих закаленных в битвах должностных лиц могут побежать мурашки по коже. Это значит, что некая внешняя организация проведет формальную письменную проверку одного или нескольких компонентов организации. Финансовые аудиты – наиболее привычные проверки, с которыми встречается финансовый менеджер. Это явление известно всем должностным лицам: они знают, что финансовые аудиторы произведут проверку финансовых записей и путей их использования. Они также могут быть знакомы с аудитом безопасности на физическом уровне. Однако, они вряд ли знакомы с аудитом безопасности информации; то есть методами обеспечения конфиденциальности, доступности и целостности информации. Аудит безопасности информации – это один из лучших путей для достижения безопасности информации внутри организации без лишних затрат или других убытков, связанных со случаями нарушения безопасности.

Что такое аудит безопасности

Фраза «проверка безопасности» употребляется взаимозаменяемо с фразой «аудит компьютерной безопасности», хотя эти понятия отличаются. Проверка безопасности (pen-test) - это узко направленная проверка наличия брешей в критических ресурсах, таких как межсетевая защита или Web сервер. Проверяющие безопасность могут рассматривать лишь один сервис на сетевом ресурсе. Они обычно работают извне с минимальной информацией о данной сети для того, чтобы как можно более реалистично симулировать возможную атаку хакера.

С другой стороны, аудит компьютерной безопасности – это систематическая оценка того, как устроена политика безопасности данной организации. Аудиторы компьютерной безопасности работают с полным владением информацией об организации, ее внутренней структуре, для того, чтобы исследовать ресурсы, которые должны состоять под аудитом.

Аудит безопасности является частью процесса определения и управления эффективными политиками безопасности, и это не просто разговоры и конференции. Аудит безопасности касается каждого, кто использует ресурсы внутри организации. Он предоставляет все возможности для проверки безопасности вашей фирмы.

Аудиторы компьютерной безопасности осуществляют проверку посредством личных опросов, сканирований на наличие уязвимостей, проверки настройки операционной системы, анализа открытых сетевых ресурсов, истории данных. Они в первую очередь исследуют использование политик безопасности – основу любой эффективной стратегии безопасности организации. Далее следуют вопросы, на которые аудит безопасности должен найти ответ:

  • Насколько сложно подобрать пароль?
  • Используется ли ACLs на сетевых ресурсах для контроля доступа к данным?
  • Ведется ли аудит доступа к данным?
  • Просматриваются ли логи аудита?
  • Соответствуют ли настройки безопасности операционной системы общепринятой практике безопасности
  • Устранены ли все ненужные приложения и сервисы на каждой системе?
  • Пропатчены ли операционные системы и коммерческие приложения до нужного уровня?
  • Как хранятся копии данных, кто имеет к ним доступ, проводится ли сохранение данных регулярно?
  • Разработан ли план восстановления данных в случае инцидента? Проводились ли тренировки по восстановлению данных?
  • Есть ли в наличии криптографические утилиты для шифрования данных и настроены ли они должным образом?
  • Были ли написаны используемые программы с учетом безопасности?
  • Каким образом проводилось тестирование этих программ на предмет наличия брешей в их безопасности?
  • Каким образом ведется аудит изменений кода и конфигураций на каждом уровне? Как просматриваются эти записи и кто ответственный за проведение их просмотра?

Это лишь несколько вопросов, на которые следует обратить внимание при проведении аудита безопасности. Отвечая честно и точно на эти вопросы, организация может представить реальную картину безопасности своей жизненно важной информации.

Определение политик безопасности

Аудит безопасности – это, по существу, оценка эффективности применения политик безопасности внутри организации. Конечно, предполагается, что организация уделяет внимание политике безопасности, что, к сожалению, не всегда является таковым. Даже сейчас во многих организациях не существует четко сформулированной политики. Политики безопасности являются средствами стандартизации практики безопасности посредством их документирования (в письменной форме) и соглашения со стороны сотрудников, прочитавших и подписавшихся под ними. Если не существует написанных политик безопасности, или они неформальны, то это может привести к их неправильному пониманию и невыполнению сотрудниками. Проведение политики безопасности должно требовать ознакомление и согласие в письменной форме с оными. Наличие политик безопасности не затрагивает вопрос компетентности работников, а скорее дает уверенность в том, что каждый работник знает, как защитить информацию, и согласен исполнять свое обязательство.

Проблемы часто возникают на рабочих местах между культурой поведения и политиками безопасности. Даже при большой ответственности и осознании ее сотрудники часто предпочитают удобство безопасности. Например, сотрудники знают, что должны выбирать трудно угадываемые пароли, но они также хотят, чтобы эти пароли были всегда под рукой. Каждый аудитор знает, что следует проверить, не наклеены ли бумажки с паролем на мониторе, и не прячет ли работник свой пароль под клавиатурой (почему-то многие сотрудники убеждены, что это – самое безопасное место). Также каждый аккаунт администратора должен иметь пароль; часто из-за спешки установка пароля откладывается на потом, что приводит к появлению уязвимой системы в сети.

Целью аудита безопасности является поиск слабины в политиках безопасности и рекомендации по их решению. Политика должна быть также объектом внимательного рассмотрения. Действительно ли это существующий документ, точно описывающий способы ежедневной защиты организацией ИТ ресурсов? Отражает ли политика производственные стандарты используемых ИТ ресурсов внутри организации?

Предварительный аудит.

Прежде чем аудиторы компьютерной безопасности приступят к предварительному аудиту, им следует проделать большое количество организационных работ. Они должны быть знакомы с объектом аудита. Вместе с анализом результатов раннее проведенных аудитов, аудиторам следует взять на вооружение некоторые инструменты, к которым они впоследствии обратятся. Первый – это предварительное знакомство с фирмой; техническое описание хостов системы, включающее управление и данные о пользователях. Такая информация может быть устаревшей, но, тем не менее, давать общее представление о системе. Общие сведения касательно безопасности могут быть использованы при дальнейшем знакомстве с предприятием. Эти сведения являются естественно субъективными, но они полезны, так как позволяют создать общую картину, построенную на практике. Аудиторам часто задают вопросы о средствах и методах оценки ситуации при контроле за ИТ ресурсами. К таковым относятся: средства управления, средства контроля доступа/аутентификации, безопасность на физическом уровне, внешний доступ к системе, средства и методы администрирования системы, соединение с внешними сетями, удаленный доступ, ответственность за инцидент, предварительное планирование.

Анализ фирмы и сведения о безопасности должны быть четко описаны с определенным количеством ответов на специфические требования. Они должны быть пронумерованы по возрастанию от менее (без особых требований) к более желанным (с особыми требованиями и документацией). И те, и другие должны иметь электронные коммерческие соглашения о пригодности для клиентской организации. Например, компании, выпускающие кредитные карточки имеют перечень соглашений о безопасности для своих продуктов. Эти соглашения включают в себя сетевую безопасность, безопасность операционной системы и приложений, а также защиту на физическом уровне.

Аудиторы, в основном внутренние аудиторы, должны рассмотреть предыдущие инциденты в клиентской организации, связанные с безопасностью с целью установить слабые места в организации безопасности. Также должны быть проанализированы настоящие условия во избежания повторения неприятных инцидентов. Если аудиторы проверяют систему, позволяющую выход в Интернет, им следует обратить внимание на логи IDS/Фаерволов. Отображают ли эти логи попытки воспользоваться уязвимостями системы? Может ли для этого существовать какая-то причина (например, ошибка в настройках фаервола), по которой эти попытки могут иметь место. Возможно ли это проверить?

Из-за большого объема данных, которые подлежат проверке, аудиторы захотят работать с клиентами напрямую, чтобы определить масштаб работ для аудита. Факторы, влияющие на это: бизнес план фирмы, способ защиты данных и значение/важность этих данных для организации, предыдущие инциденты, время для проведения аудита и талант/компетентность аудиторов. Профессиональные аудиторы захотят четко определить масштаб работ, соглашенный с клиентом.

Далее аудиторы разрабатывают план, согласно которому будет приводиться аудит, персонал, с которым будут работать аудиторы и инструменты аудита. Затем они обсуждают план с агентством. После этого аудиторы обсуждают цель аудита с персоналом и согласуют некоторые детали, такие как время проведения аудита, требующиеся средства и влияние аудита на повседневную работу. Далее, аудиторы должны убедиться в том, что цели аудита поняты персоналом.

Аудит

По прибытии на фирму, аудиторы не должны мешать ведению бизнеса во время проверки. Им следует провести инструктаж, в котором аудиторы снова подчеркнут масштаб своей работы и их планы. Любые вопросы, возникшие у сотрудников фирмы, должны быть разъяснены, и в конце беседы подведены итоги настоящей цели аудита.

Аудиторы должны быть строгими и беспристрастными и проводить аудит согласно стандартам и методам. Во время аудита они будут собирать данные о физической безопасности компьютеров и проводить интервью. Они могут произвести оценку уязвимости сети, безопасности операционных систем и приложений, оценку контроля за доступом и другие вычисления. Во время процесса проверки аудиторам следует придерживаться заранее определенного плана, и в то же время быть готовыми к неожиданным проблемам. Они должны действовать между сложившимися понятиями или ожиданиями того, что они должны найти и того, что есть на самом деле.

Проведение заключительного инструктажа

После окончания проверки, аудиторы проведут заключительный инструктаж, убеждаясь в том, что руководство в курсе всех проблем, которые должны быть решены немедленно. На вопросы от руководства следует отвечать в нормальной манере, чтобы не создать плохого впечатления об аудите. Следует подчеркнуть, что аудиторы не способны в данный момент дать четкие ответы на поставленные вопросы. Все окончательные выводы будут сделаны после окончательных анализов результатов аудита.

Обратно в офис

Возвратившись в офис, аудиторы начнут объединять свои записи для проверки и анализировать собранные данные с помощью оценочных инструментов. Должно состояться первое собрание, для того, чтобы подбить отчет результатов аудита. На этом собрании аудиторы могут определить области проблем и возможные решения. Аудиторский отчет может быть составлен в нескольких формах, но текст отчета должен быть простым и прямолинейным, содержащим конкретные данные о найденных проблемах вместе с решениями по устранению этих недостатков.

Аудиторский отчет может быть составлен в виде заключения, содержащим детали найденного и дополнений, таких как результаты сканирования. При написании отчета следует сначала сделать краткое описание, так как придется вскоре после возвращения дать краткий отчет руководству. Очень важно представлять, что сильные и слабые стороны безопасности должны быть описаны в кратком изложении, чтобы сбалансировать отчет. Далее аудитор может предоставить рапорт, основанный на проверке. Обнаруженные уязвимости должны быть представлены в простой и логичной форме на отдельном листе для каждой обнаруженной уязвимости. На таком листе должна быть описана проблема, ее значение и методы решения. На листе должно остаться место для подтверждения правильных путей аудита и блок для комментариев чтобы оспорить найденное.

Не заставляйте их ждать

Отчет должен быть представлен быстро и четко, чтобы заказчик мог исправить проблемы, обнаруженные при аудите. В зависимости от политик компании, аудиторы должны быть готовыми объяснить недостатки и помочь устранить их. Руководство должно вести наблюдение за недостатками, выявленными во время аудита до тех пор, пока они не будут устранены.

Аудит – это не событие, а процесс

Следует помнить, что с развитием организации, меры безопасности также должны меняться. С этой точки зрения аудит компьютерной безопасности – это не одноразовая задача, а продолжительные попытки защитить данные. Аудит исследует политику безопасности организации и проводит анализ эффективности этой политики в контексте структуры организации, ее целей и действий. Аудит должен быть построен на прошлой проверке, чтобы помочь вникнуть в политику и исправить уязвимости, обнаруженные в процессе аудита. Инструменты также являются важной частью процесса аудита, так как аудит не будет эффективным без использования последних и самых лучших инструментов поиска уязвимостей, а значимости ему прибавит использование организованной, последовательной, точной информации о данных и анализе, позволяющим нахождение и устранение ошибок.

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться