Сучасні інформаційні технології /4. Інформаційна безпека.
Лукаш В.А., доцент Гулак Н.К.
Національний авіаційний
університет, Україна
Аудит безпеки окремих об'єктів ІТ-інфраструктури
Послуга призначається для експертної оцінки ступеня захищеності окремих елементів технологічної інфраструктури організації. На відміну від комплексного аудиту організації, аудиту піддаються тільки окремі сервера або програми. За результатами обстеження створюється звіт, що включає оцінку ступеня захищеності досліджуваного об'єкта з докладним описом виявлених вразливостей і проломів у системі безпеки, а також рекомендаціями щодо вдосконалення захисту. Коли необхідно вдаватися до такої послуги? Зазвичай до послуг аудиту технологічної інфраструктури вдаються , коли потрібно перевірити ступінь захищеності особливо важливих для бізнесу додатків. У таких випадках проводять комплексний аудит всіх об'єктів технологічної інфраструктури , які безпосередньо впливають на безпеку цього додатка
Аудит безпеки окремих елементів технологічної інфраструктури компанії проводять , для вирішення наступних завдань:
- збільшення ступеня захищеності критичних для бізнесу компанії додатків до прийнятного рівня ;
- підтвердження надійності захисту інформаційного середовища компанії ;
- отримання цінних експертних рекомендацій для забезпечення безпеки ІТ -інфраструктури.
Аудит безпеки можна проводити як силами штатного персоналу (внутрішній аудит) , так і залучаючи незалежних фахівців (зовнішній аудит). Цінність зовнішнього аудиту для потенційних клієнтів полягає в наступному:
- Аудит являє собою незалежне дослідження , що підвищує ступінь об'єктивності результатів .
- Експерти , які проводять аудит , мають більш високу кваліфікацію і більший досвід подібної роботи, ніж штатні співробітники організації .
- Дешевше доручити виконання робіт з аудиту спеціалізованій організації , ніж організовувати їх самостійно.
Опис послуги
Проведення аудиту безпеки корпоративної інформаційної системи замовника здійснюється в чотири етапи:
1.Постановка завдання і уточнення меж робіт.
2.Збір та аналіз інформації.
3.Проведення аналізу ризиків.
4.Розробка рекомендацій та підготовка звіту.
Постановка завдання і уточнення меж робіт
На даному етапі проводяться організаційні заходи з підготовки проведення аудиту:
Визначається об'єкт інформаційної інфраструктури , що підлягає аудиту .
Уточнюються цілі і завдання аудиту
Готується і узгоджується технічне завдання (ТЗ) на проведення аудиту
Іноді для проведення аудиту необхідний доступ до інформації , яку замовник вважає конфіденційною. У цьому випадку паралельно з ТЗ розробляється угода про конфіденційність і організовується взаємодія зі службою безпеки замовника.
Збір та аналіз інформації
На даному етапі проводиться обстеження заданого об'єкта аудиту . Роботи етапу включають :
Інтерв'ювання персоналу з метою отримання вихідної інформації про об'єкт аудиту та визначення рівня обізнаності співробітників в частині вимог щодо забезпечення інформаційної безпеки;
Збір і аналіз конфігураційної інформації;
Систематизація та аналіз даних про взаємозв'язки об'єкта аудиту з іншими елементами ІТ-інфраструктури ;
Збір даних про наявність вразливостей за допомогою спеціальних засобів аналізу захищеності.
Зібрані в результаті обстеження дані є основою для наступних етапів аудиту: аналізу ризиків та розробки рекомендацій .
Проведення аналізу ризиків
Проведення даного етапу є важливою стадією при аудиті інформаційної безпеки. У процесі аналізу ризиків проводиться оцінка критичності ідентифікованих вразливих місць та можливості їх використання потенційним зловмисником для здійснення несанкціонованих дій.
При аналізі ризиків здійснюється :
аналіз вразливостей ;
складання моделі потенційного зловмисника ;
оцінка ризиків порушення інформаційної безпеки.
Розробка рекомендацій та підготовка звіту
На підставі інформації , отриманої в ході обстеження заданого об'єкта аудиту і результатів аналізу ризиків , розробляються рекомендації щодо вдосконалення захисту об'єкта , застосування яких дозволить мінімізувати ризики, з додатком списку конкретних вразливостей.
По завершенні аудиту підготовляється підсумковий звіт, що містить оцінку поточного рівня безпеки заданого об'єкта аудиту , інформацію про виявлені проблеми , аналіз відповідних ризиків і рекомендації щодо їх усунення.
Результат
Результатом аудиту безпеки зовнішнього периметра корпоративної мережі є аудиторський звіт . Загальна структура звіту :
Оцінка поточного рівня захищеності об'єкта аудиту;
Аналіз конфігураційної інформації , знайдені вразливості ;
Аналіз ризиків ;
Рекомендації щодо усунення знайдених вразливостей.
Література:
1.Конфідент «Аудит информационной безопасности», № 4, 2003