Применение  анализа информационных потоков  организации дает возможность спроектировать систему обеспечения информационной безопасности, соответствующую принципу разумной достаточности. 

     В рамках экспертного аудита проводится анализ организационно-распорядительных документов, таких как политика безопасности, план защиты и различного рода инструкции. 

     Организационно-распорядительные документы оцениваются на предмет  достаточности и непротиворечивости декларируемым целям и мерам информационной безопасности. 

     Особое  внимание на этапе анализа информационных потоков уделяется определению  полномочий и ответственности конкретных лиц за обеспечение информационной безопасности различных участков/подсистем ИС. Полномочия и ответственность должны быть закреплены положениями организационно-распорядительных документов. 

     Результаты  экспертного аудита могут содержать  разноплановые предложения по построению или модернизации системы обеспечения  информационной безопасности, например: 

     Изменения (если они требуются) в существующей топологии сети и технологии обработки  информации

     Рекомендации  по выбору и применению систем защиты информации и других дополнительных специальных технических средств

     Предложения по совершенствованию пакета организационно-распорядительных документов

     Рекомендации  по этапам создания системы информационной безопасности

     Ориентировочные затраты на создание или совершенствование  системы обеспечения информационной безопасности (СОИБ).

     Аудит на соответствие стандартам  

     Суть  данного вида аудита наиболее приближена к тем формулировкам и целям, которые существуют в финансовой сфере. При проведении данного вида аудита состояние информационной безопасности сравнивается с неким абстрактным  описанием, приводимым в стандартах. 

     Официальный отчет, подготовленный в результате проведения данного вида аудита, включает следующую информацию: 

• Степень соответствия проверяемой информационной системы  выбранным стандартам
• Степень соответствия собственным внутренним требованиям компании в области информационной безопасности
• Количество и категории полученных несоответствий и замечаний
• Рекомендации по построению или модификации системы обеспечения информационной безопасности, позволяющие привести ее в соответствие с рассматриваемым стандартом
• Подробная ссылка на основные документы заказчика, включая политику безопасности, описания процедур обеспечения информационной безопасности, дополнительные обязательные и необязательные стандарты и нормы, применяемые к данной компании.

     Ниже  перечислены примеры стандартов, на соответствие которым проводится аудит системы информационной безопасности: 

     Международный стандарт ISO/IEC 17799 «Информационные технологии. Управление информационной безопасностью» (Information Technology – Information Security Management). На сегодняшний день является одним из самых распространенных и широко применяемым стандартом во всем мире

     Международный стандарт Web Trust?. Применим для подтверждения  высокого уровня защищенности системы  электронной коммерции и web-сервисов.

     Причины проведения аудита на соответствие стандарту (и сертификации) можно условно  разделить по степени обязательности данной услуги по отношению к компании: обязательная сертификация; сертификация, вызванная «внешними» объективными причинами; сертификация, позволяющая получить выгоды в долгосрочной перспективе; добровольная сертификация. 

     Государственные организации, которые обрабатывают сведения, составляющие государственную  тайну, в соответствии с российским законодательством обязаны проводить аттестацию информационной системы (во многом процедура аналогична сертификации). Однако чаще всего они пользуются не услугой аудита на соответствие стандартам, а в обязательном порядке проводят аттестацию собственных информационных систем при участии аттестационных центров. 

     Среди государственных организаций (а  также «полугосударственных» –  организаций с большой долей  уставного капитала, принадлежащего государству) велика доля тех, кто в  соответствии с законодательством  не обязан проводить аттестацию информационной системы. Для них аудит на соответствие стандартам более актуален. Чаще всего его проводит компания-интегратор, которая имеет большой опыт успешного взаимодействия с компанией-заказчиком. При необходимости в качестве субподрядчиков привлекаются аттестационные центры. 
 

     В последнее время все большее  количество компаний рассматривают  получение сертификата, подтверждающего  высокий уровень информационной безопасности, как «козырь» в борьбе за крупного клиента или делового партнера. 

     В этом случае целесообразно проведение аудита и последующей сертификации на соответствие тем стандартам, которые являются значимыми для клиента или делового партнера. 

     Иногда  руководство компании проявляет  инициативу по сертификации системы  информационной безопасности. Для таких организаций важны не только защита собственных ресурсов, но и подтверждение со стороны независимого эксперта (в роли которого выступает компания-аудитор) высокого уровня защиты. 

     В заключение отметим, что при планировании проверки состояния системы информационной безопасности важно не только точно выбрать вид аудита, исходя из потребностей и возможностей компании, но и не ошибиться с выбором исполнителя. 

     Как уже было сказано, результаты любого вида аудита содержат рекомендации по модернизации системы обеспечения информационной безопасности. 

     Если  аудит проводит консалтинговая компания, которая кроме консалтинговой деятельности занимается еще и разработкой  собственных систем защиты информации, она, по понятным причинам, заинтересована в том, чтобы результаты аудита рекомендовали заказчику использовать ее продукты. Для того чтобы рекомендации на основе аудита были действительно объективными, необходимо, чтобы компания-аудитор была независима в выборе используемых систем защиты информации и имела большой опыт работы в области информационной безопасности.

     3.     АУДИТ БЕЗОПАСНОСТИ WEB-ПРИЛОЖЕНИЙ

     О проблеме

     Большинство компаний в современных рыночных условиях уделяют недостаточно внимания безопасности своих web-приложений. Зачастую руководство может оправдывать такой подход низкой степенью влияния web-приложений на бизнес-процессы компании. 
 
Если речь идет о сайте-визитке, то потери от скомпрометированного web-узла действительно можно расценить как минимальные. Однако не стоит забывать, что и в этом случае компания может нести значительные репутационные риски, связанные, например, с ситуацией когда на сайте происходит малозаметная подмена контента. 
 
Совсем иная ситуация возникает когда бизнес-процессы компании полностью основаны на функционировании web-приложения. К данной категории относятся интернет-магазины, корпоративные порталы, электронные торговые площадки, SaaS-приложения и т.д. Возможные финансовые потери компании в случае вывода приложения из строя или хищения/подмены данных могут варьировать в очень широком диапазоне. 
 
Согласно последнему исследованию, проведенному Web Application Security Consortium (WASC), вероятность возникновения уязвимостей высокой степени риска среди исследованных приложений составила от 80 до 96 %

     Закон о персональных данных

     До 1 января 2010 года все операторы ПД обязаны привести свои информационные системы обработки персональных данных в соответствие требованиям закона «О персональных данных». Под действие данного закона попадает большинство web-ресурсов сегмента электронной коммерции. Учитывая специфику разработки подобных web-приложений в российской части Интернета можно предположить что большинство из них потребуют дополнительной проверки на предмет возможности утечки информации, классифицируемой как персональные данные.

     Методика  аудита

     Проведение  аудита безопасности web-приложения предполагает несколько этапов работ:

1. Автоматическое сканирование

     На  данном этапе проводится автоматическое сканирование web-узла при помощи программных  средств обнаружения уязвимостей. Проводится анализ наличия типичных решений, применяемых для web -ресурса, таких как CMS, форумы, гостевые книги и тд. Большинство подобных решений имеют открытый исходный код и хорошо изучены на предмет наличия уязвимостей. Дополнительно проводится поиск эксплойтов в случае обнаружения подобных уязвимостей. 
Автоматическое сканирование позволяет выявить не только ошибки на уровне исходного кода web-сценария, но также и типичные ошибки администрирования сервера.

2. Метод «черного ящика» (Black Box)

     Используя информацию, полученную на первом этапе, специалист проводит анализ выявленных уязвимостей, а также поиск новых  уязвимостей неавтоматизированными средствами. Оценивается возможность скомпрометировать систему без каких-либо дополнительных знаний об её внутренней структуре.  
 
 

     

3. Метод «белого ящика» (White Box)

     Данный  этап предполагает всесторонний анализ структуры и исходного кода web-приложения, а также условий функционирования web-приложения на физическом сервере, таких как:

• ОС и применяемая политика безопасности
• используемое серверное ПО и его настройка

     Основная  задача – выявление причин найденных  ранее уязвимостей, а также поиск новых уязвимостей. Анализ кода проводится на основе выработанных рекомендаций по созданию безопасного кода. В случае нахождения формальных признаков новой уязвимости – она проверяется на предмет возможности её эксплуатации. 
В случае размещения web-приложения в условиях аренды места на сервере хостинга – дополнительно может быть проведена оценка угроз, исходящих от соседних доменов, размещенных на данном физическом сервере.

4. Оценка рисков

     На  данном этапе проводится анализ всех найденных в процессе аудита угроз, описание процесса и причин их возникновения, оценка вероятности возникновения и степени влияния на бизнес-процессы Заказчика. 
Все выявленные уязвимости классифицируются согласно Web Application Security Consortium Web Security Threat Classification (WASC WSTCv2)

5. Выработка рекомендаций

     На  основе анализа угроз, вырабатывается ряд рекомендаций по их устранению.

6. Внедрение мер по обеспечению информационной безопасности

     На  основе выработанных рекомендаций по согласованию с Заказчиком производится внедрение мер по обеспечению информационной безопасности, которые включают в себя настройку системных параметров, изменение исходного кода приложения и внедрение средств защиты. 
По окончании работ производится оценка остаточного риска.