Аудит информационной безопасности - это системный процесс получения объективных качественных и количественных оценок текущего состояния корпоративной ИТС в соответствии с критериями информационной безопасности.
Для того чтобы оценить реальное состояние защищенности ресурсов ИТС и ее способность противостоять внешним и внутренним угрозам безопасности, необходимо регулярно проводить аудит информационной безопасности.
Аудит информационной безопасности можно разделить на два вида:
- экспертный аудит информационной безопасности, в ходе которого выявляются недостатки в системе мер защиты информации на основе опыта экспертов, участвующих в процедуре аудита;
- аудит информационной безопасности на соответствие международному стандарту ISO/IEC 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», разработанному Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) на основе британского стандарта BS 7799-2:2002 «Системы управления информационной безопасностью. Спецификация и руководство по применению».
В число задач, которые решаются в ходе проведения аудита информационной безопасности входят:
- сбор и анализ исходных данных об организационной и функциональной структуре ИТС организации, необходимых для оценки состояния информационной безопасности;
- анализ существующей политики обеспечения информационной безопасности на предмет полноты и эффективности;
- анализ информационных и технологических рисков связанных с осуществлением угроз информационной безопасности;
- осуществление тестовых попыток несанкционированного доступа к критически важным узлам ИТС и определение уязвимости в установках защиты данных узлов;
- формирование рекомендаций по разработке (или доработке) политики обеспечения информационной безопасности на основании анализа существующего режима информационной безопасности;
- формирование предложений по использованию существующих и установке дополнительных средств защиты информации для повышения уровня надежности и безопасности ИТС организации.
Цель проведения экспертного аудита информационной безопасности - оценка состояния безопасности ИТС и разработка рекомендаций по применению комплекса организационных мер и программно-технических средств, направленных на обеспечение защиты информационных и других ресурсов ИТС от угроз информационной безопасности.
Экспертный аудит информационной безопасности является начальным этапом работ по созданию комплексной системы защиты информации ИТС. Эта подсистема представляет собой совокупность мер организационного и программно-технического уровня, которые направлены на защиту информационных ресурсов ИТС от угроз информационной безопасности, связанных с нарушением доступности, целостности и конфиденциальности хранимой и обрабатываемой информации.
Экспертный аудит информационной безопасности позволяет принять обоснованные решения по использованию мер защиты, необходимых для отдельно взятой организации, оптимальных в соотношении их стоимости и возможности осуществления угроз нарушения информационной безопасности.
Аудит информационной безопасности на соответствие международному стандарту ISO/IEC 27001:2005 представляет собой перечень требований к системе менеджмента информационной безопасности (СМИБ), обязательных для сертификации. Стандарт устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной СМИБ в контексте существующих бизнес-рисков организации.
Таким образом, результатом проведенного аудита на соответствие международному стандарту ISO/IEC 27001:2005 является:
- описание области деятельности СМИБ;
- методику определения существенных активов;
- список (опись, реестр) существенных активов организации и их ценность (критичность);
- методику оценки рисков;
- отчет по оценке рисков;
- критерии для принятия рисков;
- заявление о принятии (одобрении) остаточных рисков;
- план обработки рисков;
- список политик, руководств, процедур, инструкций, необходимых для функционирования СМИБ организации. Рекомендации по их разработке.
2.1 Шаги проведения комплексного аудита безопасности ИС
· Информационное обследование ИС.
· Анализ соответствия предъявляемым требованиям.
· Инструментальное исследование элементов инфраструктуры компьютерной сети и корпоративной информационной системы.
· Анализ уязвимостей и оценка рисков.
· Рекомендации по результатам организационно-технического анализа системы ИБ предприятия.
По желанию Заказчика может быть проведен аудит по отдельным видам работ, по отдельным объектам ИС (ЛВС, периметр защиты ИС, автоматизированные системы) либо выполнены дополнительные работы:
· Анализ документооборота предприятия категории "коммерческая тайна" на соответствие требованиям нормативных документов отраслевого, федерального уровня и внутренним требованиям предприятия по обеспечению.
· Предпроектное обследование объектов информатизации.
· Тесты на проникновение.
3 Анализ системы безопасности предприятия ОАО «РОСТСТРОЙ»
На предприятии осуществлено ограждение территории заборами, усовершенствованными с помощью нескольких валиков скрученной колючей проволоки, регулярно осуществляется обход территории завода охранниками, средства видеонаблюдения отсутствуют, используется система дежурного и аварийного охранного освещения.
На предприятии используется подсистема контроля и управления доступом.
Подсистема контроля и управления доступом (СКУД) представляет собой совокупность организационных мер, оборудования и приборов, инженерно-технических сооружений, алгоритмов и программ, которая автоматически выполняет в определенных точках объекта в заданные моменты времени, следующие основные задачи:
- разрешает проход уполномоченным субъектам (сотрудникам, посетителям, транспорту);
- запрещает проход всем остальным.
Объект разбит на зоны доступа, в каждую из которых имеет право проходить строго определенные лица (субъекты). Для доступа в зоны субъекту необходимо пройти набор точек доступа. В каждой точке доступа установлены считыватели и преграждающие устройства.
На предприятии имеются две проходные, оборудованные двустворчатыми воротами с шириной проезда 6 метров. Через одну из них осуществляется проход персонала и проезд на личном автотранспорте к зданию администрации. Доступ на территорию предприятия осуществляется посредством смарт-карт. Смарт-карта представляет собой пластиковую карточку, по размерам соответствующую обычной кредитной карточке, в которую заключены микропроцессор и запоминающее устройство.
Внутренняя архитектура смарт-карты включает микропроцессор, позволяющий использовать сложные способы кодирования информации, постоянную память, в которую зашиты команды для процессора, оперативную память, используемую в качестве рабочей, и перезаписываемую память для чтения и записи информации извне.
Для контроля над деятельностью персонала на контрольно-пропускном пункте установлена система контроля доступа, состоящая из считывателя карт, контроллера обработки информации от считывателя, а также программного обеспечения (с персональным компьютером) для ведения непрерывного протокола событий обо всех действиях персонала.
К системе контроля доступа подключены шлагбаум, и турникеты что позволяет открывать шлагбаум автоматически при поднесении карточки к считывателю.
На входе установлены два турникета и четыре считывателя – на вход и на выход. Для прохода через турникет сотруднику необходимо поднести карточку к соответствующему считывателю. Все считыватели подключены к контроллерам системы контроля доступа, которые принимают решение о допуске сотрудников, а также ведут непрерывный протокол всех событий.
Вторая проходная предназначена для грузового транспорта. В непосредственной близости от проходной расположена стоянка грузовых автомобилей, где и осуществляется погрузка-разгрузка материалов.
Доступ на территорию предприятия через вторую проходную осуществляется с помощью системы пропусков. Пропуск выписывается заранее. Государственные номера автотранспорта, цель прибытия, время погрузки и разгрузки фиксируются в специальном журнале.
В здании администрации организована система охранной сигнализации: на окна и входные двери установлены специальные устройства, передающие сигнал тревоги при открывании, во многих помещениях установлены датчики движения.
Разработанные рекомендации:
1. Организовать на предприятии охранное телевидение.
2. Оборудовать входные двери специальными замками, позволяющими регулировать доступ в помещения.
3. Заменить и установить армированную колючую ленту на определенных участках периметра.
4. Установить противотаранное устройство на проходной для автотранспорта.
5. Заменить двустворчатые ворота на проходной для автотранспорта.
6. Установить устройство защиты телефонных линий в кабинете директора (Цикада М, Зевс, Генератор Соната АВ 1М).
7. Установить прибор для защиты помещений от прослушивания через акустический и вибрационный каналы в помещении, предназначенном для конфиденциальных переговоров (Зевс, Генератор ВГШ-103, виброакустический генератор SI-3001, шумогенератор PNG-200).
8.Использовать технические средства для повышения отказоустойчивости и защиты оборудования от сбоя электропитания (источники бесперебойного питания APCSmart 420 VA и источник бесперебойного питания IPPONPowerProBack 400 VA).