Содержание
- Аудит информационной безопасности предприятия
- Аудит информационной безопасности – основа эффективной защиты предприятия
- Что такое аудит безопасности
- Виды аудита безопасности
- Проведение аудита безопасности
- Сбор исходных данных
- Таблица 1. Перечень исходных данных, необходимых для аудита безопасности
- Оценка уровня безопасности ИС
- Таблица 2. Качественная шкала оценки уровня ущерба
- Таблица 3. Качественная шкала оценки вероятности проведения атаки
- Таблица 4. Определение уровня риска информационной безопасности по качественной шкале
- Результаты аудита безопасности
- Аудит безопасности информационных систем. Н. Скабцов
- Аудит информационной безопасности
- Основные направления деятельности в области аудита безопасности информации
- Виды и цели аудита
- Основные этапы аудита безопасности
- Аудит безопасности от REG.RU – что это и для чего он необходим?
- Введение
- Что такое аудит внутренней информационной безопасности
- Как проходит аудит внутренней информационной безопасности с программой StaffCop Enterprise
Аудит информационной безопасности предприятия
Размещено на http://www.allbest.ru/
«Амурский гуманитарно-педагогический государственный университет»
\
АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ
УДК 004.056.5
Больбат Е.П.
г. Комсомольск-на-Амуре
Для современных предприятий автоматизация бизнес-процессов с использованием средств вычислительной техники и телекоммуникаций являются той неотъемлемой частью их развития. В обеспечении эффективности работы коммерческих и государственных предприятий ключевую роль играют информационные системы (ИС). Это определяется неуклонным ростом информации, которая является одним из ключевых ресурсов любой организации, от которого напрямую зависит успешность и прибыльность предприятий.
За счет использование ИС для хранения, обработки и передачи информации, а также бесконтрольное использование Интернет, переносных носителей, отсутствия мониторинга печатающейся информации на принтерах, увеличиваются шансы кражи особо важной информации предприятий. Самые распространяемые причины кражи информации особо важной для предприятий являются: конкуренция либо возможность наживы. Как нам известно, любая ИС в процессе своей работы эволюционирует и видоизменяется. В некоторых случаях может возникнуть ситуация, в которой система еще работает, но неизвестно, что произойдет в случае возникновения угрозы безопасности. В данном случае для эффективности защиты требуется объективная оценка уровня безопасности ИС.
Решением этой проблемы является аудит информационной безопасности (ИБ). Определение аудита безопасности конкретизировано не устоялось, но исходя из различных источников, его можно описать как процесс сбора и анализа об ИС для качественной или количественной оценки уровня ее защищенности от атак злоумышленников. Иными словами это всесторонние обследование, задачей которого является оценка текущее состояние ИБ, а результатом — построение эффективной системы защиты, которая будет соответствовать текущим целям и задачам, как предприятий, так и отдельных критичных областей ИС .
Целями аудита ИБ является:
· анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС;
· оценка текущего уровня защищенности ИС;
· оценка соответствия ИС существующим стандартам в области ИБ и политике безопасности организации;
· выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС .
Можно выделить основные виды аудита ИБ:
· экспертный аудит безопасности, в ходе которого выявляются недостатки в системе мер защиты информации на основе опыта экспертов, участвующих в процедуре обследования;
· оценка соответствия рекомендациям международного стандарта ISQ 17799, а также требованиям руководящих документов ФСТЭК (Гостехкомиссии);
· инструментальный анализ защищенности ИС, направленный на выявление и устранение уязвимостей программно-аппаратного обеспечения системы;
· комплексный аудит, включающий в себя все вышеперечисленные формы проведения обследования .
Для проведения аудита ИБ привлекаются внешние компании, которые предоставляют консалтинговые услуги в области ИБ, выполняется группой экспертов, численность которых зависит от целей и задач обследования, а также от сложности объекта оценки. Проведение работ по аудиту ИБ предприятия следует проводить поэтапно. У каждой компании, которая имеет право проводить аудит безопасности, выявляются свои этапы работ. Проведя некоторое исследование, были выявлены основные четыре этапы работ проведения аудита ИБ (рис. 1).
Рисунок 1 — Этапы работ при проведение аудита ИБ
При планирование работ определяются границы, в рамках которого будет проводиться обследование; порядок и время проведения инструментального обследования ИС заказчика, им является предприятие, в котором проводится аудит ИБ; определяется рабочая группа проекта; подготавливаются методики проведения аудита .
При сборе данных необходимо соблюдать точность и полноту информации. От этих факторов будет зависеть качество аудита ИБ. При тщательном изучении различных источников, можно перечислить необходимые данные для аудита ИБ (табл.1) .
Таблица 1 — Перечень исходных данных, необходимых для аудита ИБ
Тип информации |
Состав исходных данных |
|
Организационно-распорядительная документация по вопросам информационной безопасности |
· политика информационной безопасности ИС; · руководящие документы (приказы, распоряжения, инструкции) по вопросам хранения, порядка доступа и передачи информации; · регламенты работы пользователей с информационными ресурсами ИС. |
|
Информация об аппаратном обеспечении хостов |
· перечень серверов, рабочих станций и коммуникационного оборудования, установленного в ИС; · аппаратные конфигурации серверов и рабочих станций; · сведения о периферийном оборудовании |
|
Информация об общесистемном ПО |
· сведения об ОС, установленных на рабочих станциях и серверах; · сведения о СУБД, установленных в ИС |
|
Информация о прикладном ПО |
· перечень прикладного ПО общего и специального назначения, установленного в ИС; · описание функциональных задач, решаемых с помощью прикладного ПО |
|
Информация о средствах защиты, установленных в ИС |
· производитель средства защиты; · конфигурационные настройки средства защиты; · схема установки средства защиты |
|
Информация о топологии ИС |
· карта локальной вычислительной сети, включая схему распределения серверов и рабочих станций по сегментам сети; · типы каналов связи, используемых в ИС; · используемые в ИС сетевые протоколы; · схема информационных потоков ИС |
Анализ и оценка уровня защищенности включают в себя:
· анализ полноты и содержания существующей организационно-распорядительной документации по защите информации ;
· определение вероятности проведения атаки, а также уровней их ущерба;
· выделение основных информационных активов;
· определение уровня защищенности ИС;
· моделирование действий внешнего и внутреннего нарушителя .
На заключительном этапе проведения работ аудита ИБ разрабатываются рекомендации по совершенствованию организационно-технического обеспечения защиты на предприятии. Данные рекомендации в основном содержат типы действий, которые направлены на минимизацию выявленных рисков. Такими действиями являются: уменьшение риска, уклонение то риска, изменение характера риски и в частности понятие риска.
аудит информационный безопасность
Рисунок 2 — Схема проведения аудита ИБ
Для заключающего момента проведении аудита ИБ необходимо подвести итоги по проведенным этапам работ. Из схемы проведения аудита ИБ (рис. 2) мы можем увидеть, что результатом аудита является создание документа, который содержит детальную информацию о :
· Всех выявленных уязвимостях объекта аудита;
· Критичности найденных уязвимостях;
· Качественная и количественная оценка рисков ИБ ;
· Стратегия обеспечения ИБ;
· Последствие в случае реализации угроз;
· Рекомендации по устранению уязвимостей .
При достижении цели аудита безопасности предприятия, основываясь на предложенных рекомендациях, имеют возможность произвести оптимизацию структуры информационных технологий (ИТ) и совершенствование процессов ИС. Иными словами возможность построить оптимальную по эффективности и затратам систему защиты информации, соответствующую текущим задачам и целям предприятия. В противном же случае необходимо провести дополнительный анализ данных и с вновь внесенными изменениями создать результирующий отчет по проведенному аудиту .
Аудит ИБ — один из наиболее эффективных на сегодняшний день инструментов для получения независимой и объективной оценки текущего уровня защищенности предприятия от угроз ИБ. Благодаря результатам аудита появляется основа формирования стратегии, развития системы обеспечения ИБ предприятий. Но следует заметить, что аудит безопасности должен осуществляться на регулярной основе, это зависит не только от того что любая ИС имеет возможность видоизменятся в ходе работы, но и от увеличения разновидностей угроз безопасности. Только в этом случае аудит ИБ будет приносить пользу и способствовать повышению уровня ИБ предприятий.
Список литературы
1. Сердюк В.Д. Аудит информационной безопасности (ИБ) . URL: http://www.bytemag.ru/articles/detail.php?ID=6781 (Дата обращения 02.12.2014 г.)
2. Научно-испытательный институт систем обеспечения комплексной безопасности (НИИ СОКБ). Аудит ИБ . URL: http://www.niisokb.ru/services/information_security_audit/ (Дата обращения 02.12.2014 г.)
3. ProtectMi — лаборатория безопасности. Аудит и управление ИБ . URL: http://www.infosecurity.ru/iprotect/audit/ (Дата обращения 02.12.2014 г.)
4. EFSOL — эффективные решения. Аудит ИБ . URL: http://efsol.ru/promo/info-security-audit.html (Дата обращения 03.12.2014 г.)
5. Pointlane — информационная безопасность. Аудит ИБ . URL: http://www.pointlane.ru/security_a/ (Дата обращения 03.12.2014 г.)
Аудит информационной безопасности – основа эффективной защиты предприятия
Назад к списку статей
Сегодня информационные системы (ИС) играют ключевую роль в обеспечении эффективности работы коммерческих и государственных предприятий. Повсеместное использование ИС для хранения, обработки и передачи информации делает актуальными проблемы их защиты, особенно учитывая глобальную тенденцию к росту числа информационных атак, приводящих к значительным финансовым и материальным потерям. Для эффективной защиты от атак компаниям необходима объективная оценка уровня безопасности ИС — именно для этих целей и применяется аудит безопасности.
Что такое аудит безопасности
Определение аудита безопасности еще не устоялось, но в общем случае его можно описать как процесс сбора и анализа информации об ИС для качественной или количественной оценки уровня ее защищенности от атак злоумышленников. Существует множество случаев, когда целесообразно проводить аудит безопасности. Это делается, в частности, при подготовке технического задания на проектирование и разработку системы защиты информации и после внедрения системы безопасности для оценки уровня ее эффективности. Возможен аудит, направленный на приведение действующей системы безопасности в соответствие требованиям российского или международного законодательства. Аудит может также предназначаться для систематизации и упорядочения существующих мер защиты информации или для расследования произошедшего инцидента, связанного с нарушением информационной безопасности.
Как правило, для проведения аудита привлекаются внешние компании, которые предоставляют консалтинговые услуги в области информационной безопасности. Инициатором процедуры аудита может стать руководство предприятия, служба автоматизации или служба информационной безопасности. В ряде случаев аудит также проводится по требованию страховых компаний или регулирующих органов. Аудит безопасности выполняется группой экспертов, численность и состав которой зависит от целей и задач обследования, а также от сложности объекта оценки.
Виды аудита безопасности
Можно выделить следующие основные виды аудита информационной безопасности:
- экспертный аудит безопасности, в ходе которого выявляются недостатки в системе мер защиты информации на основе опыта экспертов, участвующих в процедуре обследования;
- оценка соответствия рекомендациям международного стандарта ISO 17799, а также требованиям руководящих документов ФСТЭК (Гостехкомиссии);
- инструментальный анализ защищенности ИС, направленный на выявление и устранение уязвимостей программно-аппаратного обеспечения системы;
- комплексный аудит, включающий в себя все вышеперечисленные формы проведения обследования.
Любой из перечисленных видов аудита может проводиться по отдельности или в комплексе, в зависимости от тех задач, которые решает предприятие. В качестве объекта аудита может выступать как ИС компании в целом, так и ее отдельные сегменты, в которых обрабатывается информация, подлежащая защите.
Проведение аудита безопасности
В общем случае аудит безопасности, вне зависимости от формы его проведения, состоит из четырех основных этапов, на каждом из которых выполняется определенный круг работ (см. рисунок).
Основные этапы работ при проведении аудита безопасности.
На первом этапе совместно с заказчиком разрабатывается регламент, устанавливающий состав и порядок проведения работ. Основная задача регламента — определить границы, в рамках которых будет проводиться обследование. Регламент позволяет избежать взаимных претензий по завершении аудита, поскольку четко определяет обязанности сторон. Как правило, регламент содержит следующую основную информацию:
- состав рабочих групп от исполнителя и заказчика для проведения аудита;
- список и местоположение объектов заказчика, подлежащих аудиту;
- перечень информации, которая будет предоставлена исполнителю;
- перечень ресурсов, которые рассматриваются в качестве объектов защиты (информационные, программные, физические ресурсы и т. д.);
- модель угроз информационной безопасности, на основе которой проводится аудит;
- категории пользователей, которые рассматриваются в качестве потенциальных нарушителей;
- порядок и время проведения инструментального обследования ИС заказчика.
На втором этапе, в соответствии с согласованным регламентом, собирается исходная информация. Методы сбора информации включают интервьюирование сотрудников заказчика, заполнение опросных листов, анализ предоставленной организационно-распорядительной и технической документации, использование специализированных инструментальных средств.
Третий этап работ предполагает анализ собранной информации с целью оценки текущего уровня защищенности ИС предприятия. По результатам проведенного анализа на четвертом этапе разрабатываются рекомендации по повышению уровня защищенности ИС от угроз информационной безопасности.
Ниже мы подробнее рассмотрим этапы аудита, связанные со сбором информации, ее анализом и разработкой рекомендаций по повышению уровня защиты ИС.
Сбор исходных данных
Качество аудита безопасности во многом зависит от полноты и точности информации, полученной в процессе сбора исходных данных. Поэтому в нее необходимо включить следующее: организационно-распорядительную документацию, касающуюся вопросов информационной безопасности, сведения о программно-аппаратном обеспечении ИС, информацию о средствах защиты, установленных в ИС, и т. д. Более подробный перечень исходных данных представлен в табл. 1.
Таблица 1. Перечень исходных данных, необходимых для аудита безопасности
Тип информации | Состав исходных данных |
Организационно-распорядительная документация по вопросам информационной безопасности |
|
Информация об аппаратном обеспечении хостов |
|
Информация об общесистемном ПО |
|
Информация о прикладном ПО |
|
Информация о средствах защиты, установленных в ИС |
|
Информация о топологии ИС |
|
Как уже отмечалось выше, для сбора исходных данных применяются следующие методы.
Интервьюирование сотрудников заказчика, обладающих необходимой информацией. Интервью обычно проводятся как с техническими специалистами, так и с представителями руководящего звена компании. Перечень вопросов, которые планируется обсудить в процессе интервью, согласовывается заранее.
Предоставление опросных листов по определенной тематике, которые сотрудники заказчика заполняют самостоятельно. В тех случаях, когда представленные материалы не полностью отвечают на необходимые вопросы, проводится дополнительное интервьюирование.
Анализ организационно-технической документации, используемой заказчиком.
Использование специализированного ПО, которое позволяет получить необходимую информацию о составе и настройках программно-аппаратного обеспечения ИС предприятия. Например, с помощью систем анализа защищенности (security scanners) можно провести инвентаризацию сетевых ресурсов и выявить уязвимости в них. В качестве примеров таких систем можно назвать Internet Scanner компании ISS и XSpider компании Positive Technologies.
Оценка уровня безопасности ИС
После сбора необходимой информации проводится ее анализ с целью оценки текущего уровня защищенности системы. В процессе такого анализа определяются риски информационной безопасности, которым подвержена компания. Фактически риск представляет собой интегральную оценку того, насколько эффективно существующие средства защиты способны противостоять информационным атакам.
Обычно выделяют две основные группы методов расчета рисков безопасности. Первая группа позволяет установить уровень риска путем оценки степени соответствия определенному набору требований к информационной безопасности. В качестве источников таких требований могут выступать:
- нормативно-правовые документы предприятия, касающиеся вопросов информационной безопасности (политика безопасности, регламенты, приказы, распоряжения);
- требования действующего российского законодательства — руководящие документы ФСТЭК (Гостехкомиссии), СТР-К, требования ФСБ РФ, ГОСТы и т. д.;
- рекомендации международных стандартов — ISO 17799, OCTAVE, CoBIT, BS 7799-2 и т. д.;
- рекомендации компаний-производителей программного и аппаратного обеспечения — Microsoft, Oracle, Cisco и т. д.
Вторая группа методов оценки рисков информационной безопасности базируется на определении вероятности реализации атак, а также уровней их ущерба. Значение риска вычисляется отдельно для каждой атаки и в общем случае представляется как произведение вероятности проведения атаки a на величину возможного ущерба от этой атаки — Риск (a) = P(a) . Ущерб (a). Значение ущерба определяется собственником информационного ресурса, а вероятность атаки вычисляется группой экспертов, проводящих процедуру аудита. Вероятность в данном случае рассматривается как мера того, что в результате проведения атаки нарушители достигли своих целей и нанесли ущерб компании.
Методы обеих групп могут использовать количественные или качественные шкалы для определения величины риска информационной безопасности. В первом случае для риска и всех его параметров берутся численные выражения. Например, при использовании количественных шкал вероятность проведения атаки P(a) может выражаться числом в интервале , а ущерб от атаки — задаваться в виде денежного эквивалента материальных потерь, которые может понести организация в случае успешной атаки. При использовании качественных шкал числовые значения заменяются на эквивалентные им понятийные уровни. Каждому понятийному уровню в этом случае будет соответствовать определенный интервал количественной шкалы оценки. Количество уровней может варьироваться в зависимости от применяемых методик оценки рисков. В табл. 2 и 3 приведены примеры качественных шкал оценки рисков информационной безопасности, в которых для оценки уровней ущерба и вероятности атаки используется пять понятийных уровней.
Таблица 2. Качественная шкала оценки уровня ущерба
№ | Уровень ущерба | Описание |
1 | Малый | Незначительные потери материальных активов, которые быстро восстанавливаются, или незначительные последствия для репутации компании |
2 | Умеренный | Заметные потери материальных активов или умеренные последствия для репутации компании |
3 | Средней тяжести | Существенные потери материальных активов или значительный урон репутации компании |
4 | Большой | Большие потери материальных активов и большой урон репутации компании |
5 | Критический | Критические потери материальных активов или полная потеря репутации компании на рынке, что делает невозможным ее дальнейшую деятельность |
Таблица 3. Качественная шкала оценки вероятности проведения атаки
№ | Вероятность атаки | Описание |
1 | Очень низкая | Атака практически никогда не будет проведена. Соответствует числовому интервалу вероятности |
5 | Очень высокая | Атака почти наверняка будет проведена. Соответствует числовому интервалу вероятности (0,75, 1] |
Для вычисления уровня риска по качественным шкалам применяются специальные таблицы, в которых в первом столбце задаются понятийные уровни ущерба, а в первой строке — уровни вероятности атаки. Ячейки же таблицы, расположенные на пересечении соответствующих строк и столбцов, содержат уровень риска безопасности (табл. 4). Размерность таблицы зависит от количества концептуальных уровней вероятности атаки и ущерба.
Таблица 4. Определение уровня риска информационной безопасности по качественной шкале
Вероятность атаки | |||||
Ущерб | очень низкая | низкая | средняя | высокая | очень высокая |
Малый | Низкий риск | Низкий риск | Низкий риск | Средний риск | Средний риск |
Умеренный | Низкий риск | Низкий риск | Средний риск | Средний риск | Высокий риск |
Средней тяжести | Низкий риск | Средний риск | Средний риск | Средний риск | Высокий риск |
Большой | Средний риск | Средний риск | Средний риск | Средний риск | Высокий риск |
Критический | Средний риск | Высокий риск | Высокий риск | Высокий риск | Высокий риск |
При расчете значений вероятности атаки, а также уровня возможного ущерба используют статистические методы, экспертные оценки или элементы теории принятия решений. Статистические методы предполагают анализ уже накопленных данных о реально случавшихся инцидентах, связанных с нарушением информационной безопасности. На основе результатов такого анализа строятся предположения о вероятности проведения атак и уровнях ущерба от них в других ИС. Однако статистические методы не всегда удается применить из-за недостатка статистических данных о ранее проведенных атаках на ресурсы ИС, аналогичной той, которая выступает в качестве объекта оценки.
При использовании аппарата экспертных оценок анализируются результаты работы группы экспертов, компетентных в области информационной безопасности, которые на основе имеющегося у них опыта определяют количественные или качественные уровни риска. Элементы теории принятия решений позволяют применять для вычисления значения риска безопасности более сложные алгоритмы обработки результатов работы группы экспертов.
Существуют специализированные программные комплексы, позволяющие автоматизировать процесс анализа исходных данных и расчета значений рисков при аудите безопасности. Примеры таких комплексов — «Гриф» и «Кондор» компании Digital Security, а также «АванГард», разработанный в Институте системного анализа РАН.
Результаты аудита безопасности
На последнем этапе аудита информационной безопасности разрабатываются рекомендации по совершенствованию организационно-технического обеспечения защиты на предприятии. Такие рекомендации могут включать в себя различные типы действий, направленных на минимизацию выявленных рисков.
Уменьшение риска за счет дополнительных организационных и технических средств защиты, позволяющих снизить вероятность проведения атаки или уменьшить возможный ущерб от нее. Так, установка межсетевых экранов в точке подключения ИС к Интернету существенно снижает вероятность проведения успешной атаки на общедоступные информационные ресурсы ИС — такие, как Web-серверы, почтовые серверы и т. д.
Уклонение от риска путем изменения архитектуры или схемы информационных потоков ИС, что позволяет исключить проведение той или иной атаки. Например, физическое отключение от Интернета сегмента ИС, в котором обрабатывается конфиденциальная информация, позволяет избежать внешних атак на конфиденциальную информацию.
Изменение характера риска в результате принятия мер по страхованию. В качестве примеров изменения характера риска можно привести страхование оборудования ИС от пожара или страхование информационных ресурсов от возможного нарушения их конфиденциальности, целостности или доступности. В настоящее время ряд российских компаний уже предлагают услуги страхования информационных рисков.
Принятие риска, если он уменьшен до того уровня, на котором уже не представляет опасности для ИС.
Обычно рекомендации направлены не на полное устранение всех выявленных рисков, а лишь на их уменьшение до приемлемого уровня. При выборе мер для повышения уровня защиты ИС учитывается одно принципиальное ограничение — стоимость реализации этих мер не должна превышать стоимости защищаемых информационных ресурсов, а также убытков компании от возможного нарушения конфиденциальности, целостности или доступности информации.
В завершение процедуры аудита его результаты оформляются в виде отчетного документа, который предоставляется заказчику. В общем случае этот документ состоит из следующих основных разделов:
- описание границ, в рамках которых проводился аудит безопасности;
- описание структуры ИС заказчика;
- методы и средства, которые использовались в процессе проведения аудита;
- описание выявленных уязвимостей и недостатков, включая уровень их риска;
- рекомендации по совершенствованию комплексной системы обеспечения информационной безопасности;
- предложения к плану реализации первоочередных мер, направленных на минимизацию выявленных рисков.
Заключение
Аудит информационной безопасности — один из наиболее эффективных сегодня инструментов для получения независимой и объективной оценки текущего уровня защищенности предприятия от угроз информационной безопасности. Кроме того, результаты аудита дают основу для формирования стратегии развития системы обеспечения информационной безопасности организации. Однако необходимо понимать, что аудит безопасности — не разовая процедура, он должен проводиться на регулярной основе. Только в этом случае аудит будет приносить реальную отдачу и способствовать повышению уровня информационной безопасности компании.
Аудит безопасности информационных систем. Н. Скабцов
Вернуться
В этой книге рассматриваются методы обхода систем безопасности сетевых сервисов и проникновения в открытые информационные системы. Информационная безопасность, как и многое в нашем мире, представляет собой медаль с двумя сторонами.
С одной стороны, мы проводим аудит, ищем способы проникновения и даже применяем их на практике, а с другой — работаем над защитой.
Тесты на проникновение являются частью нормального жизненного цикла любой ИТ-инфраструктуры, позволяя по-настоящему оценить возможные риски и выявить скрытые проблемы. Может ли взлом быть законным? Конечно, может! Но только в двух случаях — когда вы взламываете принадлежащие вам ИС или когда вы взламываете сеть организации, с которой у вас заключено пись- менное соглашение о проведении аудита или тестов на проникновение.
Мы надеемся, что вы будете использовать информацию из данной книги только в целях законного взлома ИС.
Пожалуйста, помните о неотвратимости наказания — любые незаконные действия влекут за собой административную или уголовную ответственность.
Если вам понравилась эта книга поделитесь ею с друзьями, тем самым вы помогаете нам развиваться и добавлять всё больше интересных и нужным вам книг!
Продолжаем выкладывать книжки про информационную безопасность!
В этой книге рассматриваются методы обхода систем безопасности сетевых сервисов и проникновения в открытые информационные системы.
Информационная безопасность, как и многое в нашем мире, представляет собой медаль с двумя сторонами.
С одной стороны, мы проводим аудит, ищем способы проникновения и даже применяем их на практике, а с другой — работаем над защитой.
Тесты на проникновение являются частью нормального жизненного цикла любой ИТ-инфраструктуры, позволяя по-настоящему оценить возможные риски и выявить скрытые проблемы.
Может ли взлом быть законным? Конечно, может!
Но только в двух случаях — когда вы взламываете принадлежащие вам ИС или когда вы взламываете сеть организации, с которой у вас заключено письменное соглашение о проведении аудита или тестов на проникновение.
Мы надеемся, что вы будете использовать информацию из данной книги только в целях законного взлома ИС. Пожалуйста, помните о неотвратимости наказания — любые незаконные действия влекут за собой административную или уголовную ответственность.
От себя могу добавить, что автор не учит взлому как таковому или пинтесту с нуля и до конца.
В книге рассмотрены примеры атак без выводов и разбора результатов.
Скачать по прямой ссылку книгу в PDF
Книга исключительно для ознакомления, купить книгу можно по ссылке:
Аудит информационной безопасности
Аудит информационной безопасности (ИБ) является основным инструментом контроля состояния защищенности информационных активов компании/организации. Сервис может выполняться как в совокупности с общим ИТ-аудитом, так и в виде самостоятельного проекта. Часто аудит является неотъемлемой частью комплексных проектов по обеспечению безопасности информации и выполняется в качестве стартового этапа проекта.
Аудит ИБ включает в себя технический аудит и организационно-методический аудит. В свою очередь, технический аудит обычно разделяется на общий аудит и инструментальный аудит.
IBS выполняет аудит на соответствие требованиям в одной или нескольких предметных областях:
- законодательство и требования по защите персональных данных (ФЗ-152, 21-й приказ ФСТЭК и др.);
- требования по защите информации в государственных информационных системах (17-й приказ ФСТЭК и др.);
- законодательство и требования в области защиты информации в национальной платежной системе (ФЗ-161 и др.);
- отраслевые требования, стандарты и рекомендации по защите информации в финансовых организациях, фин.процессинге (СТО БР ИББС-1.0, 382-П и др.);
- аудит в области процессов (ISO 27001 и другие).
Результатом аудита является заключение о степени соответствия компании/организации критериям аудита, а также рекомендации по совершенствованию ИТ-инфраструктуры, защиты информации, процессов обеспечения и управления ИБ и документационного обеспечения заказчика.
Инструментальный аудит включает в себя следующие направления:
- аудит защищенности ИТ-инфраструктуры и информационных систем;
- тест на проникновение (pen-тест);
- аудит информационных потоков в компании/организации;
- контроль исходного кода приложений на уязвимости/закладки.
Логическим продолжением аудита является разработка корпоративных документов верхнего уровня по вопросам безопасности информации в компании/организации, среди которых:
- корпоративная политика ИБ;
- концепция обеспечения ИБ;
- корпоративная модель угроз безопасности информации.
Разработанные верхнеуровневые документы обеспечивают базис для выстраивания всего комплекса работ по приведению процессов и технологий обеспечения и управления ИБ в компании/организации в соответствие требованиям законодательства, нормативным документам, лучшим практикам ИБ.
Формирование и выстраивание процессов обеспечения ИБ и управления ИБ является неотъемлемой составляющей процессной модели функционирования компаний на средних и высоких уровнях зрелости ИТ.
Для публичных компаний аудит ИБ является элементом неотъемлемой составляющей независимой внешней оценки рыночной стоимости компании, внося таким образом свой вклад в капитализацию компании.
Ключевые результаты
В результате выполнения проекта в зависимости от его масштаба и границ заказчик получит независимую оценку состояния обеспечения ИБ в его компании/организации, степень его соответствия обязательным законодательным, нормативным и отраслевым требованиям по вопросам защиты информации, степени уязвимости его ИТ- и ИБ-инфраструктуры и информационных систем к современным угрозам, а также могут быть выявлены свидетельства противоправной деятельности в его информационном пространстве различной природы.
Используемые продукты
Аудит информационной безопасности — системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности автоматизированной системы в соответствии с определёнными критериями и показателями безопасности.
Информационная безопасность — состояние сохранности информационных ресурсов и защищенности законных прав личности и общества в информационной сфере.
Аудит позволяет оценить текущую безопасность функционирования информационной системы, оценить и прогнозировать риски, управлять их влиянием на бизнес-процессы фирмы, корректно и обоснованно подойти к вопросу обеспечения безопасности её информационных активов, стратегических планов развития, маркетинговых программ, финансовых и бухгалтерских ведомостей, содержимого корпоративных баз данных. В конечном счете, грамотно проведенный аудит безопасности информационной системы позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание системы безопасности фирмы.
Основные направления деятельности в области аудита безопасности информации
Основные направления аудита информационной безопасности детализируются на следующие: аттестацию; контроль защищенности информации; специальные исследования технических средств и проектирование объектов в защищенном исполнении.
- Аттестация объектов информатизации по требованиям безопасности информации:
- аттестация автоматизированных систем, средств связи, обработки и передачи информации;
- аттестация помещений, предназначенных для ведения конфиденциальных переговоров;
- аттестация технических средств, установленных в выделенных помещениях.
- Контроль защищенности информации ограниченного доступа:
- выявление технических каналов утечки информации и способов несанкционированного доступа к ней;
- контроль эффективности применяемых средств защиты информации.
- Специальные исследования технических средств на наличие побочных электромагнитных излучений и наводок (ПЭМИН):
- персональные ЭВМ, средства связи и обработки информации;
- локальные вычислительные системы;
- оформления результатов исследований в соответствии с требованиями ФСБ и ФСТЭК.
- Проектирование объектов в защищенном исполнении:
- разработка концепции информационной безопасности;
- проектирование автоматизированных систем, средств связи, обработки и передачи информации в защищенном исполнении;
- проектирование помещений, предназначенных для ведения конфиденциальных переговоров.
Виды и цели аудита
Различают внешний и внутренний аудит.
Внешний аудит — это, как правило, разовое мероприятие, проводимое по инициативе руководства организации или акционеров. Внешний аудит рекомендуется (а для ряда финансовых учреждений и акционерных обществ требуется) проводить регулярно.
Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании документа, обычно носящего название «Положение о внутреннем аудите», и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации. Аудит безопасности информационных систем является одной из составляющих ИТ—аудита.
Целями проведения аудита безопасности являются: — анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС; — оценка текущего уровня защищенности ИС; — локализация узких мест в системе защиты ИС; — оценка соответствия ИС существующим стандартам в области информационной безопасности; — выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.
Представленные Аудитору рапорты о инцидентах СИБ должны содержать документацию о т. н. «слабых точках» СИБ.
В число дополнительных задач, стоящих перед внутренним аудитором, помимо оказания помощи внешним аудиторам, могут также входить: — разработка политик безопасности и других организационно—распорядительных документов по защите информации и участие в их внедрении в работу организации; — постановка задач для ИТ—персонала, касающихся обеспечения защиты информации; — участие в обучении пользователей и обслуживающего персонала ИС вопросам обеспечения информационной безопасности; — участие в разборе инцидентов, связанных с нарушением информационной безопасности; — прочие задачи.
Основные этапы аудита безопасности
Работы по аудиту безопасности ИС включают в себя ряд последовательных этапов, которые в целом соответствуют этапам проведения комплексного ИТ—аудита автоматизированной системы, включающего в себя:
- инициирование процедуры аудита;
- сбор информации аудита;
- анализ данных аудита;
- выработку рекомендаций;
- подготовку аудиторского отчета.
На этапе инициирования процедуры аудита должны быть решены следующие организационные вопросы:
- права и обязанности аудитора должны быть четко определены и документально закреплены в его должностных инструкциях, а также в положении о внутреннем (внешнем) аудите;
- аудитором должен быть подготовлен и согласован с руководством план проведения аудита;
- в положении о внутреннем аудите должно быть закреплено, в частности, что сотрудники компании обязаны оказывать содействие аудитору и предоставлять всю необходимую для проведения аудита информацию.
На этапе инициирования процедуры аудита должны быть определены границы проведения обследования. План и границы проведения аудита обсуждаются на рабочем собрании, в котором участвуют аудиторы, руководство компании и руководители структурных подразделений.
Этап сбора информации аудита является наиболее сложным и длительным. Это связано в основном с отсутствием необходимой документации на информационную систему и с необходимостью плотного взаимодействия аудитора со многими должностными лицами организации.
Компетентные выводы относительно положения дел в компании с информационной безопасностью могут быть сделаны аудитором только при условии наличия всех необходимых исходных данных для анализа. Первый пункт аудиторского обследования начинается с получения информации об организационной структуре пользователей ИС и обслуживающих подразделений. Назначение и принципы функционирования ИС во многом определяют существующие риски и требования безопасности, предъявляемые к системе. Далее, аудитору требуется более детальная информация о структуре ИС. Это позволит уяснить, каким образом осуществляется распределение механизмов безопасности по структурным элементам и уровням функционирования ИС.
Используемые аудиторами методы анализа данных определяются выбранными подходами к проведению аудита, которые могут существенно различаться.
Первый подход, самый сложный, базируется на анализе рисков. Опираясь на методы анализа рисков, аудитор определяет для обследуемой ИС индивидуальный набор требований безопасности, в наибольшей степени учитывающий особенности данной ИС, среды её функционирования и существующие в данной среде угрозы безопасности.
Второй подход, самый практичный, опирается на использование стандартов информационной безопасности. Стандарты определяют базовый набор требований безопасности для широкого класса ИС, который формируется в результате обобщения мировой практики. Стандарты могут определять разные наборы требований безопасности, в зависимости от уровня защищенности ИС, который требуется обеспечить, её принадлежности (коммерческая организация либо государственное учреждение), а также назначения (финансы, промышленность, связь и т. п.). От аудитора в данном случае требуется правильно определить набор требований стандарта, соответствие которым нужно обеспечить.
Третий подход, наиболее эффективный, предполагает комбинирование первых двух. Базовый набор требований безопасности, предъявляемых к ИС, определяется стандартом. Дополнительные требования, в максимальной степени учитывающие особенности функционирования данной ИС, формируются на основе анализа рисков.
Рекомендации, выдаваемые аудитором по результатам анализа состояния ИС, определяются используемым подходом, особенностями обследуемой ИС, состоянием дел с информационной безопасностью и степенью детализации, используемой при проведении аудита. В любом случае, рекомендации аудитора должны быть конкретными и применимыми к данной ИС, экономически обоснованными, аргументированными (подкрепленными результатами анализа) и отсортированными по степени важности. При этом мероприятия по обеспечению защиты организационного уровня практически всегда имеют приоритет над конкретными программно—техническими методами защиты. В то же время наивно ожидать от аудитора, в качестве результата проведения аудита, выдачи технического проекта подсистемы информационной безопасности, либо детальных рекомендаций по внедрению конкретных программно—технических средств защиты информации. Это требует более детальной проработки конкретных вопросов организации защиты, хотя внутренние аудиторы могут принимать в этих работах самое активное участие.
Аудиторский отчет является основным результатом проведения аудита. Его качество характеризует качество работы аудитора. Он должен, по крайней мере, содержать описание целей проведения аудита, характеристику обследуемой ИС, указание границ проведения аудита и используемых методов, результаты анализа данных аудита, выводы, обобщающие эти результаты и содержащие оценку уровня защищенности АС или соответствие её требованиям стандартов, и, конечно, рекомендации аудитора по устранению существующих недостатков и совершенствованию системы защиты.
Аудит безопасности от REG.RU – что это и для чего он необходим?
Введение
Современный мир характеризуется чрезвычайно быстрым ростом объемов информации, глобализацией и компьютеризацией всех слоев общества. Информационные технологии прочно укоренились в нашей жизни – большая часть населения планеты практически постоянно использует доступ в Интернет для работы, обучения, игр, развлечения. Это закономерно влечет за собой монетизацию всех возможных сервисов. Следовательно, линейно возрастает общее количество затрачиваемого времени на совершение операций с использованием пластиковых карт: безналичный расчет при оплате покупок товаров, транзакции в системах онлайн-банкинга, валютный обмен и прочие платежные операции с поставщиками услуг. Соответственно расширяется «веб-пространство», в котором существует информация о владельцах карт и других аутентификационных данных.
Увеличение количества и разнообразия сервисов, доступных конечному пользователю через Интернет, прямо пропорционально расширению поля для мошенничества. В контексте рассматриваемой проблемы основные виды атак злоумышленников можно определить как:
- Атака на поставщика услуг
- Атака на конечного пользователя
В случае атаки на конечного пользователя борьба со злоумышленниками ведется преимущественно установкой клиентского программного обеспечения, соответствующего требованиям безопасности, и информированием пользователя о возможных угрозах. Когда же атака направлена на вендора – необходимы комплексные меры защиты, особым этапом которых является предотвращение вторжений. Столь важную роль предотвращения вторжения можно объяснить тем, что утечка даже части конфиденциальных данных и использования их злоумышленниками ведет к значительным финансовым потерям как поставщика услуг, так и конечного пользователя. Поэтому для уменьшения риска взлома сервиса, перебоев в работе, утечки данных, а также для сохранения репутации ресурса рекомендуется проводить аудит информационной безопасности.
Что такое аудит информационной безопасности?
Понятие «аудит информационной безопасности» появилось сравнительно недавно. Тем не менее, в настоящее время аудит информационной безопасности представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области безопасности информационных систем и вызывает постоянный интерес специалистов. Его основная задача – объективно оценить текущее состояние информационной безопасности (ИБ) компании, а также ее адекватность поставленным целям и задачам бизнеса для увеличения эффективности и рентабельности экономической деятельности. Поэтому под аудитом информационной безопасности корпоративной системы обычно понимается системный процесс получения объективных качественных и количественных оценок о текущем состоянии ИБ компании в соответствии с определенными критериями и показателями безопасности. Считается, что результаты квалифицированно выполненного аудита ИБ компании позволяют построить оптимальную по эффективности и затратам корпоративную систему защиты, адекватную текущим задачам и целям бизнеса.
Таким образом, можно дать краткое определение аудиту информационной безопасности (ИБ):
Аудит информационной безопасности – это проверка способности ресурса успешно противостоять угрозам информационной безопасности.
Кому нужен аудит ИБ?
Всем компаниям, нацеленным на успех. Успешный бизнес не построить на сайтах, подверженных взлому. Моментально падают уровень доверия пользователей и снижается посещаемость ресурса. Как следствие – падают продажи, снижается количество клиентов, возникают финансовые потери. Учитывая, что сейчас абсолютно все интернет-ресурсы представляют интерес для злоумышленников (мошенники равно интересуются взломом ресурсов, содержащих информацию о пластиковых карточках, паспортные данные, пароли, счета и т.п., и взломом сайтов, используемых в дальнейшем для сомнительных целей: рассылка спама, использование для черного SEO, создание ботнета и т.д.), аудит ИБ является не пустой тратой денег, а вложением в стабильность.
Почему не популярен?
В большинстве случаев, из-за банального непонимания реальной необходимости услуги. Большинство компаний не готовы отдавать немалые деньги за «всего лишь» проверку на возможность компрометации системы. Все потому, что владельцы не проинформированы о количестве и масштабах хакерских угроз. Зачастую используя принцип «Не во всякой туче гром; а и гром да не грянет; а и грянет, да не по нас; а и по нас – авось не убьет!», компании начинаются задумываться о безопасности лишь, когда система уже скомпрометирована и нанесен серьезный ущерб. Но учиться и делать выводы лучше на чужих ошибках, поэтому ниже приведено несколько реальных примеров, когда аудит ИБ мог бы сохранить нервы и средства.
Сайт одного из министерств некой страны
История случилась 3 года назад при тесте государственного веб-ресурса на проникновение. При первом же осмотре сайта была выявлена уязвимость типа PHP-injection — то есть все ссылки были организованы инклудингом других PHP-страниц, имя которых передавалось GET-запросом. Настройки сервера также нельзя было назвать безопасными – имелся доступ к важным системным файлам mq=off, allow_url_fopen=On, чего уже было достаточно для чтения важной информации, а затем и получения полного доступа к серверу.
Такой запрос позволял без труда читать логи веб-сервера:
www.xxx.gov/main.php?query=../../../proc/self/fd/2%00
Как оказалось позже, виной всему незамысловатый PHP-код:
<?php … $query = $_GET; if(isset($query) && !empty($query)) { require($query.»php»); } ?>
Для устранения уязвимости было рекомендовано проверить переменную на существование файла, использовать функцию strpbrk для выявления спецсимволов — «/.\?», запрета на чтение из под веба /proc/self/, установки в php.ini: magic_quotes_gpc=on, allow_url_fopen=Off.
Казалось бы, защита должна быть одним из первых приоритетов, ведь нетрудно представить, что за собой влечет взлом государственного сайта. Проникновение в локальную сеть, получение доступа к компьютерам, на которых хранится информация, например, о лицензированном тестировании специалистов (ключи ответов на КРОК, внешнее независимое оценивание и т.д.). Тогда, возможно, будет под вопросом подлинность сертификатов, которые требуют все высшие учебные заведения, а значит и компетентность будущих врачей и т.д.
Электронная коммерция
Все больше развлекательных ресурсов используют собственную игровую валюту, которая может быть конвертирована в реальные деньги. При проведении теста на проникновение одного из таких сайтов была обнаружена SQL-инъекция с выводом по типу error based.
Суть сайта заключалась в том, что у вас есть автомобиль, вы устраиваете гонки, усовершенствуете авто и т.д. Некоторые из этих операций требовали вложений в баланс аккаунта. В ходе проверки, через SQL-инъекцию была получена вся структура БД, сканером директорий были выявлены старые или тестовые версии сайта с установленной системой управления контентом Joomla. Для симулирования действий злоумышленников все через ту же уязвимость были получены хэши паролей от Joomla, успешно подобраны грубым брутфорсом, получен доступ к серверу через загрузку «php-shell» в административном центре Joomla. Как следствие, также получены пароли доступа к БД, что обеспечило возможность управлять балансом счетов, без реального перечисления средств. Таблица с балансом была организована очень просто:
Кроме того, пароли сохранялись в открытом виде.
Рекомендации по устранению уязвимости были следующими:
• Обработать входные параметры функцией mysql_real_escape_string;
• Отключить вывод ошибок;
Не оставлять «полезных» директорий, доступных из веба (старых версий, дампов, тестовых скриптов и тому подобное);
• Даже на тестовые версии сайтов не ставить пароли, которые могут быть в словарях;
• Обработать пароли необратимым алгоритмом шифрования.
Невидимая угроза
При анализе одного из взломанных серверов было отмечено внедрение i-frame кода на сайты без определенного источника. Файлы на сервере сохраняли целостность, их содержимое не было изменено, но пользователям сайтов «выбрасывался» вредоносный код. Характерной чертой было случайное появление вредоносного кода абсолютно на всех сайтах сервера:
Виной всему был вредоносной модуль Apache — DarkLeech, который распространял вредоносное ПО, «прозрачно» дописывая пару строк кода в отдаваемые страницы веб-сервера. Физические имена модулей были: mod_spm_headers.so, mod_spm_mem.so, mod_log.so и mod_security.so.
В httpd.conf присутствовала строка:
LoadModule spm_headers_module modules/mod_spm_headers.so
На сервере за логами доступа были обнаружены уязвимые скрипты, через которые происходил взлом, отключены вредоносные модули и обновлено ядро операционной системы, в связи с подозрением на использование local root эксплойтов злоумышленниками.
Это еще раз подтверждает важность функции комплексной защиты веб-ресурса, а не только защиты исходного кода, которую обеспечивает полный аудит ИБ.
Сколько это стоит?
Стоимость аудита ИБ в большинстве случаев невозможно определить сразу – все зависит от характера работ (какие уязвимости определяются – от ошибок программистов до социальной инженерии). Кроме того, некоторые компании рассчитывают стоимость услуги в зависимости от числа найденных проблем, количества строк анализируемого кода и формы представления результатов (отчет, видеоотчет, рекомендации по устранению, дополнительные консультации). Но в среднем, цены начинаются от $100. При этом такая стоимость работ характерна либо для компаний, которые только вышли на рынок и работают без сертифицированных специалистов и стандартов проведения аудита, либо для аматорских команд, которые, в основном, состоят из бывших black-hat или непрофессиональных специалистов по информационной безопасности. Конечно, нельзя утверждать, что при обращении в подобные компании работа будет выполнена некачественно, но, когда речь идет о конфиденциальной информации и безопасности, лучше довериться профессионалам.
В данном случае расценки будут уже сильно отличаться – от $300-500 до $5000, в зависимости от тарифа. Например, в REG.RU цены на эти услуги выглядят следующим образом: 25 000 руб. за «Бюджетный» тариф и от 150 000 руб. за «Корпоративный» (https://www.reg.ru/web-sites/security-audit/#prices). Столь высокая цена объясняется проведением мультианализа всех частей системы с целью выявления критичных мест и введения комплексных мер защиты, а также высокой квалификацией специалистов, имеющих сертификаты Offensive Security Certified Professional (OSCP) и Certified Professional Penetration Tester (eCPPT).
Выводы
Что дает заказ услуги «Аудит безопасности сайта в REG.RU»?
- Описание и оценку текущего уровня защищенности информационной системы;
- Анализ рисков, связанных с возможностью осуществления внутренних и внешних угроз в отношении ресурсов информационной системы;
- Составление модели потенциального злоумышленника;
- Рекомендации по технической, организационной составляющей ИБ (устранение уязвимостей в коде, разработке политики информационной безопасности)
- Получение максимальной отдачи от инвестиций, вкладываемых в системы защиты информации;
- Подтверждение того, что используемые внутренние средства контроля соответствуют задачам организации и позволяют обеспечить эффективность и непрерывность бизнеса.
- Обоснование инвестиций в системы защиты информации.
Большинство владельцев взломанных сайтов не подозревало о вторжении на их ресурс. Часть системных администраторов при выявлении вторжения не предпринимали никаких действий, если не было видимых нарушений работы сайта, ввиду нехватки знаний по данной проблеме. Аудит безопасности способен предоставить объективную информацию о защищенности сайта, что позволит владельцу ресурса не поставить под угрозу свой бизнес и деловую репутацию. Ведь доверяя свои личные данные какой-либо организации, пользователи и партнеры уверены, что она сможет обеспечить их конфиденциальность.
Введение
В угрозы информационной безопасности большинство руководителей до поры до времени не верят. Конечно, они слышали об утечках, скандалах, но считают, что к ним это не относится, у них всё в порядке, государственной тайны нет, антивирус есть. Но в том-то и дело, что речь совсем не о вирусах. Согласно статистике последнего времени, внешние угрозы, каковы бы они ни были, наносят компаниям меньше вреда, чем свои собственные сотрудники. Своими умышленными и неумышленными действиями они могут причинить компании как крупный материальный, так и нематериальный ущерб — потерю репутации.
Если мы не видим угроз, это не значит, что их нет. Мы часто совершаем ошибку, думая, что, наверно, другие тоже знают то, что знаем мы. Например, что не стоит пользоваться личной почтой на бесплатном сервере для отправки рабочих документов или что не стоит их выкладывать в облачные хранилища. Кроме того, если у нас всё в порядке с моральными нормами, нам сложно подозревать других людей, особенно своих сотрудников, в моральной нечистоплотности. Поэтому выявление неприятных фактов вызывает удивление. Но, поскольку мы здесь говорим об организациях, то не хотелось бы сталкиваться с такими фактами, как судебные издержки, недополучение прибыли, порча и хищение оборудования. И, тем более, нежелательно рисковать репутацией и терять доверие клиентов и партнеров. От таких действий хотелось бы защититься, предупредить их. Но другая крайность — тотальная защита — приводит к огромным тратам на обеспечение безопасности. Как соблюсти баланс: не впасть в паранойю, но защититься на случай злонамеренных или просто несознательных действий? Нужно определить возможные риски: что может случиться, а что не может. Для этой цели служит аудит информационной безопасности.
Что угрожает информационной безопасности изнутри
Интерес руководителей к информационной безопасности чаще всего начинается тогда, когда случается нечто, например, увольняется продажник и уносит с собой клиентскую базу. Но это далеко не единственная и не самая опасная угроза. У любой компании есть коммерческая тайна — информация, которая, попадая в чужие руки, лишает компанию превосходства на рынке или в своем сегменте. Информацию не обязательно даже похищать, иногда достаточно ее повредить или сделать недоступной, и она уже обнуляется, поскольку ее нельзя использовать. Можно даже ее слегка изменить, например, в свою пользу, и компания, не подозревая о подвохе, перечисляет средства вместо поставщика своему оборотистому сотруднику. Случаются менее опасные, но болезненные проступки: использование дорогого лицензионного программного обеспечения в личных целях или в работе на другого работодателя, майнинг криптовалюты, посторонние занятия в рабочее время. Всё это так или иначе наносит компании убытки. Кроме того, в компаниях, как правило, есть информация, которая, будучи вырвана из контекста или превратно истолкована, может причинить репутационный ущерб.
Есть несколько основных видов информационных активов, которые следует защищать: это собственно информация, инфраструктура, персонал, имидж и репутация компании. Соответственно, внутренние угрозы ИБ — это возможные действия сотрудников с информационными активами, умышленные или нет, которые могут иметь негативные последствия для компании. К таким действиям относятся, например, передача информации тем, от кого хотелось бы ее скрыть, — злоумышленникам или конкурентам, мошеннические действия с деньгами компании, реализация товара в свою пользу и пр.
Что такое аудит внутренней информационной безопасности
Аудит внутренней ИБ — это действия, позволяющие определить, какие риски имеют место или возможны, а какие неактуальны для конкретной организации. В результате возникает модель угроз, на основе которой можно провести идентификацию уязвимостей. Разработка модели угроз — это серьезная работа, которую может провести безопасник-профессионал или специализированная компания. Можно также самостоятельно провести аудит для того чтобы узнать, какие первичные действия нужно предпринять для защиты информации.
Этапы и шаги внутреннего аудита информационной безопасности
- Инвентаризация активов. Для начала нужно понять, что нужно защищать, какая информация обрабатывается в компании, как и где она обрабатывается, насколько критичны ее потеря или повреждение, то есть в каких цифрах исчисляется убыток.
- Ранжирование угроз. Следует все риски выстроить по частоте, возможности возникновения, величине возможного ущерба.
- Идентификация уязвимостей. Нужно понять, в окружении каких активов имеются уязвимости, которые стоит защитить.
- Построение гипотезы. Нужно представить себе последовательность шагов, в результате которой произойдет нарушение информационной безопасности.
- Проверка гипотезы: сбор статистики, какие инциденты имеют место, насколько часто, где и каким образом.
Полученная информация может быть использована для разработки политики информационной безопасности и комплекса технических и организационных мер по ее выполнению.
Как проходит аудит внутренней информационной безопасности с программой StaffCop Enterprise
Система мониторинга действий пользователей StaffCop Enterprise — это программа, которая позволяет контролировать информационный обмен и состояние информационных ресурсов. С ее помощью можно самостоятельно провести аудит внутренней информационной безопасности, получить статистику уязвимостей, а также полную информацию о произошедших инцидентах. Система позволяет на доступных ресурсах получить самые разнообразные данные и представить их в виде, удобном для анализа.
Архитектура. StaffCop Enterprise имеет клиент-серверную архитектуру, то есть состоит из серверной части, которая размещается у клиента, и программ-агентов, которые устанавливаются на компьютерах пользователей и собирают информацию об их действиях. Информация обрабатывается в серверной части. Полнота сбора данных о том или ином пользователе зависит от настроек.
Как настраивать? Для настройки системы компания-разработчик, «Атом Безопасность», предлагает клиентам вопросник, который можно заполнить письменно или ответить на вопросы устно. Это поможет адаптировать систему под специфику вашей организации и под ваши задачи.
Сбор информации. После разворачивания программы и проведения настройки система начинает собирать информацию. Сигналы об инцидентах поступают на компьютер ответственного сотрудника или руководителя немедленно, другая информация формируется в отчеты в соответствии с настройками. При необходимости можно сформировать отчет любой структуры, используя собранную информацию.
Информация в StaffCop Enterprise структурируется по трем основным направлениям: собственно информационная безопасность, учет рабочего времени и администрирование рабочих мест.
Информационная безопасность
Отчеты программы позволяют увидеть, как курсирует информация в компании и в каком направлении уходит за ее пределы. Следует понимать, что утечка информации возникает не тогда, когда папарацци опубликовали ваши конфиденциальные документы в СМИ, а тогда, когда эти документы покинули защищаемый периметр компании. Это может происходить через личную почту сотрудников, форумы других сайтов, облачные хранилища, мессенджеры, USB-носители и т. п. Во многих компаниях имеются правила безопасности, которые определяют, какими каналами можно пользоваться, а какие под запретом. Соблюдают ли сотрудники эти правила? Общаются ли с конкурентами? Уводят ли информацию для себя (например, перед увольнением) или в интересах третьих лиц? Не всегда ваши представления об этом соответствуют реальному положению дел. Система мониторинга покажет вам, что происходит на самом деле.
Наблюдение за группой риска — особая статья. У сотрудников безопасности всегда есть информация, на каких сотрудников следует обратить повышенное внимание: они замечены в неблаговидном поведении или нарушении трудовой дисциплины. На них можно собрать полное досье: с какими документами работают, с кем контактируют, какими программами и сайтами пользуются, с какими сотрудниками и третьими лицами общаются. Часто бывает, что уже в тестовый период служба безопасности получает информацию, требующую немедленных действий.
Какие события отображаются? Операции с файлами, снимок экрана, время активности, посещение сайтов, использование мессенджеров, видео рабочего стола, заполнение веб-форм, подключения к FTP-серверам, поисковые запросы, печать документов и др.
Рисунок 1. Типы событий в StaffCop Enterprise и их отображение их интенсивности на тепловой диаграмме
Учет и контроль рабочего времени
Вы знаете, сколько реально работают ваши сотрудники, какую часть рабочего времени они проводят в конструктивной деятельности в соответствии с должностной инструкцией? Вынуждены вас разочаровать. Вот результаты опроса портала «Хабрахабр», показывающие, как люди говорят о себе:
Рисунок 2. Самооценка людей по использованию рабочего времени (статистика сайта habrahabr.ru)
В реальности картина другая. По данным системы StaffCop Enterprise, более половины сотрудников проводят за продуктивной деятельностью 50% времени и меньше. На основании каких данных?
Система анализирует не просто нахождение сотрудника на рабочем месте, а его действия: сетевую активность, работу с документами, коммуникации. При этом работу с теми или иными приложениями можно настраивать как продуктивную / непродуктивную. Например, время в соцсетях для SMM-специалиста будет продуктивным, а для бухгалтера — нет.
За тестовый период можно собрать статистику об использовании рабочего времени:
- О трудовой дисциплине, опозданиях и переработках, приход и уход. Программа фиксирует не просто включение / выключение оборудования, а активность сотрудника: нажатие клавиш или манипуляции мышкой.
- Какими сетевыми ресурсами пользуются сотрудники. Вы увидите, сколько времени сотрудники проводят в Сети, на каких именно сайтах, узнаете топ продуктивных и непродуктивных приложений.
- На что сотрудники тратят свое рабочее время. Вы увидите статистику продуктивности по отделам, узнаете, если сотрудники используют ресурсы компании не по назначению, сможете видеть выполнение KPI.
Вы сможете получить статистику по отделам и по каждому сотруднику, получить среднюю продуктивность и сравнивать с этим показателем данные каждого сотрудника. Например, рабочий день менеджера по продажам — 9 часов, из которых 1 час — это перерыв на обед. В одном отделе среднее активное время — 5,5 часов, в другом 4,5. Для того чтобы правильно интерпретировать эту статистику, ее нужно сопоставлять с должностными инструкциями. Но вы получите полную базу для такого анализа.
Рисунок 3. Отчет «Продуктивное время по отделам» в StaffCop Enterprise
Формируются отчеты: учет рабочего времени, изменение продуктивности, отчет по активности за период, продуктивное/активное время по отделам, сводный отчет, статистика по дням, отчет по опозданиям, топ непродуктивности, табель активности, табель отсутствия на рабочем месте, табель использования принтера, лента событий, детектор аномалий и др.
Рисунок 4. Отчет «Учет рабочего времени» в StaffCop Enterprise
Администрирование рабочих мест
Система формирует отчет о программах и оборудовании, установленных на компьютерах сотрудников, в том числе на удаленных рабочих местах. Например, она даст знать, если сотрудник снял с компьютера дорогую видеокарту и вместо нее установил дешевую. Также можно будет отслеживать запуск программ, не имеющих отношения к работе сотрудника, попытку установить нелицензионное программное обеспечение и пр. Можно проводить инвентаризацию устройств и приложений на рабочих станциях.
Рисунок 5. Пример отчета «Инвентаризация — Устройства» в StaffCop Enterprise
Рисунок 6. Наблюдение за рабочими столами сотрудников в режиме реального времени в StaffCop Enterprise
Результаты аудита внутренней информационной безопасности можно получить как в виде генерализованных отчетов, так и с прицелом на конкретную проблему. В их интерпретации могут помочь как специалисты службы поддержки компании «Атом Безопасность» — разработчика системы StaffCop Enterprise, так и специалисты собственной службы безопасности, HR-отдела, линейные руководители. Полученные данные можно использовать для разработки политики безопасности и сопутствующих документов и регламентов, а также для коррекции бизнес-процессов, анализа атмосферы в коллективе, оценки лояльности и пр.