Проведение аудита информационной безопасности позволяет оценить текущее состояние системы защиты информации, а также принять необходимые меры, направленные на ее развитие и достижение критериев, на соответствие которым проводился аудит.
Основными причинами, определяющими необходимость проведения аудита информационной безопасности, для большинства организаций, являются:
- необходимость получения объективной картины: на каком уровне развития находится система обеспечения информационной безопасности, отвечает ли она потребностям бизнеса и внешним требованиям (законодательство, отраслевые, регулирующие требования, собственные требования организации и т.п.);
- отсутствие понимания, какие действия необходимо предпринимать по совершенствованию (развитию) системы защиты информации, и нужно ли их вообще предпринимать;
- неэффективность существующей системы защиты информации, что сказывается на текущей деятельности персонала (сотрудников);
- необходимость приведения существующих механизмов защиты информации в соответствие с требованиями федерального законодательства и/или требованиями полномочных органов исполнительной власти.
Результатом аудита информационной безопасности является получение Заказчиком:
- оценки текущего состояния защищенности обследуемой информационной системы;
- оценки соответствия организационных и технических мер защиты информации выбранным критериям обследования (требованиям к организации и обеспечению информационной безопасности);
- формализованного описания проблем, связанных с обеспечением информационной безопасности;
- рекомендации по вопросам совершенствования организации и обеспечения информационной безопасности.
Услуги аудита информационной безопасности предоставляемого АО «ИнфоТеКС Интернет Траст» в комплексе всех видов работ включают в себя:
- Экспертизу документов политики информационной безопасности .
- Экспертизу проектной документации на систему защиты информации .
- Анализ защищенности информационной системы .
- Тестирование на проникновение (Penetration Testing) .
- Проверку осведомленности персонала информационной системы Заказчика .
Экспертиза документов политики информационной безопасности
Экспертиза документов политики информационной безопасности включает в себя:
- экспертизу документов политики информационной безопасности Заказчика на соответствие требованиям федерального законодательства и полномочных органов исполнительной власти РФ;
- эксперизу документов политики информационной безопасности, регламентирующих требования, порядок и правила применения мер и средств защиты информации, обеспечивающих защиту от актуальных угроз безопасности (в соответствии с моделью угроз и нарушителя).
Экспертный анализ документов политики информационной безопасности позволяет оценить содержание разработанной Заказчиком документации на предмет ее соответствия определенным критериям (законодательство, стандарты, внутренние требования).
Экспертиза документов политики информационной безопасности Заказчика на соответствие требованиям федерального законодательства и полномочных органов исполнительной власти Российской Федерации
Экспертиза документов политики информационной безопасности на соответствия требованиям федерального законодательства и полномочных органов исполнительной власти в зависимости от класса (типа) информационной системы Заказчика может включать в себя:
- оценку соответствия документов политики информационной безопасности Заказчика требованиям федерального законодательства и полномочных органов исполнительной власти, предъявляемых к государственным информационным системам;
- оценку соответствия документов политики информационной безопасности Заказчика требованиям федерального законодательства и полномочных органов исполнительной власти, предъявляемых к информационным системам персональных данных.
Для проведения экспертизы специалистам АО «ИнфоТеКС Интернет Траст» необходимы:
- перечень сведений, подлежащих защите;
- результаты ранее проведенной оценки критичности информационных ресурсов объекта экспертной оценки;
- акт классификации информационной системы Заказчика в зависимости от класса (типа) информационной системы;
- организационно-распорядительные документы политики инфомационной безопасности, регламентирующие процессы обеспечения информационной безопасности на стадиях обработки, хранения, передачи и защиты информации.
В ходе проведения экспертизы специалистами АО «ИнфоТеКС Интернет Траст» проводится анализ полноты и достаточности представленных в документах Заказчика мер, обеспечивающих выполнение требований федерального законодательства и полномочных органов исполнительной власти.
Экспертиза документов политики информационной безопасности, регламентирующих требования, порядок и правила применения мер и средств защиты информации, обеспечивающих защиту от актуальных угроз безопасности
Состав и содержание эксперизы документов политики информационной безопасности, регламентирующих требования, порядок и правила применения мер и средств защиты информации, обеспечивающих защиты от актуальных угроз (в соответствии с моделью угроз и нарушителя) зависит от целей ее проведения, которые, как правило, определяет Заказчик.
Для проведения экспертизы специалистам АО «ИнфоТеКС Интернет Траст» необходимы:
- актуальная модель угроз и нарушителя;
- организационно-распорядительные документы, регламентирующие процессы управления подразделениями Заказчика;
- описания процессов обработки информации с использованием систем и средств автоматизации;
- результаты ранее проведеной оценки критичности информационных ресурсов, расположенных на объекте экспертной оценки;
- акт классификации информационной системы объекта экспертной оценки;
- организационно-распорядительные документы, регламентирующие требования к обеспечению информационной безопасности на стадиях обработки, хранения, передачи и защиты информации;
- свидетельства (результаты внутренних аудитов информационной безопасности), подтверждающие выполнение требований организационно-распорядительных документов политики информационной безопасности (в случае их наличия).
В ходе выполнения работ специалистами АО «ИнфоТеКС Интернет Траст» проводятся:
- проверка заявленного уровня критичности защищаемых информационных ресурсов;
- пнализ результатов моделирования угроз безопасности информации, позволяющий получить объективную оценку последствий проявления потенциальных угроз безопасности информации;
- оценка полноты и достаточности документов политики информационной безопасности, регламентирующих организационные и технические меры защиты информации.
Результаты проведенных специалистами АО «ИнфоТеКС Интернет Траст» экспертных оценок предоставляются Заказчику в виде Отчета о проведении экспертной оценки полноты и достаточности документов политики информационной безопасности.
Экспертиза проектной документации на систему защиты информации
Экспертиза проектной документации на систему защиты информации, проводимая АО «ИнфоТеКС Интернет Траст», является независимой и относится к категории «Негосударственная экспертиза». Как правило, данная экспертиза проводится до выполнения пусконаладочных работ, связанных с созданием или модернизацией системы защиты информации информационной системы Заказчика.
Для проведения экспертизы специалистам АО «ИнфоТеКС Интернет Траст» необходимы:
- Внутренние нормативные акты Заказчика, определяющие взгляды и ожидания руководства от внедрения системы защиты информации;
- Документы политики информационной безопасности, регламентирующие требования к защите информации;
- Акт классификации информационной системы;
- Результаты моделирования угроз безопасности информации (модель угроз и нарушителя);
- Проектная документация на автоматизированные системы, входящие в состав объекта защиты (при наличии);
- Исходные данные, используемые при проектировании системы защиты информации;
- Технический (техно-рабочий) проект на создание (модернизацию) системы защиты информации;
- Рабочая и эксплуатационная документация на подсистемы и средства защиты информации.
Основным содержанием работ, выполняемых экспертами АО «ИнфоТеКС Интернет Траст», является оценка соответствия:
- состава проектной документации требованиям российских стандартов, а также руководящих документов полномоченных органов исполнительной власти Российской Федерации в области защиты информации;
- требований к оформлению документов технического (техно-рабочего) проектав соответствии с государственными стандартами;
- технических решений, представленных в техническом (техно-рабочем) проекте, требованиям документов политики информационной безопасности.
Полученные результаты предоставляются Заказчику в виде Отчета о проведении экспертной оценки проектной документации на систему защиты информации.
Анализ защищенности информационной системы
Анализ защищенности информационной системы — это проверка адекватности реализованных механизмов защиты информации существующим угрозам и рискам.
В ходе создания, эксплуатации или модернизации информационной системы нередко возникает вопрос об анализе её защищенности от разного рода угроз. Работы по анализу защищенности инфомационной системы предполагают: обработку большого объема информации об архитектуре, анализ конфигураций сетевого и коммуникационного оборудования, применяемых средств защиты информации, особенностей использования каналов связи и т.д., особенно если информационная система представляет собой сложную многоуровневую и распределенную сетевую структуру.
Проведение анализа защищенности информационной системы предоставляет Заказчику объективную информацию, содержащую:
- актуальные и независимые данные о состоянии применяемых технических мер и средств защиты информации;
- рекомендации и варианты технических решений, способных повысить уровень безопасности информационной системы с учетом лучших мировых практик в области защиты информации.
Типовой состав работ, проводимых специалистами АО «ИнфоТеКС Интернет Траст», по анализу защищенности информационных систем включает в себя:
- Проведение инвентаризации применяемых в информационной системе средств вычислительной техники;
- Контроль соответствия конфигураций применяемых средств защиты информации, включая штатные механизмы защиты системного и прикладного программного обеспечения;
- Построение физической и логической схем сетевой инфраструктуры информационной системы;
- Определение взаимосвязей между логической (программное обеспечение) и физической (оборудование) топологией информационной системы;
- Анализ информационных потоков информационной системы;
- Анализ защищенности сетевого периметра;
- Анализ защищенности беспроводной инфраструктуры (при наличии);
- Анализ достаточности/избыточности применяемых средств и механизмов защиты информации;
- Измерения уровня загрузки системных ресурсов программно-аппаратных платформ, определяющих среду функционирования средств защиты информации;
- Измерения уровня загрузки защищенных каналов передачи данных;
- Проведение инструментальных проверок наличия уязвимостей в используемых средствах обработки, хранения и передачи информации.
По результатам выполненных специалистами АО «ИнфоТеКС Интернет Траст» работ Заказчик получает:
- отчет по результатам анализа защищенности информационной системы;
- рекомендации по оптимизации сетевой инфраструктуры с точки зрения обеспечения информационной безопасности;
- варианты технических решений по модернизации используемых информационных технологий
- проект технического задания на создание или модернизацию системы защиты информации.
Тестирование на проникновение (взлом системы защиты)
Тестирование на проникновение (Penetration Testing) — метод оценки безопасности систем или сетей средствами моделирования атак.
Тестирование на проникновение позволяет взглянуть на систему защиты информационной системы глазами хакера и попробовать ее взломать техническим путем, что позволяет выявить слабые места в системе защиты и принять превентивные меры по блокированию потенциальных угроз безопасности информации.
Проведение специалистами АО «ИнфоТеКС Интернет Траст» тестов на проникновение основывается анализе возможностей по использованию выявленных ими уязвимостей. Подобный анализ позволяет понять не только то, насколько в информационной системе правильно настроено оборудование, но и насколько персонал правильно понимает цели и задачи информационной безопасности. Кроме этого, анализ данных, полученных в ходе проведения тестирования, дает возможность установить, каким образом защищаемые информационные ресурсы могут быть атакованы в случае разглашения конфиденциальной информации об используемых в информационной системе технологиях.
Результаты проведенных специалистами АО «ИнфоТеКС Интернет Траст» тестов на проникновение предоставляют Заказчику:
- актуальную и независимую оценку текущего состоянии информационной безопасности;
- рекомендации по повышению текущего уровня защищенности информационной системы.
Типовой состав работ, проводимых специалистами АО «ИнфоТеКС Интернет Траст», по тестированию на проникновение включает в себя:
Внутренние тесты на проникновение:
- попытки получения учетных записей и паролей пользователей и администраторов информационной системы путём перехвата сетевого трафика;
- сбор информации о доступных из сегмента пользователей локальной сети ресурсах (сетевых сервисах, операционных системах и приложениях) и определение мест возможного хранения/обработки критичных данных;
- поиск уязвимостей сетевых ресурсов, способных привести к возможности осуществления несанкционированных воздействий на них;
- разработка векторов атак и методов получения несанкционированного доступа к критичным данным;
- попытки получения несанкционированного доступа к серверам, базам данных, компьютерам пользователей с использованием уязвимостей программного обеспечения, сетевого оборудования, некорректных настроек;
Внешние тесты на проникновение:
- сбор общедоступной информации об информационной системе Заказчика с помощью поисковых систем, через регистрационные базы данных (регистраторы имен и адресов, DNS, Whois и т.п.) и других публичных источников информации;
- сбор информации о доступных из сетей общего доступа ресурсах (сетевых сервисах, операционных системах и приложениях);
- определение мест возможного хранения/обработки критичных данных, доступных извне;
- сбор публично доступной информации о сотрудниках Заказчика (персонала системы) (корпоративные электронные адреса, посещение веб-сайтов, Интернет-форумов, социальные сети, личная информации о человеке);
- поиск уязвимостей в веб-приложениях публичных серверов, эксплуатация которых может привести к неавторизированному доступу к критичным данным;
- выявление уязвимостей ресурсов внешнего сетевого периметра, эксплуатация которых может привести к компрометации ресурса и/или использована для получения неавторизованного доступа к критичным данным;
- разработка векторов атак и методов проникновения.
По результатам выполненных специалистами АО «ИнфоТеКС Интернет Траст» работ Заказчик получает:
- детальный отчет об уязвимостях информационной системы;
- рекомендации по повышению текущего уровня защищенности.
Проверка осведомленности персонала
Проверка осведомленности персонала информационной системы Заказчика — это процесс определения уровня знаний и степени соблюдения полномочными сотрудниками установленных норм и правил информационной безопасности.
Проверка осведомленности позволяет оценить истинное положение дел по выполнению персоналом информационной системы требований, регламентированных документами политики информационной безопасности Заказчика.
В качестве целей проведения проверки осведомленности персонала информационной системы могут рассматриваться:
- степень осознания важности обеспечения информационной безопасности и степени ответственности за выполнение регламентированных требований;
- знание требований и правил работы с защищаемой информацией, а также знание приемов и способов обеспечения защиты информации при работе с предоставленными средствами ее обработки, хранения, передачи и защиты;
- знание положений федерального законодательства и нормативных документов в сфере информационной безопасности, в части их касающейся.
Типовой состав работ, проводимых специалистами АО «ИнфоТеКС Интернет Траст», по проверке осведомленности персонала информационной системы включает в себя:
- Анализ организационно-распорядительных документов подитики информационной безопасности Заказчика;
- Формирование перечня требований, знание которых необходимо проверить;
- Формирование перечня подразделений (сотрудников), входящих в область проверки;
- Разработка методики проведения проверки;
- Проведение проверки в соответствии с разработанной методикой;
- Разработка отчета по результатам проверки.
В результате выполнения работ АО «ИнфоТеКС Интернет Траст» предоставляет детализированный отчет, отражающий текущий уровень осведомленности персонала Заказчика по вопросам информационной безопасности.