Аудит информационной безопасности

Размещено на http://www.allbest.ru/

Содержание

Введение

1. Постановка задачи

2. Сбор исходных данных

3. Анализ полученных данных

4. Разработка рекомендаций по повышению уровня защиты информационной системы

5. Отчет по итогам аудита

Заключение

Перечень используемой литературы и Интернет-источников

Введение

Аудит информационной безопасности - системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности.

Работы по аудиту безопасности ИС включают в себя ряд последовательных этапов, которые в целом соответствуют этапам проведения комплексного ИТ-аудита автоматизированной системы, включающего в себя:

· инициирование процедуры аудита;

· сбор информации по аудиту;

· анализ данных аудита;

· выработку рекомендаций;

· подготовку аудиторского отчета.

1. Постановка задачи

Понятие "информационная безопасность", в зависимости от его применения, может быть рассмотрено с нескольких сторон.

В общем понятии информационная безопасность - это состояние защищенности информации. Информационная безопасность создает условия формирования безопасного состояния информационной среды общества, его использование и развитие в интересах граждан, предприятий и даже государства.

Более развернутое определение информационной безопасности - это состояние защищенности потребностей в информации граждан, общества и государства, при котором поддерживается их существование и динамичное развитие независимо от присутствия внутренних и внешних угроз для информации.

Информационная безопасность может быть определена способностью индивида, общества, предприятия:

· использовать с конкретной вероятностью необходимые и надежные информационные ресурсы и информационные потоки для обеспечения своей работоспособности, стабильного функционирования и прогресса в развитии;

· противодействовать информационным угрозам и рискам, отрицательным информационным влияние на индивидуальное и общественное мнение, на компьютерные системы и сети, а также другие источники информации;

· сформировать навыки безопасного поведения;

· обеспечивать непрерывную готовность к различным мерам в информационном противостоянии.

Виды аудита информационной безопасности

Можно выделить следующие основные виды аудита информационной безопасности.

Инструментальный анализ защищенности автоматизированной системы. Данный вид аудита направлен на выявление и устранение уязвимостей программного и аппаратного обеспечения системы.

Инструментальный анализ заключается в проведении специалистами по информационной безопасности атак на исследуемую автоматизированную систему. При этом могут применяться любые программные и аппаратные средства, доступные злоумышленникам. Основное назначение инструментального анализа - периодические проверки с целью выявления новых уязвимостей. Кроме того, данный вид аудита может применяться при обнаружении факта утечки информации ограниченного доступа с целью недопущения повторных утечек.

В общем случае инструментальный анализ состоит из двух частей:

1) исследование защищенности автоматизированной системы от удаленных атак - сканируются доступные хосты из сети заказчика, проводятся сетевые атаки с целью получения несанкционированного доступа к защищаемой информации или административным ресурсам.

2) выявление угроз информационной безопасности, исходящих от сотрудников компании или проникших в офис злоумышленников - проводится анализ способов аутентификации сотрудников компании, механизмов разделения прав доступа, определяется защищенность информации при передаче по локальной сети.

В ходе проведения инструментального анализа в основном выявляются уязвимости, связанные с устаревшими версиями программных продуктов и некорректной их настройкой, хотя и могут быть выявлены существенные недочеты в корпоративной политике безопасности.

Экспертный аудит защищенности автоматизированной системы. В процессе проведения данного вида аудита должны быть выявлены недостатки в системе защиты информации на основе имеющегося опыта экспертов, участвующих в процедуре обследования.

Экспертный аудит заключается в подробном исследовании системы защиты автоматизированной системы заказчика и в ее сравнении с некоторой идеальной моделью обеспечения информационной безопасности. Причем идеальная модель в каждом конкретном случае может меняться в зависимости от требований заказчика и собственного опыта компании-аудитора.

Результатом экспертного исследования является подготовка и предоставление клиентам отчета, в котором содержится информация о найденных уязвимостях системе защиты и недочетах в пакете организационно-распорядительных документов, а также предложения по их устранению. Кроме того, эксперты могут дать рекомендации по выбору и применению систем защиты информации и других дополнительных специальных технических средств.

Каждый из вышеперечисленных видов аудита может проводиться отдельно или в комплексе в зависимости от тех задач, которые необходимо решить в организации. В качестве объекта аудита может выступать как автоматизированная система компании в целом, так и её отдельные сегменты, в которых проводится обработка информации ограниченного доступа.

Информационная безопасность предприятия.

Для каждого современного предприятия, компании или организации одной из самых главных задач является именно обеспечение информационной безопасности. Когда предприятие стабильно защищает свою информационную систему, оно создает надежную и безопасную среду для своей деятельности. Повреждение, утечка, неимение и кража информации - это всегда убытки для каждой компании. Например, могут появиться убытки от плохой репутации компании, от отсутствия клиентов, от затрат на возобновление стабильной работы или от потери важной информации, которой располагала данная компания.

На данный момент сформулировано три базовых задачи, которые должна обеспечивать информационная безопасность:

· Целостность данных - защита от сбоев, ведущих к потере информации, а также защита от незаконного создания или уничтожения данных. Примером нарушения целостности данных является повреждение бухгалтерских баз, в дальнейшем это повлечет за собой последствия, которые определенно станут негативными для компании.

· Конфиденциальность информации - незаконное разглашение, утечка, повреждение информации;

· Доступность информации для всех пользователей - отказ в обслуживании или услугах, которые могут быть вызваны вирусной активностью или действиями злоумышленников.

Нарушение одного из этих аспектов может привести к невозможности нормальной работы предприятия. На наличие любого из нарушений могут повлиять и внутренние, и внешние угрозы. Учитывая сегодняшнее развитие информационного общества, можно сделать вывод о тенденции к росту количества угроз безопасности.

Полноценная информационная безопасность компаний предполагает постоянный контроль всех существенных событий и состояний, которые влияют на надежность защиты информации. Причем, защита обязана осуществляться постоянно и охватывать весь жизненный цикл данных, то есть от ее поступления или создания до уничтожения или утраты важности и актуальности.

Информационная защита предприятия определяется целым сочетанием предпринимаемых мер, которые направлены на безопасность важной информации. Эти меры можно разделить на две группы:

· организационные меры;

· технические меры.

Организационные меры заключаются в формальных процедурах и правилах работы с важной информацией, информационными сервисами и средствами защиты. Технические меры включают в себя использование программных средств контроля доступа, мониторинг утечек и краж информации, антивирусную защиту, защиту от электромагнитных излучений и т. д.

Задачи систем информационной безопасности компании многогранны. К примеру, это обеспечение надежного хранения данных на различных носителях; защита информации, передаваемой по каналам связи; ограничение доступа к некоторым данным; создание резервных копий и другое.

Нашей задачей является процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании, имея результаты первичного опроса (обследования).

2. Сбор исходных данных

После первичного обследования было выяснено - что наше обследование будет проводиться в организации, которая занимается продажей канцтоваров. Данная организация имеет 5 киосков, в каждом из который, имеется 1ПК и 1ККМ. Конфигурация ПК - офисная, Windows 7, IE, Google Chrome, MS Office 2010, Adobe Reader. Бухгалтерское ПО - БЭСТ-ОФИС. В каждом киоске - сейф, шкаф, тревожная сигнализация. Данные о сборах, анализах и учете информации поступают по электронной почте на ПК директора. ПК директора находится у него дома.

Для проведения дальнейших работ по аудиту информационной безопасности информации недостаточно. Недостающие данные получены при интервьюировании заказчика аудита. Результаты сведены в таблицу в форме "Вопрос-Ответ".

Таблица 2.1. Вопросы к заказчику и ответы на них

А так же: Доступ к шкафам и сейфам имеет только руководитель. Все обновления происходят автоматически как программ, так и Windows, при возникновении проблем с техникой прибегают к IT-аутсорсингу.

На основе сведений полученных после первичного обследования можно составить карту сети.

информационный экспертный аудит автоматизированный

Рис 2.1 Карта сети организации

3. Анализ полученных данных

В процессе анализа определяются риски информационной безопасности, которым может быть подвержена компания. Фактически риск представляет собой интегральную оценку того, насколько эффективно существующие средства защиты способны противостоять атакам с использованием информационных технологий.

Методики проведения аудита ИБ рекомендуют анализ вероятности вышеперечисленных угроз и оценивание их последствий для организации. Результаты сведены в таблицу "Оценка рисков".

Таблица 3.1 Оценка рисков

4. Разработка рекомендаций по повышению уровня защиты информационной системы

1. В организации установлен антивирус Comodo Is. На основании независимой экспертизы и тестирования антивирус Kaspersky Total Security показывает в целом лучшие результаты в распознавании новых вирусов, а так же по ряду других параметров.

2. В ходе анализа было выяснено, что средств защиты информационных активов от НСД недостаточно, поэтому следует настроить систему аутентификации для сотрудников. Сотрудник должен пройти процедуры аутентификации для начала пользования своим ПК.

Чтобы исключить возможности доступа к ПК учреждения посторонних, необходимо присвоить каждому сотруднику личный логин и пароль для входа в систему, а так же настроить время автоматического перехода компьютера в режим сна.

Этот параметр рекомендуется установить на 25 мин, после исхода этого времени, сотрудник вновь обязан ввести свой личный логин и пароль. Этот пароль рекомендуется менять раз в 3 месяца.

Хорошо составленный пароль должен содержать различные символы, это должно быть сочетание букв, цифр и специальных символов ("*", "?", "\" и т.д.). Надежность пароля также может быть увеличена одновременным использованием строчных и прописных букв. Примеры хороших паролей: "oCM!Ui*p9h7@@77Cd7$&" или "n%h3^h!DM4kH6cy". Использование таких паролей делает ручную работу с ними менее удобной, однако их надежность очень высока.

3. Анализ также показал, что существует риск проникновения вредоносного ПО (в т.ч. еще не внесенного в базы сигнатур) в сеть организации, поэтому рекомендуется настроить групповую политику так, чтобы сотрудники не могли скачивать и устанавливать программы и другие файлы с потенциально опасным содержимым.

4. Необходимо что бы на территории организации имелся внутренний документ, содержащий инструкции для сотрудников, для соблюдения элементарных норм безопасности.

5. Для обеспечения непрерывной работы оборудования необходимо использовать источник бесперебойного питания типа On-line.

5. Отчет по итогам аудита

Проведен аудит в организации, занимающейся продажей канцтоваров. Основной задачей было определение основных риски ИБ для имеющихся инф активов и составление рекомендаций по минимизации этих рисков.

Использована методика экспертного аудита; в процессе проведения данного вида аудита должны быть выявлены недостатки в системе защиты информации на основе имеющегося опыта экспертов, участвующих в процедуре обследования.

В ходе аудита проанализированы риски, составлена таблица рисков, а так же сформулированы рекомендации по снижению вероятности проявления связанных с ними угроз.

После проведенного обследования установлено, что самым большим риском для аудируемой организации является заражение вредоносным ПО.

Следование рекомендациям по итогам аудита должно существенно повысить уровень информационной безопасности организации: уменьшить имеющиеся риски и, следовательно, снизить вероятность проявления угроз ИБ.

Заключение

Аудит информационной безопасности является сегодня одним из наиболее эффективных инструментов для получения независимой и объективной оценки текущего уровня защищённости предприятия от угроз информационной безопасности. Кроме того, результаты аудита используются для формирования стратегии развития системы защиты информации в организации. Необходимо помнить, что аудит безопасности не является однократной процедурой, а должен проводиться на регулярной основе. Только в этом случае аудит будет приносить реальную пользу, и способствовать повышению уровня информационной безопасности компании.

В процессе выполнения данного задания вывялены и проанализированы риски, а так же даны рекомендации по минимизации этих рисков. Это было сделано на примере конкретной организации: частной клинике

Перечень используемой литературы и Интернет-источников

1. Александр Астахов. Искусство управления информационными рисками. ДМК Пресс, GlobalTrust, 2009. 312 с. (Книга выложена в свободном доступе http://анализ-риска. рф/content/soderzhanie)

2. Аудит информационной безопасности (Под общей редакцией А.П. Курило) БДЦ-пресс. 2006.

3. Менеджмент в сфере информационной безопасности (Интернет-курсы Интуит)

4. Аудит информационной безопасности (МФПА) http://www.ipcpscience.ru/data/files/4/1_42.pdf

5. Аудит информационной безопасности http://www.sovit.net/articles/methodics/information_security_audit1/

6. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. Утверждено решением Председателя Гостехкомиссии России от 30 марта 1992 г.

7 Руководящий документ. Безопасность информационных технологий. Положение по разработке профилей защиты и заданий по безопасности Гостехкомиссия России, 2003 г.

8 Федеральный закон РФ №152 "О защите персональных данных"

Размещено на Allbest.ru