ПОРЯДОК ПРОВЕДЕННЯ АУДИТУ ЗАХИЩЕНИХ ІНФОРМАЦІЙНО-КОМУНІКАЦІЙНИХ СИСТЕМ ТА МЕРЕЖ

К.т.н. Чунарьова А.В., Чунарьов А.В.

Національний авіаційний університет (НАУ), Україна

ПОРЯДОК ПРОВЕДЕННЯ АУДИТУ ЗАХИЩЕНИХ
ІНФОРМАЦІЙНО-КОМУНІКАЦІЙНИХ СИСТЕМ ТА МЕРЕЖ

Актуальність. На даний час взаємодія відкритих корпоративних мереж, спільне використання інформаційних ресурсів та інформаційного простору збільшує труднощі управління доступом і безпеки інформаційно-комунікаційних систем та мереж (ІКСМ). Розгалужені інформаційні мережі, що мають велику кількість зовнішніх зв'язків, створюють достатній потенціал для несанкціонованого доступу до інформаційних ресурсів мережі. Інформація, яка циркулює в ІКСМ виступає важливим діловим активом, з точки зору матеріальної цінності. Тому, для зменшення загроз взаємодії відкритих ІКСМ необхідно приділяти все більш уваги аналізу уразливостей та приділяти більше уваги проведені аудиту корпоративних мереж.

Метою даної роботи являється проведення детального опису порядку проведення аудиту сучасних інформаційно-комунікаційних систем та мереж.

З метою виявлення уразливостей на підприємстві, де є розгалужені корпоративні мережі потрібно проводити аудит стану інформаційної мережі. Під поняттям аудиту інформаційної безпеки будемо розуміти системний процес отримання об'єктивних оцінок поточного стану інформаційної безпеки організації відповідно до визначених критеріїв забезпечення інформаційної безпеки. Проведення аудиту включає комплексне обстеження різних середовищ функціонування інформаційно-комунікаційних систем та мереж, проведення тестування на уразливості, аналіз і оцінку захищеності, формування звіту та розробку відповідних рекомендацій.

Основною метою аудиту інформаційної безпеки корпоративної мережі є оцінка поточного стану інформаційної безпеки установи чи підприємства, а також підготовка вихідних даних для формування вимог до комплексної системи захисту інформації ІКСМ.

Відповідні вимоги і рекомендації з проведення аудиту (обстеження) інформаційної безпеки відображені у міжнародних, державних стандартах, нормативно-правових базі Україні в сфері захисту інформації:

ISO / IEC: 17799 «Інформаційні технології. Управління інформаційною безпекою »;

ISO / IEC 27001:2005 «Інформаційні технології. Методи забезпечення безпеки. Системи управління інформаційною безпекою. Вимоги »;

ДСТУ 3396.1-96 "Захист інформації. Технічний захист інформації. Порядок проведення робіт »,

НД ТЗІ 3.7-003-05 «Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі».

НД ТЗІ 2.5-004-99 «Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу».

Далі опишемо основні етапи проведення аудиту ІКСМ.

1 етап. Підготовка до проведення аудиту (обстеження) ІКСМ:

· формування вимог до проведення аудиту;

· створення спільної комісії з аудиту.

2 етап. Комплексне обстеження ІКСМ:

· обстеження обчислювальної системи інформаційної мережі;

· обстеження фізичного середовища інформаційної мережі;

· тестування на уразливості інформаційної мережі;

· обстеження інформаційного середовища;

· обстеження середовища користувачів.

3 етап. Аналіз захищеності ІКСМ:

· аналіз і систематизація отриманих результатів обстеження;

· ідентифікація отриманих уразливостей;

· оцінка рівня захищеності інформаційної мережі.

4 етап. Створення звіту та розробка відповідних рекомендацій, щодо підвищення захищеності ІКСМ

Обстеження обчислювальної системи інформаційної мережі проводиться з ціллю перевірки наявності документації на ІКСМ та наявності розпорядчих документів на неї.

Також проводиться збір відомостей про загальну структурну схему ІКСМ, її компоненти - склад устаткування, технічні і програмні засоби, їх зв'язки, особливості конфігурації, архітектури та топології, програмні і програмно-апаратні засоби захисту інформації, взаємне розміщення коштів. Збір відомостей інформації про види каналів зв'язку, їх характеристики. Збір відомостей про їх компонентів ІКСМ.

Обстеження інформаційного середовища проводиться з ціллю збору відомостей про технологію обробки інформації в корпоративній мережі. Також відбувається збір відомостей про інформаційні потоки; про основні вимог до захисту інформації в ІКСМ; про режим доступу до інформаційних ресурсів ІКСМ; про інформаційні носії та правила роботи з ними.

Обстеження фізичного середовища інформаційної мережі проводиться з ціллю перевірки наявності документації на компоненти фізичного середовища ІКСМ та її попередній аналіз. Збір відомостей про територіальне розміщення компонентів інформаційної мережі. Збір відомостей про наявність території, що охороняється і пропускного режиму на об'єкті. Збір відомостей про наявність на об'єкті чи категорійних приміщень. Збір відомостей про режим доступу до компонентів фізичного середовища ІКСМ. Збір відомостей про наявність в приміщеннях, де функціонує захищена ІКСМ, елементів комунікацій, систем життєзабезпечення та зв'язку, які мають вихід за межі контрольованої території. Збір відомостей про наявність системи заземлення обладнання ІКСМ та її технічних характеристик. Збір відомостей про умови зберігання магнітних, оптико-магнітних, паперових та інших носіїв інформації.

Обстеження середовища користувачів проводиться з ціллю перевірки наявності документів, що регламентують діяльність персоналу організації із забезпечення безпеки інформації в ІКСМ та їх попередній аналіз. аналіз функціонального і кількісного складу користувачів і їх обов'язків; аналіз функцій та повноважень підрозділу захисту інформації; аналіз категорій користувачів за рівнем повноважень.

Тестування на уразливості проводиться з ціллю сканування всіх компонентів ІКСМ на уразливості як зсередини, так і зовні.

Висновок.

Таким чином проведення аудиту інформаційної безпеки підприємства – це непросто «інвентаризація» ІКСМ, а ретельна та всебічна робота з дослідження корпоративної мережі, яка дає найбільш повну картину стану захищеності і дозволяє сформувати вимоги до комплексної системи захисту інформації в інформаційної мережі організації.

Проведення кваліфікованого аудиту інформаційної безпеки та виконання комплексу заходів із захисту інформаційних ресурсів за рекомендаціями, виробленим в результаті такого аудиту, дає впевненість в захищеності ІКСМ на певний період часу.

Література

1. Гайкович В.Ю., Ершов Д.В. Основы безопасности информационных технологий: Учеб. пособие. – М.: МИФИ, 1995. – 252 с.

2. Галатенко В.С. Стандарты информационной безопасности. – М.: НИИСИ РАН, 2006. – 262 с.

3. Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. – М.: Горячая линия – Телеком, 2000. – 452 с.

4. Петров В.А., Пискарев А.С., Шеин А.В. Информационная безопасность. Защита информации от несанкционированного доступа в автоматизированных системах: Учеб. пособие. – М.: МИФИ, 2005. – 396с.

5. Конев И.Р., Беляев А.В. Информационная безопасность предприятий. - С.Пб: БХВ-Петербург, 2003 - 752 с.