Автор работы: Пользователь скрыл имя, 17 Декабря 2010 в 01:08, доклад
Аудит информационной безопасности – системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности
Применение
анализа информационных потоков
организации дает возможность спроектировать
систему обеспечения
В
рамках экспертного аудита проводится
анализ организационно-
Организационно-
Особое
внимание на этапе анализа информационных
потоков уделяется определению
полномочий и ответственности конкретных
лиц за обеспечение информационной
безопасности различных участков/подсистем
ИС. Полномочия и ответственность должны
быть закреплены положениями организационно-
Результаты
экспертного аудита могут содержать
разноплановые предложения по построению
или модернизации системы обеспечения
информационной безопасности, например:
Изменения (если они требуются) в существующей топологии сети и технологии обработки информации
Рекомендации
по выбору и применению систем защиты
информации и других дополнительных
специальных технических
Предложения
по совершенствованию пакета организационно-
Рекомендации по этапам создания системы информационной безопасности
Ориентировочные
затраты на создание или совершенствование
системы обеспечения
Аудит
на соответствие стандартам
Суть
данного вида аудита наиболее приближена
к тем формулировкам и целям,
которые существуют в финансовой
сфере. При проведении данного вида
аудита состояние информационной безопасности
сравнивается с неким абстрактным
описанием, приводимым в стандартах.
Официальный
отчет, подготовленный в результате
проведения данного вида аудита, включает
следующую информацию:
Ниже
перечислены примеры
Международный стандарт ISO/IEC 17799 «Информационные технологии. Управление информационной безопасностью» (Information Technology – Information Security Management). На сегодняшний день является одним из самых распространенных и широко применяемым стандартом во всем мире
Международный стандарт Web Trust?. Применим для подтверждения высокого уровня защищенности системы электронной коммерции и web-сервисов.
Причины
проведения аудита на соответствие стандарту
(и сертификации) можно условно
разделить по степени обязательности
данной услуги по отношению к компании:
обязательная сертификация; сертификация,
вызванная «внешними» объективными
причинами; сертификация, позволяющая
получить выгоды в долгосрочной перспективе;
добровольная сертификация.
Государственные
организации, которые обрабатывают
сведения, составляющие государственную
тайну, в соответствии с российским
законодательством обязаны
Среди
государственных организаций (а
также «полугосударственных» –
организаций с большой долей
уставного капитала, принадлежащего
государству) велика доля тех, кто в
соответствии с законодательством
не обязан проводить аттестацию информационной
системы. Для них аудит на соответствие
стандартам более актуален. Чаще всего
его проводит компания-интегратор, которая
имеет большой опыт успешного взаимодействия
с компанией-заказчиком. При необходимости
в качестве субподрядчиков привлекаются
аттестационные центры.
В
последнее время все большее
количество компаний рассматривают
получение сертификата, подтверждающего
высокий уровень информационной
безопасности, как «козырь» в борьбе
за крупного клиента или делового
партнера.
В
этом случае целесообразно проведение
аудита и последующей сертификации на
соответствие тем стандартам, которые
являются значимыми для клиента или делового
партнера.
Иногда
руководство компании проявляет
инициативу по сертификации системы
информационной безопасности. Для таких
организаций важны не только защита собственных
ресурсов, но и подтверждение со стороны
независимого эксперта (в роли которого
выступает компания-аудитор) высокого
уровня защиты.
В
заключение отметим, что при планировании
проверки состояния системы информационной
безопасности важно не только точно выбрать
вид аудита, исходя из потребностей и возможностей
компании, но и не ошибиться с выбором
исполнителя.
Как
уже было сказано, результаты любого
вида аудита содержат рекомендации по
модернизации системы обеспечения информационной
безопасности.
Если аудит проводит консалтинговая компания, которая кроме консалтинговой деятельности занимается еще и разработкой собственных систем защиты информации, она, по понятным причинам, заинтересована в том, чтобы результаты аудита рекомендовали заказчику использовать ее продукты. Для того чтобы рекомендации на основе аудита были действительно объективными, необходимо, чтобы компания-аудитор была независима в выборе используемых систем защиты информации и имела большой опыт работы в области информационной безопасности.
Большинство
компаний в современных рыночных
условиях уделяют недостаточно внимания
безопасности своих web-приложений. Зачастую
руководство может оправдывать такой
подход низкой степенью влияния web-приложений
на бизнес-процессы компании.
Если речь идет о сайте-визитке, то потери
от скомпрометированного web-узла действительно
можно расценить как минимальные. Однако
не стоит забывать, что и в этом случае
компания может нести значительные репутационные
риски, связанные, например, с ситуацией
когда на сайте происходит малозаметная
подмена контента.
Совсем иная ситуация возникает когда
бизнес-процессы компании полностью основаны
на функционировании web-приложения. К данной
категории относятся интернет-магазины,
корпоративные порталы, электронные торговые
площадки, SaaS-приложения и т.д. Возможные
финансовые потери компании в случае вывода
приложения из строя или хищения/подмены
данных могут варьировать в очень широком
диапазоне.
Согласно последнему исследованию,
проведенному Web Application Security Consortium (WASC), вероятность возникновения
уязвимостей высокой степени риска среди
исследованных приложений составила от
80 до 96 %
До 1 января 2010 года все операторы ПД обязаны привести свои информационные системы обработки персональных данных в соответствие требованиям закона «О персональных данных». Под действие данного закона попадает большинство web-ресурсов сегмента электронной коммерции. Учитывая специфику разработки подобных web-приложений в российской части Интернета можно предположить что большинство из них потребуют дополнительной проверки на предмет возможности утечки информации, классифицируемой как персональные данные.
Проведение аудита безопасности web-приложения предполагает несколько этапов работ:
На
данном этапе проводится автоматическое
сканирование web-узла при помощи программных
средств обнаружения
Автоматическое сканирование позволяет
выявить не только ошибки на уровне исходного
кода web-сценария, но также и типичные ошибки
администрирования сервера.
Используя
информацию, полученную на первом этапе,
специалист проводит анализ выявленных
уязвимостей, а также поиск новых
уязвимостей неавтоматизированными средствами.
Оценивается возможность скомпрометировать
систему без каких-либо дополнительных
знаний об её внутренней структуре.
Данный этап предполагает всесторонний анализ структуры и исходного кода web-приложения, а также условий функционирования web-приложения на физическом сервере, таких как:
Основная
задача – выявление причин найденных
ранее уязвимостей, а также поиск новых
уязвимостей. Анализ кода проводится на
основе выработанных рекомендаций по
созданию безопасного кода. В случае нахождения
формальных признаков новой уязвимости
– она проверяется на предмет возможности
её эксплуатации.
В случае размещения web-приложения в условиях
аренды места на сервере хостинга – дополнительно
может быть проведена оценка угроз, исходящих
от соседних доменов, размещенных на данном
физическом сервере.
На
данном этапе проводится анализ всех
найденных в процессе аудита угроз,
описание процесса и причин их возникновения,
оценка вероятности возникновения и степени
влияния на бизнес-процессы Заказчика.
Все выявленные уязвимости классифицируются
согласно Web Application Security Consortium Web Security Threat
Classification (WASC WSTCv2)
На основе анализа угроз, вырабатывается ряд рекомендаций по их устранению.
На
основе выработанных рекомендаций по
согласованию с Заказчиком производится
внедрение мер по обеспечению информационной
безопасности, которые включают в себя
настройку системных параметров, изменение
исходного кода приложения и внедрение
средств защиты.
По окончании работ производится оценка
остаточного риска.
Информация о работе Аудит информационной безопасности систем электронной коммерции