АНАЛИЗ СТАНДАРТОВ АУДИТА БЕЗОПАСНОСТИ КОРПОРАТИВНЫХ ИНФОРМАЦИОННЫХ СИСТЕМ

Малявка О.В., Губенко Н.Е.
Донецкий национальный технический университет

Источник: Інформатика та комп'ютерні технології - 2007 / Матеріали IV науково-технічної конференції молодих учених та студентів. - Донецьк, ДонНТУ - 2008, с. 77-78.

Современные корпоративные сети имеют сложную структуру. Увеличение количества используемых системно-технических платформ и большого набора сетевых сервисов приводит к расширению списка уязвимостей и повышает требования к средствам защиты. Использование стандартных средств защиты, таких как межсетевые экраны, виртуальные частные сети, средства защиты от несанкционированного доступа является необходимым, но уже не достаточным условием построения надежной и эффективной системы информационной безопасности.

Аудит позволяет всесторонне исследовать информационную систему организации, оценить текущий уровень информационной безопасности, выявить уязвимые места в системе защиты, создать модели возможных угроз информационные системы, проверить правильность подбора и настройки средств защиты. В процессе проведения аудита выявляются технологические потоки как электронной, так и бумажной информации, топология сети, незащищенные или неправильные сетевые соединения, производится анализ настроек межсетевых экранов и других средств защиты. Результатом проведения аудита является ряд организационных документов, которые в дальнейшем могут явиться основой для построения надежной и эффективной системы защиты [1].

Аудит информационной безопасности - это системный процесс получения объективных качественных и количественных оценок текущего состояния корпоративной информационной системы в соответствии с определенными критериями информационной безопасности.

Основная задача аудита - объективно оценить текущее состояние информационной безопасности компании, а также ее адекватность поставленным целям и задачам бизнеса по увеличению эффективности и рентабельности экономической деятельности компании.

Результаты аудита позволяют построить оптимальную по эффективности и затратам систему защиты корпоративной информации, адекватную текущим задачам и целям бизнеса.

Возможные методики аудита безопасности компьютерных информационных систем.

• Новое поколение стандартов информационной безопасности
• Стандарты ISO/IEC 17799:2000 (BS 7799-1:2000) и BS 7799-2:2000
• Стандарт COBIT 3rd Edition
• Стандарт ISO/IEC 15408

Они являются наиболее современными стандартами в области информационной безопасности и оказывают влияние на методику проведения аудита безопасности. В соответствие с рассмотренными стандартами, обеспечение информационной безопасности в любой компании предполагает следующее.

Во-первых, определение целей обеспечения информационной безопасности компьютерных систем.

Во-вторых, создание эффективной системы управления информационной безопасностью.

В-третьих, расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия информационной безопасности заявленным целям.

В-четвертых, применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния.

В пятых, использование методик проведения аудита информационной безопасности (с обоснованной системой метрик и мер), позволяющих объективно оценить текущее состояние дел.

Аудит безопасности внешнего периметра корпоративной сети

Аудит безопасности внешнего периметра корпоративной сети позволяет получить оценку уровня защищенности информационной инфраструктуры организации от атак со стороны сети Интернет [1]. Такая оценка производится как методом эмуляции действий потенциального злоумышленника по осуществлению удаленных атак, так и путем анализа конфигурации оборудования составляющего периметр корпоративной сети.

Аудит безопасности сети целесообразно проводить в случаях:

• Когда у руководства нет уверенности, что корпоративная сеть защищена от проникновения извне. Проведение независимого аудита дает точные сведения о защищенности сети;
• При смене технического персонала, эксплуатировавшего сетевую инфраструктуру , чтобы убедиться в отсутствии оставленных лазеек. Проведение аудита даст уверенность в полной подконтрольности сети;
• Если есть подозрения, либо уверенность в фактах несанкционированного проникновения в сеть. Аудит позволит локализовать имеющиеся проблемы и получить четкие рекомендации по обеспечению безопасности сети;
• Если запросы бизнеса превосходят возможности средств обеспечения безопасности. Результаты аудита позволят максимально использовать возможности имеющихся средств обеспечения безопасности и содержат рекомендации по оптимальному обновлению этих средств в случае необходимости.

Аудит безопасности периметра корпоративной сети проводят, решая следующие задачи:

• Повышение уровня защищенности корпоративной сети до приемлемого;
• Подтверждение того, что используемые средства контроля соответствуют задачам организации и позволяют обеспечить эффективную защиту корпоративной сети;
• Получения максимальной отдачи от инвестиций, вкладываемых в защиту периметра корпоративной сети.

Цена проведения аудита определяется в зависимости от количества проверяемых устройств и например, для 10 компьютеров, 1 сервера, 1 факса, 1 мини-АТС и 1 свича будет стоить около 2000 тыс. грн.

Техническая экспертиза продуктов и решений по обеспечению информационной безопасности

Вопрос выбора оптимальных решений по защите информации, учитывающих особенности конкретной организации, является актуальным для любого заказчика. Цель данной услуги – оптимизация и планирование затрат на обеспечение информационной безопасности [2].

Если у заказчика уже используются решения по обеспечению безопасности, то проводится обследование этих средств, чтобы определить соответствуют ли эти решения задачам, и насколько эффективно они используются.

Если у заказчика таких решений нет, то наши эксперты готовы оказать квалифицированную помощь в выборе этих средств и дать рекомендации по внедрению выбранных продуктов и решений.

Консультационные услуги касаются не только непосредственно средств обеспечения безопасности, но всего спектра решений, обеспечивающих безопасную и непрерывную работу информационные технологии -инфрастуктуры предприятия:

• Средства обеспечения сетевой безопасности: межсетевые экраны и прокси-серверы, средства организации VLAN, средства организации защищенного межсетевого взаимодействия (Site-to-Site VPN), средства организации защищенного удаленного доступа к корпоративным ресурсам (Remote Access VPN) и т.д.;
• Средства антивирусной защиты рабочих станций, серверов и электронной почты;
• Средства шифрования данных;
• Средства обеспечения резервного копирования данных и программного обеспечения;
• Средства бесперебойного питания оборудования;
• Средства климатического контроля серверных помещений.

Заключение.

Изучив стандарты можно сделать вывод, что после проведении аудита состояние информационной безопасности сравнивается с неким абстрактным описанием, приводимым в стандартах.

Официальный отчет, подготовленный в результате проведения данного вида аудита, включает следующую информацию:

• степень соответствия проверяемой информационной системы выбранным стандартам;
• степень соответствия собственным внутренним требованиям компании в области информационной безопасности;
• количество и категории полученных несоответствий и замечаний;
• рекомендации по построению или модификации системы обеспечения информационной безопасности, позволяющие привести ее в соответствие с рассматриваемым стандартом;
• подробная ссылка на основные документы заказчика, включая политику безопасности, описания процедур обеспечения информационной безопасности, дополнительные обязательные и необязательные стандарты и нормы, применяемые к данной компании.

Литература

1. Курило А. П. Аудит информационной безопасности. - БДЦ-пресс. 2006. - 304 с.
2. Деднев М.А, Дыльнов Д.В. Защита информации в банковском деле и электронном бизнесе. – М.: КУДИЦ-ОБРАЗ, 2004. - 512с.