Аудит Информационной Безопасности

Автор: Пользователь скрыл имя, 22 Сентября 2011 в 19:14, курсовая работа

Описание работы

Целью аудита является предоставление независимой и объективной комплексной оценки текущего состояния защищенности информационной системы, позволяющей систематизировать угрозы информационной безопасности и предложить рекомендации по их устранению.

Содержание

1. Введение 5
2. Основные положения 6
3. Методики аудита 8
3.1. Экспертный аудит 8
3.2. Активный аудит 11
3.3. Аудит web–приложений 13
3.4. Комплексный аудит 16
3.5. Аудит на соответствие стандартам 18
4. Заключение 20
5. Источники 21

Работа содержит 1 файл

Аудит Информационной Безопасности.doc

— 116.00 Кб (Скачать)

 

Содержание 
 
 
 
 
 
 
 
 
 
 
 
 

  1. Введение

     Тема  данной практической работы обозначена, как: “Аудит информационной безопасности”.

       Для реализации поставленных  задач, следует изучить основные положения, цели, задачи, применяемые методики аудита информационной безопасности. Для закрепления полученных знаний, будет необходимо выполнить письменный отчёт, в котором должны быть отражены основные аспекты данный темы. В заключение работы следует проанализировать проделанную работу и полученные результаты.

    Производственная  практика проходит в главном здании АлтГТУ, на кафедре вычислительных систем и информационной безопасности.

 

  1. Основные положения

    Аудит информационной безопасности – независимая  оценка текущего состояния системы  информационной безопасности, устанавливающая  уровень ее соответствия определенным критериям, и предоставление результатов  в виде рекомендаций.

      Целью аудита является предоставление независимой и объективной комплексной оценки текущего  состояния защищенности информационной системы, позволяющей систематизировать угрозы информационной безопасности и предложить рекомендации по их устранению.

    Задачи, которые решаются в ходе аудита защищенности информационной системы:

    – анализ структуры, функций, используемых технологий автоматизированной обработки и передачи информации в информационной системе, анализ бизнес–процессов, нормативно–распорядительной и технической документации;

    – выявление значимых угроз информационной безопасности и путей их реализации, выявление и ранжирование по степени опасности существующих уязвимостей технологического и организационного характера в информационной системе;

    – составление неформальной модели нарушителя, применение методики активного аудита для проверки возможности реализации нарушителем выявленных угроз информационной безопасности;

    – проведение теста на проникновение по внешнему периметру IP–адресов, проверка возможности проникновения в информационную систему при помощи методов социальной инженерии;

    – анализ и оценка рисков, связанных с угрозами безопасности информационных ресурсов;

    – оценка системы управления информационной безопасностью на соответствие требованиям стандарта ГОСТ Р ИСО/МЭК 27001–2006 и разработка рекомендаций по совершенствованию системы управления информационной безопасностью;

    – разработка предложений и рекомендаций по внедрению новых и повышению эффективности существующих механизмов обеспечения информационной безопасности.

    Аудит информационной безопасности состоит  из следующих этапов:

    –  инициирование работ и планирование;

    –  обследование и сбор информации;

    –  поиск уязвимостей и несоответствий;

    –  выработка рекомендаций и подготовка отчетных документов.

    Результатом аудита информационной безопасности является создание документа, который содержит детальную информацию о:

    –  всех выявленных уязвимостях объекта аудита;

    –  критичности найденных уязвимостях;

    –  последствие в случае реализации угроз;

    –  рекомендации по устранению уязвимостей.

    На основании результатов аудита информационной безопасности, организация сможет выстроить грамотную систему безопасности, минимизировать возможные риски информационной безопасности, а также повысить свой авторитет в глазах партнеров и клиентов.

    Аудит информационной безопасности позволит руководству организации увидеть реальное состояние информационных активов и оценить их защищенность. 
 
 

  1. Методики  аудита
    1. Экспертный  аудит

    Экспертный аудит необходим, когда оценивается уровень защищенности только тех компонентов информационных систем, которые, по мнению владельца организации, являются наиболее значимыми, то есть, отсутствует необходимость в полном обследовании организации. Таким образом, появляется возможность сосредоточиться на наиболее критичных ресурсах и минимизировать затраты на комплексный аудит.

    Основные  этапы экспертного аудита включают в себя:

    –  анализ информационной системы;

    –  анализ наиболее значимых активов;

    –  формирование модели угроз, модели нарушителя;

    –  анализ требований к безопасности информационной среды;

    –  оценка текущего состояния;

    – разработка рекомендаций по устранению обнаруженных недочетов и уязвимостей;

    – создание отчетной рекомендации.

    При выполнении экспертного аудита сотрудники компании–аудитора совместно с представителями организации проводят следующие виды работ:

    –  сбор исходных данных об информационной системе, об её функциях и особенностях, используемых технологиях автоматизированной обработки и передачи данных;

    – сбор информации об имеющихся организационно–распорядительных документах по обеспечению информационной безопасности и их анализ;

    –  определение точек ответственности систем, устройств и серверов информационной системы;

    –  формирование перечня подсистем каждого подразделения компании с категорированием критичной информации и схемами информационных потоков.

    Один  из самых объемных видов работ, которые  проводятся при экспертном аудите, – сбор данных об информационной системе  путем интервьюирования представителей организации и заполнения ими специальных анкет. Основная цель интервьюирования технических специалистов — сбор информации о функционировании сети, а руководящего состава компании – выяснение требований, которые предъявляются к системе информационной безопасности.

    Ключевой  этап экспертного аудита — анализ проекта информационной системы, топологии сети и технологии обработки информации, в ходе, которого выявляются, такие недостатки существующей топологии сети, которые снижают уровень защищенности информационной системы. По результатам работ данного этапа предлагаются изменения в существующей информационной системе и технологии обработки информации, направленные на устранение найденных недостатков с целью достижения требуемого уровня информационной безопасности.

    Следующий этап – анализ информационных потоков организации. На данном этапе определяются типы информационных потоков в информационной системе организации, и составляется их диаграмма, где для каждого информационного потока указывается его ценность и используемые методы обеспечения безопасности, отражающие уровень защищенности информационного потока. На основании результатов данного этапа работ предлагается защита или повышение уровня защищенности тех компонент информационной системы, которые участвуют в наиболее важных процессах передачи, хранения и обработки информации. Для менее ценной информации уровень защищенности остается прежним, что позволяет сохранить для конечного пользователя простоту работы с информационной системой.

    Применение анализа информационных потоков организации позволяет спроектировать систему обеспечения информационной безопасности, которая будет соответствовать принципу разумной достаточности.

    В рамках экспертного аудита производится анализ организационно–распорядительных документов, таких как политика безопасности, план защиты и различного рода инструкции. Организационно–распорядительные документы оцениваются на предмет достаточности и непротиворечивости, декларируемым целям и мерам информационной безопасности. Особое внимание на этапе анализа информационных потоков уделяется определению полномочий и ответственности конкретных лиц за обеспечение информационной безопасности различных участков информационной системы. Полномочия и ответственность должны быть закреплены положениями организационно–распорядительных документов.

    Результаты  экспертного аудита могут содержать  разноплановые предложения по построению или модернизации системы обеспечения  информационной безопасности:

    –  изменения в существующей топологии сети и технологии обработки информации;

    –  рекомендации по выбору и применению систем защиты информации и других дополнительных специальных технических средств;

    – предложения по совершенствованию пакета организационно–распорядительных документов;

    – предложения по этапам создания системы информационной безопасности;

    –  ориентировочные затраты на создание или совершенствование СОИБ.

    Основными преимуществами экспертного аудита является возможность сэкономить средства и время, путем отказа от более  масштабного комплексного аудита, а  так же сосредоточиться на анализе  наиболее значимых объектов информационной среды.

    1.   Активный аудит

    Тест  на проникновение (пентест) в информационную систему является оптимальным способом, позволяющий оценить защищенность информационной системы в целом, обнаружить отдельные уязвимости и проверить надежность существующих механизмов защиты информационной системы от несанкционированного воздействия, используя различные модели нарушителей. Организации предоставляется детальный отчет, содержащий результаты всестороннего анализа текущего состояния его информационной системы, выявленные уязвимости и способы их использования, рекомендации по их устранению.

    Основные цели проведения тестов на проникновение:

    – поиск уязвимостей, позволяющих произвести атаку на информационную систему;

    –  определение защищенности информационной системы;

    – актуальность применяемых методов защиты информации от несанкционированного воздействия;

    –  регулярный контроль изменений в информационной системе;

    –  требования международных стандартов и нормативных документов в сфере информационной безопасности требующие проведение регулярных тестов на проникновение.

    Основные  задачи проведения тестов на проникновение:

    –  оценка текущего состояния информационной безопасности;

    – выявление уязвимостей информационной системы с их ранжированием по степени критичности и идентификацией по международным, собственным классификаторам;

    – требования международных стандартов и законодательства;

    – разработка рекомендаций по повышению эффективности защиты информации в информационной системе;

    – предоставление организации независимой оценки выбранных мер и методик информационной защиты;

    – подготовка данных для проведения комплексного аудита информационной безопасности.

    Объектами тестирования являются: внешние серверы, внешнее сетевое оборудование, отдельные  сервисы.

    Виды  тестов на проникновение:

    1) тестирование методом черного ящика – тестирование без предварительных знаний о тестируемом объекте. При выборе данного метода тестирования организация предоставляет лишь диапазон внешних IP–адресов или адреса серверов. Данный подход максимально приближен к действиям злоумышленника не знакомого с целевой системой. Данные о тестируемом объекте будут собираться при помощи общедоступных источников;

    2) тестирование методом белого ящика – более  детальное исследование, основанное на дополнительной информации о тестируемом объекте. При выборе данного метода тестирования может запрашиваться дополнительная документация, исходные коды, структура сети, полный доступ к тестируемому объекту. Тест моделирует ситуацию, возможную в случае утечки  информации, когда атакующий знает архитектуру информационной системы, знаком с исходными кодами или схемами, возможно, даже некоторыми паролями;

Информация о работе Аудит Информационной Безопасности