Аудит на відповідність стандартам ІБ

У ряді випадків проводиться аудит на відповідність стандартам ІБ Спе-ціально уповноважені організації-аудитори за результатами аудиту при-нітрохи рішення і видають документальне підтвердження про відповідність СОІБ тому чи іншому еталонному стандарту (проводять сертифікацію) Сер-тіфікаціі є показником якості СОІБ і піднімає престиж і уро-вень довіри до організації

Аудит на відповідність стандартам найчастіше має на увазі проведе-

ня активного та експертного аудиту За результатами можуть бути підготовлені-

ни звіти, що містять таку інформацію:

– Ступінь відповідності перевіреній ІС обраним стандартам

– Кількість і категорії отриманих невідповідностей і зауважень

– Рекомендації з побудови або модифікації СОІБ, що дозволяють привести її у відповідність до вимог розглянутого стандарту

82 Методика проведення інструментальних перевірок

Інструментальні перевірки (ІП) виконуються в процесі активного аудиту ІБ Як вже було зазначено, IP складаються з набору заздалегідь узгоджений-них тестів, спрямованих на отримання характеристик про рівень захищений-ності обраних ПІБ Для проведення інструментальних перевірок може бути запропонована наступна методика, що припускає тестування віз-можности несанкціонованого доступу (НСД) до інформації, обрабат-ваемой або зберігається в АІС, як зсередини організації, так і з зовнішніх мереж Методика включає три етапи: аналіз структури АІС, внутрішній ау-дит, зовнішній аудит

На етапі аналізу структури АІС з позицій ІБ проводиться аналіз та інвентаризація інформаційних ресурсів та СВТ: формується перелік за-

щіщают відомостей описуються інформаційні потоки, структура і со-

ставши АІС проводиться категорірованіе ресурсів, що підлягають захисту

На другому етапі здійснюється внутрішній аудит АІС, що включає аналіз налаштувань АІС з погляду ІБ На даному етапі з урахуванням відомих вад ОС і спеціалізованих СЗІ здійснюється аналіз захищено- сти від небезпечних внутрішніх впливів Досліджується можливість несанк-ціонірованних дій легальних користувачів компютерної мережі, кото-які можуть привести до модифікації, копіюванню або руйнування конфі-денціальних даних Аналіз здійснюється шляхом детального вивчення на-будівництв безпеки засобів захисту з використанням як общеупотребимих (у тому числі входять в арсенал хакерів), так і спеціально розроблених автоматизованих засобів дослідження уразливості АІС Аналізуються наступні компоненти АІС:

– Засоби захисту ПК – можливість відключення програмно-апаратних систем захисту при фізичному доступі до вимкненим станці-ям використання і надійність вбудованих засобів пральний захисту BIOS

– Стан антивірусного захисту – наявність в АІС шкідливих про-

грам, можливість їх впровадження через машинні носії, мережу Інтернет

– ОС – наявність необхідних налаштувань безпеки

Парольний захист в ОС – можливість отримання файлів з зашифруйте-ванними паролями та їх подальшого дешифрування можливість підключити-чення з порожніми паролями, підбору паролів, в тому числі по мережі

– Система розмежування доступу користувачів АІС до ресурсів – фор-мування матриці доступу аналіз дублювання і надмірності в предос тавленія прав доступу визначення найбільш обізнаних користувачів

і рівнів захищеності конкретних ресурсів оптимальність формування робочих груп

– Мережева інфраструктура – можливість підключення до мережного обору-

нання для отримання захищається інформації шляхом перехоплення та аналізу мережевого трафіку налаштування мережевих протоколів і служб

– Аудит подій безпеки – налагодження та реалізація політики аудиту

– Прикладне ПЗ – надійність елементів захисту використовуваних АРМ можливі канали витоку інформації аналіз версій використовуваного про-грамного забезпечення на наявність уразливих місць

– СЗІ: надійність і функціональність використовуваних СЗІ наявність уяз-

вімих місць в захисті настройка СЗІ

На третьому етапі здійснюється зовнішній аудит АІС, що оцінює стан захищеності інформаційних ресурсів організації від НСД,

здійснюваного із зовнішніх мереж, у тому числі з Інтернет Послідовник-

але аналізуються наступні можливості проникнення ззовні:

– Отримання даних про внутрішню структуру АІС – наявність на web-

серверах інформації конфіденційного характеру виявлення налаштувань DNS-і поштового серверів, що дозволяють отримати інформацію про внутріш-ній структурі АІС

– Виявлення компютерів, підключених до мережі і досяжних з Інтер-нет – сканування по протоколах ICMP, TCP, UDP визначення ступеня доступності інформації про використаний в АІС ПЗ і його версіях виявлено-

ня активних мережевих служб визначення типу і версії ОС, мережевих прило-

жений і служб

– Отримання інформації про облікові записи, зареєстрованих в АІС

із застосуванням утиліт, специфічних для конкретної ОС

– Підключення до доступним мережевих ресурсів – визначення наявності доступних мережевих ресурсів і можливості підключення до них

– Використання відомих вразливостей в програмному забезпеченні МЕ,

виявлення невірної конфігурації МЕ

– Виявлення версій ОС і мережевих додатків, схильних атакам типу

«Відмова в обслуговуванні»

– Тестування можливості атак на мережеві додатки – аналіз захищеності web-серверів, тестування стійкості систем віддаленого управ-ня, аналіз можливості проникнення через наявні модемні сполуки

За результатами тестування оформляється експертний висновок, опи-Сива реальний стан захищеності АІС від внутрішніх і зовнішніх загроз, що містить перелік знайдених вад у налаштуваннях систем без-

ності На підставі отриманого висновку розробляються рекоменда-ції щодо підвищення ступеня захищеності АІС, з адміністрування сис-тем, щодо застосування СЗІ

Реалізація методики вимагає постійного оновлення знань про обготівковув-руживается вади в системах захисту Не всі етапи методики можуть бути автоматизовані У багатьох випадках потрібна участь експерта, володію-

ного відповідною кваліфікацією

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*