Предварительная подготовка Аудита ИБ

Аудит безопасности

Работы выполняются в несколько этапов, программа проверки ИБ сетевой инфраструктуры организации определяется по согласованию с заказчиком.

1. Постановка задачи и определение объекта проверки.
• определение задач, целей и объектов проверки информационной безопасности;
• формирование рабочей группы (включая специалистов заказчика);
• составление регламента проведения работ;
• разработка технического задания (ТЗ) на проведение работ.

2. Сбор, подготовка и анализ данных для проведения работ:
• изучение объекта исследования;
• выявление технических уязвимостей объекта исследования;
• анализ эффективности имеющихся программно-технических средств обеспечения ИБ;
• фиксация текущего состояния и характеристик объекта исследования;

3. Подготовка аналитического отчета по выполненной работе, включая:
• выявление уязвимостей в сетевой инфраструктуре;
• анализ уязвимостей;
• разработка предложения по совершенствованию организационных мер обеспечения ИБ;
• разработка предложения по развитию программно-технических средств обеспечения ИБ;
• разработка рекомендаций по устранению выявленных уязвимостей;
• разработка рекомендаций по повышению квалификации штатного персонала;

4. Завершение работы:
• ознакомление уполномоченных представителей заказчика с результатами работы;
• консультирование персонала заказчика;
• передача полученных материалов и документации заказчику и сдача отчета;
• оформление акта выполненных работ.

Детализация этапов проверки проводится рабочей группой экспертов и представителей заказчика на этапе подготовки технического задания. Подробный перечень объектов аудита, их характеристики, сроки работ, согласование промежуточных результатов, предотвращение выявленных критических ситуаций и прочие условия выполнения работ предусматриваются в ТЗ, утверждаемом сторонами до начала последующих этапов.

Методика проверки аудита ИБ

Тест на проникновение (пентест) в информационную систему является оптимальным способом, позволяющий оценить защищенность информационной системы в целом, обнаружить отдельные уязвимости и проверить надежность существующих механизмов защиты информационной системы от несанкционированного воздействия, используя различные модели нарушителей. Организации предоставляется детальный отчет, содержащий результаты всестороннего анализа текущего состояния его информационной системы, выявленные уязвимости и способы их использования, рекомендации по их устранению.

Основные цели проведения тестов на проникновение:
• поиск уязвимостей, позволяющих произвести атаку на сетевую инфраструктуру;
• определение защищенности сетевой инфраструктуры;
• актуальность применяемых методов защиты информации от несанкционированного воздействия;
• регулярный контроль изменений в сетевой инфраструктуре;
• проверка на соответствие требованиям международных стандартов и нормативных документов в сфере информационной безопасности.

Основные задачи проведения тестов на проникновение:
• оценка текущего состояния ИБ;
• выявление уязвимостей сетевой инфраструктуры их ранжированием по степени критичности и идентификацией по международным, собственным классификаторам;
• разработка рекомендаций по повышению эффективности защиты информации в сетевой инфраструктуре;
• подготовка данных для проведения комплексного аудита информационной безопасности.

Объектами тестирования являются: внешние и внутренние серверы, внешнее и внутреннее сетевое оборудование, отдельные сервисы, рабочие станции пользователей, сетевые принтеры.

Виды тестов на проникновение:
Тест на проникновение из сети Интернет (из внешней сети)
• тестирование методом черного ящика - тестирование без предварительных знаний о тестируемом объекте. При выборе данного метода тестирования организация предоставляет лишь диапазон внешних IP-адресов серверов, внешнего сетевого оборудования или перечень конкретный внешних сервисов. Данный подход максимально приближен к действиям злоумышленника не знакомого с целевой системой. Данные о тестируемом объекте будут собираться при помощи общедоступных источников;
• тестирование методом белого ящика - более детальное исследование, основанное на дополнительной информации о тестируемом объекте. При выборе данного метода тестирования может запрашиваться дополнительная документация, файлы конфигурации, схемы структуры сети, полный доступ к тестируемому объекту. Тест моделирует ситуацию, возможную в случае утечки информации, когда атакующий знает архитектуру сетевой инфраструктуры, знаком со схемами организации сети, возможно, даже имеет доступ к некоторым паролям;

Тест на проникновение из внутренней локальной вычислительной сети (из внутренней сети)
• тестирование методом черного ящика - тестирование без предварительных знаний о тестируемом объекте. При выборе данного метода тестирования организация предоставляет лишь диапазон внутренних IP-адресов серверов, внутреннего сетевого оборудования, рабочих станций пользователей, сетевых принтеров или перечень конкретный внутренних сервисов. Данный подход максимально приближен к действиям злоумышленника не знакомого с целевой системой;
• тестирование методом белого ящика - более детальное исследование, основанное на дополнительной информации о тестируемом объекте. При выборе данного метода тестирования может запрашиваться дополнительная документация, файлы конфигурации, схемы структуры сети, полный доступ к тестируемому объекту. Тест моделирует ситуацию, возможную в случае утечки информации, когда атакующий находится внутри сетевой инфраструктуры организации (злоумышленник либо является сотрудником организации либо злоумышленник способ проникнуть внутрь сетевой инфраструктуры из вне) и в какой-то мере знает архитектуру сетевой инфраструктуры, знаком со схемами организации сети, возможно, даже имеет доступ к некоторым паролям;

Примечание
При проведении проверки из внутренней сети заказчик предоставляет проверяющим доступ в помещения и возможность подключения их оборудования (ноутбук) в один или несколько сегментов сети заказчика, для проведения соответствующих проверок.

Работы по тесту на проникновение включают в себя ряд последовательных этапов:
• поиск и анализ всей доступной информации;
• инструментальное сканирование, предполагающее использование специализированных средств – сетевые сканеры безопасности;
• детальный анализ вручную;
• анализ и оценка выявленных уязвимостей и выработка рекомендаций;
• подготовка отчета.

Информационная безопасность, отчет.
Отчет, предоставляемый организации по результатам проведения тестов на проникновение, содержит детальное описание проведенных работ, все выявленные уязвимости системы, способы их применения и рекомендации по устранению данных уязвимостей.