Автор: Пользователь скрыл имя, 22 Сентября 2011 в 19:14, курсовая работа
Целью аудита является предоставление независимой и объективной комплексной оценки текущего состояния защищенности информационной системы, позволяющей систематизировать угрозы информационной безопасности и предложить рекомендации по их устранению.
1. Введение 5
2. Основные положения 6
3. Методики аудита 8
3.1. Экспертный аудит 8
3.2. Активный аудит 11
3.3. Аудит web–приложений 13
3.4. Комплексный аудит 16
3.5. Аудит на соответствие стандартам 18
4. Заключение 20
5. Источники 21
Содержание
Тема данной практической работы обозначена, как: “Аудит информационной безопасности”.
Для реализации поставленных задач, следует изучить основные положения, цели, задачи, применяемые методики аудита информационной безопасности. Для закрепления полученных знаний, будет необходимо выполнить письменный отчёт, в котором должны быть отражены основные аспекты данный темы. В заключение работы следует проанализировать проделанную работу и полученные результаты.
Производственная практика проходит в главном здании АлтГТУ, на кафедре вычислительных систем и информационной безопасности.
Аудит информационной безопасности – независимая оценка текущего состояния системы информационной безопасности, устанавливающая уровень ее соответствия определенным критериям, и предоставление результатов в виде рекомендаций.
Целью аудита является предоставление независимой и объективной комплексной оценки текущего состояния защищенности информационной системы, позволяющей систематизировать угрозы информационной безопасности и предложить рекомендации по их устранению.
Задачи, которые решаются в ходе аудита защищенности информационной системы:
– анализ структуры, функций, используемых технологий автоматизированной обработки и передачи информации в информационной системе, анализ бизнес–процессов, нормативно–распорядительной и технической документации;
– выявление значимых угроз информационной безопасности и путей их реализации, выявление и ранжирование по степени опасности существующих уязвимостей технологического и организационного характера в информационной системе;
– составление неформальной модели нарушителя, применение методики активного аудита для проверки возможности реализации нарушителем выявленных угроз информационной безопасности;
– проведение теста на проникновение по внешнему периметру IP–адресов, проверка возможности проникновения в информационную систему при помощи методов социальной инженерии;
– анализ и оценка рисков, связанных с угрозами безопасности информационных ресурсов;
– оценка системы управления информационной безопасностью на соответствие требованиям стандарта ГОСТ Р ИСО/МЭК 27001–2006 и разработка рекомендаций по совершенствованию системы управления информационной безопасностью;
– разработка предложений и рекомендаций по внедрению новых и повышению эффективности существующих механизмов обеспечения информационной безопасности.
Аудит информационной безопасности состоит из следующих этапов:
– инициирование работ и планирование;
– обследование и сбор информации;
– поиск уязвимостей и несоответствий;
– выработка рекомендаций и подготовка отчетных документов.
Результатом аудита информационной безопасности является создание документа, который содержит детальную информацию о:
– всех выявленных уязвимостях объекта аудита;
– критичности найденных уязвимостях;
– последствие в случае реализации угроз;
– рекомендации по устранению уязвимостей.
На основании результатов аудита информационной безопасности, организация сможет выстроить грамотную систему безопасности, минимизировать возможные риски информационной безопасности, а также повысить свой авторитет в глазах партнеров и клиентов.
Аудит
информационной безопасности позволит
руководству организации увидеть реальное
состояние информационных активов и оценить
их защищенность.
Экспертный аудит необходим, когда оценивается уровень защищенности только тех компонентов информационных систем, которые, по мнению владельца организации, являются наиболее значимыми, то есть, отсутствует необходимость в полном обследовании организации. Таким образом, появляется возможность сосредоточиться на наиболее критичных ресурсах и минимизировать затраты на комплексный аудит.
Основные этапы экспертного аудита включают в себя:
– анализ информационной системы;
– анализ наиболее значимых активов;
– формирование модели угроз, модели нарушителя;
– анализ требований к безопасности информационной среды;
– оценка текущего состояния;
– разработка рекомендаций по устранению обнаруженных недочетов и уязвимостей;
– создание отчетной рекомендации.
При выполнении экспертного аудита сотрудники компании–аудитора совместно с представителями организации проводят следующие виды работ:
– сбор исходных данных об информационной системе, об её функциях и особенностях, используемых технологиях автоматизированной обработки и передачи данных;
–
сбор информации об имеющихся организационно–
– определение точек ответственности систем, устройств и серверов информационной системы;
– формирование перечня подсистем каждого подразделения компании с категорированием критичной информации и схемами информационных потоков.
Один из самых объемных видов работ, которые проводятся при экспертном аудите, – сбор данных об информационной системе путем интервьюирования представителей организации и заполнения ими специальных анкет. Основная цель интервьюирования технических специалистов — сбор информации о функционировании сети, а руководящего состава компании – выяснение требований, которые предъявляются к системе информационной безопасности.
Ключевой этап экспертного аудита — анализ проекта информационной системы, топологии сети и технологии обработки информации, в ходе, которого выявляются, такие недостатки существующей топологии сети, которые снижают уровень защищенности информационной системы. По результатам работ данного этапа предлагаются изменения в существующей информационной системе и технологии обработки информации, направленные на устранение найденных недостатков с целью достижения требуемого уровня информационной безопасности.
Следующий этап – анализ информационных потоков организации. На данном этапе определяются типы информационных потоков в информационной системе организации, и составляется их диаграмма, где для каждого информационного потока указывается его ценность и используемые методы обеспечения безопасности, отражающие уровень защищенности информационного потока. На основании результатов данного этапа работ предлагается защита или повышение уровня защищенности тех компонент информационной системы, которые участвуют в наиболее важных процессах передачи, хранения и обработки информации. Для менее ценной информации уровень защищенности остается прежним, что позволяет сохранить для конечного пользователя простоту работы с информационной системой.
Применение анализа информационных потоков организации позволяет спроектировать систему обеспечения информационной безопасности, которая будет соответствовать принципу разумной достаточности.
В
рамках экспертного аудита производится
анализ организационно–
Результаты экспертного аудита могут содержать разноплановые предложения по построению или модернизации системы обеспечения информационной безопасности:
– изменения в существующей топологии сети и технологии обработки информации;
– рекомендации по выбору и применению систем защиты информации и других дополнительных специальных технических средств;
–
предложения по совершенствованию пакета
организационно–
– предложения по этапам создания системы информационной безопасности;
– ориентировочные затраты на создание или совершенствование СОИБ.
Основными преимуществами экспертного аудита является возможность сэкономить средства и время, путем отказа от более масштабного комплексного аудита, а так же сосредоточиться на анализе наиболее значимых объектов информационной среды.
Тест на проникновение (пентест) в информационную систему является оптимальным способом, позволяющий оценить защищенность информационной системы в целом, обнаружить отдельные уязвимости и проверить надежность существующих механизмов защиты информационной системы от несанкционированного воздействия, используя различные модели нарушителей. Организации предоставляется детальный отчет, содержащий результаты всестороннего анализа текущего состояния его информационной системы, выявленные уязвимости и способы их использования, рекомендации по их устранению.
Основные цели проведения тестов на проникновение:
– поиск уязвимостей, позволяющих произвести атаку на информационную систему;
– определение защищенности информационной системы;
– актуальность применяемых методов защиты информации от несанкционированного воздействия;
– регулярный контроль изменений в информационной системе;
– требования международных стандартов и нормативных документов в сфере информационной безопасности требующие проведение регулярных тестов на проникновение.
Основные задачи проведения тестов на проникновение:
– оценка текущего состояния информационной безопасности;
– выявление уязвимостей информационной системы с их ранжированием по степени критичности и идентификацией по международным, собственным классификаторам;
– требования международных стандартов и законодательства;
– разработка рекомендаций по повышению эффективности защиты информации в информационной системе;
– предоставление организации независимой оценки выбранных мер и методик информационной защиты;
– подготовка данных для проведения комплексного аудита информационной безопасности.
Объектами тестирования являются: внешние серверы, внешнее сетевое оборудование, отдельные сервисы.
Виды тестов на проникновение:
1) тестирование методом черного ящика – тестирование без предварительных знаний о тестируемом объекте. При выборе данного метода тестирования организация предоставляет лишь диапазон внешних IP–адресов или адреса серверов. Данный подход максимально приближен к действиям злоумышленника не знакомого с целевой системой. Данные о тестируемом объекте будут собираться при помощи общедоступных источников;
2) тестирование методом белого ящика – более детальное исследование, основанное на дополнительной информации о тестируемом объекте. При выборе данного метода тестирования может запрашиваться дополнительная документация, исходные коды, структура сети, полный доступ к тестируемому объекту. Тест моделирует ситуацию, возможную в случае утечки информации, когда атакующий знает архитектуру информационной системы, знаком с исходными кодами или схемами, возможно, даже некоторыми паролями;