Проведення аудиту безпеки

Проведення аудиту безпекиАвтор: невідомий Редактор: Кирило Шагін

  • Що таке "аудит безпеки"
  • Визначення політик безпеки
  • Попередній аудит
  • Аудит
  • Проведення заключного інструктажу
  • Назад до офісу
  • Не примушуйте їх чекати
  • Аудит – це не подія, а процес
Що таке "аудит безпеки"Фраза "перевірка безпеки" вживається взаємозамінно з фразою "аудит комп'ютерної безпеки", хоча ці поняття відрізняються. Перевірка безпеки (pen-test) – це вузько спрямована перевірка наявності проломів у критичних ресурсах, таких як міжмережевий захист або Web-сервер. Перевіряючі безпеку можуть розглядати лише один сервіс на мережевому ресурсі. Вони зазвичай працюють ззовні з мінімальною інформацією про дану мережу для того, щоб якомога реалістичніше симулювати можливу атаку хакера.

З іншого боку, аудит комп'ютерної безпеки - це систематична оцінка того, як влаштовано політику безпеки цієї організації. Аудитори комп'ютерної безпеки працюють з повним володінням інформацією про організацію, її внутрішню структуру для того, щоб досліджувати ресурси, які повинні перебувати під аудитом.

Аудит безпеки є частиною процесу визначення та управління ефективними політиками безпеки, і це не просто розмови та конференції. Аудит безпеки стосується кожного, хто використовує ресурси всередині організації. Він надає всі можливості для перевірки безпеки вашої компанії.

Аудитори комп'ютерної безпеки здійснюють перевірку за допомогою особистих опитувань, сканувань на наявність уразливостей, перевірки налаштування операційної системи, аналізу відкритих мережевих ресурсів, історії даних. Вони внасамперед досліджують використання політик безпеки – основу будь-якої ефективної стратегії безпеки організації. Далі йдуть питання, на які аудит безпеки повинен знайти відповідь:

Це лише кілька питань, на які слід звернути увагу під час проведення аудиту безпеки. Відповідаючи чесно та точно на ці питання, організація може подати реальну картину безпеки своєї життєво важливої ​​інформації.

Визначення політик безпекиАудит безпеки - це, по суті, оцінка ефективності застосування політик безпеки всередині організації. Звичайно, передбачається, що організація приділяє увагу безпеці, що, на жаль, не завжди є такою. Навіть зараз у багатьох організаціях немає чітко сформульованої політики. Політики безпеки є засобами стандартизації практики безпеки за допомогою їх документування (у письмовій формі) та угоди з боку співробітників, які прочитали та підписалися під ними. Якщо не існує написаних політик безпеки, або вони неформальні, то це може призвести до їх неправильного розуміння та невиконання співробітниками. Проведення політики безпеки має вимагати ознайомлення та згоду в письмовій формі з ними. Наявність політик безпеки не торкається питання компетентності працівників, а скоріше дає впевненість у тому, що кожен працівник знає, як захистити інформацію, та згоден виконувати своє зобов'язання.

Метою аудиту безпеки є пошук слабини у політиках безпеки та рекомендації щодо їх вирішення. Політика має бути також об'єктом уважного розгляду. Чи це справді існуючий документ, який точно описує способи щоденного захисту організацією ІТ ресурсів? Чи відображає політикавиробничі стандарти використовуваних ІТ ресурсів усередині організації?

Попередній аудитПерш ніж аудитори комп'ютерної безпеки приступлять до попереднього аудиту, їм слід зробити велику кількість організаційних робіт. Вони мають бути знайомі з об'єктом аудиту. Разом з аналізом результатів раніше проведених аудитів аудиторам слід взяти на озброєння деякі інструменти, до яких вони згодом звернуться. Перший – це попереднє знайомство з фірмою; технічний опис хостів системи, що включає керування та дані про користувачів. Така інформація може бути застарілою, проте давати загальне уявлення про систему. Загальні відомості про безпеку можуть бути використані при подальшому знайомстві з підприємством. Ці відомості є природно суб'єктивними, але вони корисні, оскільки дозволяють створити загальну картину, побудовану практично. Аудиторам часто ставлять питання щодо засобів та методів оцінки ситуації при контролі за ІТ ресурсами. До таких відносяться: засоби управління, засоби контролю доступу/автентифікації, безпека фізично, зовнішній доступ до системи, засоби та методи адміністрування системи, з'єднання із зовнішніми мережами, віддалений доступ, відповідальність за інцидент, попереднє планування.

Аналіз фірми та відомості про безпеку мають бути чітко описані з певною кількістю відповідей на специфічні вимоги. Вони мають бути пронумеровані за зростанням від менших (без особливих вимог) до більш бажаних (з особливими вимогами та документацією). І ті, й інші повинні мати електронні комерційні угоди щодо придатності для клієнтської організації. Наприклад, компанії, що випускають кредитні картки, мають перелік угод про безпеку.своїх продуктів. Ці угоди включають мережну безпеку, безпеку операційної системи та додатків, а також захист на фізичному рівні.

Аудитори, в основному внутрішні аудитори, повинні розглянути попередні інциденти в клієнтській організації, пов'язані з безпекою з метою встановлення слабких місць в організації безпеки. Також повинні бути проаналізовані ці умови, щоб уникнути повторення неприємних інцидентів. Якщо аудитори перевіряють систему, що дозволяє вихід до Інтернету, їм слід звернути увагу на логі IDS/Фаєрволів. Чи відображають ці логи спроби скористатися вразливістю системи? Чи може для цього існувати якась причина (наприклад, помилка в налаштуваннях фаєрвола), через яку ці спроби можуть мати місце. Чи це можливо перевірити?

Через велику кількість даних, які підлягають перевірці, аудитори захочуть працювати з клієнтами безпосередньо, щоб визначити масштаб робіт для аудиту. Фактори, що впливають на це: бізнес-план фірми, спосіб захисту даних та значення/важливість цих даних для організації, попередні інциденти, час для проведення аудиту та талант/компетентність аудиторів. Професійні аудитори захочуть чітко визначити масштаб робіт, погоджений із клієнтом.

Далі аудитори розробляють план, згідно з яким наводиться аудит, персонал, з яким працюватимуть аудитори та інструменти аудиту. Потім вони обговорюють план із агентством. Після цього аудитори обговорюють мету аудиту з персоналом та узгодять деякі деталі, такі як час проведення аудиту, необхідні кошти та вплив аудиту на повсякденну роботу. Далі аудитори повинні переконатися в тому, що цілі аудиту зрозумілі персоналом.

АудитПісля прибуття на фірму, аудитори не повинні заважати веденню бізнесу під часперевірки. Їм слід провести інструктаж, у якому аудитори знову наголосять на масштабі своєї роботи та їхніх планах. Будь-які питання, які виникли у співробітників фірми, повинні бути роз'яснені, і наприкінці розмови підбито підсумки цієї мети аудиту.

Аудитори повинні бути суворими та неупередженими та проводити аудит відповідно до стандартів та методів. Під час аудиту вони будуть збирати дані про фізичну безпеку комп'ютерів та проводити інтерв'ю. Вони можуть провести оцінку вразливості мережі, безпеки операційних систем та програм, оцінку контролю за доступом та інші обчислення. Під час процесу перевірки аудиторам слід дотримуватись заздалегідь визначеного плану, і водночас бути готовими до несподіваних проблем. Вони повинні діяти між поняттями чи очікуваннями, що склалися, того, що вони повинні знайти і того, що є насправді.

Проведення заключного інструктажуПісля закінчення перевірки аудитори проведуть заключний інструктаж, переконуючись у тому, що керівництво в курсі всіх проблем, які мають бути вирішені негайно. На питання від керівництва слід відповідати у нормальній манері, щоб не створити поганого враження про аудит. Слід наголосити, що аудитори не здатні в даний момент дати чіткі відповіді на поставлені питання. Усі остаточні висновки зроблять після остаточних аналізів результатів аудиту.

Назад до офісуПовернувшись до офісу, аудитори почнуть об'єднувати свої записи для перевірки та аналізувати зібрані дані за допомогою оціночних інструментів. Повинні відбутися перші збори для того, щоб підбити звіт результатів аудиту. На цих зборах аудитори можуть визначити галузі проблем та можливі рішення. Аудиторський звіт може бути складений у кількох формах, але текст звітумає бути простим і прямолінійним, що містить конкретні дані про знайдені проблеми разом із рішеннями щодо усунення цих недоліків.

Не змушуйте їх чекатиЗвіт повинен бути представлений швидко та чітко, щоб замовник міг виправити проблеми, виявлені під час аудиту. Залежно від політик компанії, аудитори мають бути готовими пояснити недоліки та допомогти усунути їх. Керівництво має вести спостереження за недоліками, виявленими під час аудиту, доки вони не будуть усунені.

Аудит - це не подія, а процесСлід пам'ятати, що з розвитком організації заходи безпеки також повинні змінюватися. З цього погляду аудит комп'ютерної безпеки - це одноразове завдання, а тривалі спроби захистити дані. Аудит досліджує політику безпеки організації та проводить аналіз ефективності цієї політики в контексті структури організації, її цілей та дій. Аудит має бути побудований на минулій перевірці, щоб допомогти вникнути в політику та виправити вразливість, виявлену в процесі аудиту. Інструменти також є важливою частиною процесу аудиту, оскільки аудит не буде ефективним без використання останніх та найкращих інструментів пошуку вразливостей, а значущості йому додасть використання організованої, послідовної, точної інформації про дані та аналіз, що дозволяє знаходження та усунення помилок.