Как проводится аудит информационной безопасности

Пример перечня исходных данных аудита ИБ

Перечень исходных данных, предоставляемых Заказчиком для аудита ИБ (документы и данные из настоящего перечня предоставляются в случае их наличия).

Сведения о бизнес-процессах:

1. Общее описание миссии организации, области деятельности, основных направлений ведения бизнеса, основных задач в рамках этих бизнес-направлений
2. Описание основных (внешних) и вспомогательных (внутренних, поддерживающих) бизнес процессов (в произвольной форме).
3. Рабочие инструкции и процедуры (выполняемые в рамках бизнес процессов) для бизнес подразделений
4. Схемы бизнес-процессов
5. Организационная структура персонала (положения о подразделениях, схемы организационной структуры, должностные инструкции, прочие документы, определяющие распределение ролей и ответственности)
6. Примеры типовых договоров с работниками, клиентами, поставщиками и контрагентами
7. Документы, подтверждающие прохождение обучения работников по вопросам защиты информации

Отчеты об аудитах и проверка состояния ИБ:

1. Отчеты об ИТ и ИБ аудитах (внешних и/или внутренних)
2. Отчеты о результатах анализа защищенности сетей и приложений
3. Отчеты о результатах тестов на проникновение
4. Отчеты о результатах оценки соответствия требованиям стандартов и нормативных документов в области ИБ

Внутренние организационно-распорядительные документы в области ИБ:

1. Планы и процедуры обеспечения информационной безопасности, а также протоколы проверок состояния ИБ и совещаний по вопросам ИБ, протоколы расследования инцидентов ИБ
2. Решения руководства (приказы, распоряжения), касающиеся вопросов защиты информации
3. Внутренняя организационно-распорядительная документация по обеспечению информационной, физической и экономической безопасности (политики, концепции, положения, внутренние стандарты, регламенты, процедуры, инструкции и т.п.)
4. Внутренняя техническая документация по ИБ (технические и рабочие проекты систем защиты информации, спецификации, схемы и описания основных технических решений и т.п.)

Данные инвентаризации ИТ-активов:

1. Перечень (реестр, описание) используемого ПО (системное ПО и прикладные системы (самописные и заказные), офисные и бизнес приложения)
2. Перечень (реестр, описание) используемых технических средств (серверы и рабочие станции, телекоммуникационное оборудование, периферийное оборудование)
3. Перечень (реестр, описание) вспомогательных систем (электропитание, кондиционирование, пожарно-охранные системы, системы видеонаблюдения и т.д.)
4. Перечень (реестр, описание) информационных активов (информация, данные, документы, представленные в различных формах на различных типах носителей (электронных и/или бумажных))
5. Перечень (реестр, описание) помещений (серверные комнаты, основные и резервные ЦОДы, кабинеты, переговорные и т.п.)
6. Перечень (реестр, описание) каналов и средств связи (активное сетевое оборудование, АТС, каналы подключение к Интернет, к внешним компьютерным и телефонным сетям и т.п.)
7. Перечень (реестр, описание) вендоров, поставщиков и провайдеров ИКТ сервисов
8. Перечень (реестр, описание) ИТ процессов и сервисов (в произвольной форме)
9. Описание информационных систем и подсистем, а также основных задач, решаемых в этих системах
10. Структурная (логическая) схема корпоративной сети
11. Структура управления ИКТ сервисами, распределение ролей и ответственности (схема организационной структуры)
12. Документация, регламентирующая деятельность ИТ и ИБ подразделений
13. Группы пользователей информационных систем (внутренние и внешние)
14. Эксплуатационная документация на используемые средства защиты информации и бизнес-приложения

Документы, касающиеся использования СКЗИ:

1. Акты ввода СКЗИ в эксплуатацию. Документы, содержащие описание соответствия размещения и монтажа СКЗИ требованиям документации на СКЗИ
2. Журнал поэкземплярного учета СКЗИ
3. Порядок организации контроля за соблюдением условий использования СКЗИ
4. Договора на приобретение СКЗИ
5. Лицензии и сертификаты на используемые СКЗИ (или разрешения ФСБ на использования СКЗИ)
6. Эксплуатационная документация на СКЗИ
7. Акты ввода СКЗИ в эксплуатацию. Документы, содержащие описание соответствия размещения и монтажа СКЗИ требованиям документации на СКЗИ

Пример списка внутренних проверок по информационной безопасности

Данный список проверок может использоваться при планировании внутренних и внешних аудитов ИБ.

1. Проверка реализации парольной политики и учетных записей

• Проверка настройки параметров парольной политики
• Проверка учетных записей, у которых пароль не менялся более 180 дней
• Проверка заблокированных учетных записей
• Проверка состава административных групп
• Проверка состояния учетных записей и почтовых ящиков уволенных сотрудников

2. Проверка реализации политики управления доступом

• Выборочная проверка соответствия предоставленных прав доступа к сетевым ресурсам, зарегистрированным заявкам на доступ
• Проверка правильности оформления заявок и наличия визирующих подписей
• Проверка по журналам аудита событий изменения прав доступа
• Проверка по журналам аудита событий изменения привилегий и политик безопасности
• Проверка списков контроля доступа к папкам их владельцами

3. Проверка реализации политики взаимодействия с сетью Интернет

• Проверка списков контроля доступа МЭ (разрешенные протоколы, порты и IP-адреса)
• Проверка выполнения требований по защите каналов взаимодействия с сетью Интернет
• Проверка состава и уровня защищенности хостов, расположенных в DMZ
• Проверка защищенности внешнего периметра корпоративной сети

4. Проверка реализации политики удаленного доступа

• Проверка состава удаленных пользователей и его соответствие зарегистрированным заявкам на доступ
• Проверка выполнения правил парольной политики в отношении удаленных пользователей
• Проверка конфигурации (сертификация) удаленных рабочих мест
• Проверка протоколов работы удаленных пользователей
• Проверка полномочий, предоставленных удаленным пользователям и их соответствие зарегистрированным заявкам на доступ
• Проверка правильности оформления заявок на удаленный доступ и наличия необходимых виз

5. Проверка реализации политики обеспечения безопасности платежных систем

• Проверка прав доступа к платежным системам
• Проверка соответствия полномочий пользователей их функциональным обязанностям
• Проверка защищенности АРМов платежных систем
• Проверка правильности процедуры подготовки, ввода, визирования и отправки электронных платежей
• Анализ журналов аудита
• Проверка соблюдения порядка хранения и смены ключей ЭЦП

6. Проверка реализации антивирусной политики

• Проверка наличия в сети компьютеров, незащищенных антивирусным ПО
• Проверка соответствия конфигурации антивирусного ПО, требованиям политики
• Проверка своевременности и успешности обновления антивирусного ПО

7. Проверка системы резервного копирования и восстановления данных

• Проверка наличия, соблюдения и актуальности регламента резервного копирования
• Проверка наличия и актуальности инструкций по выполнению резервного копирования и восстановления данных
• Проверка наличия и правильности ведения журналов резервного копирования
• Проведение тестового восстановления данных с резервных копий на сервере восстановления
• Проверка конфигурации системы резервного копирования
• Проверка режима хранения (и транспортировки) резервных копий

8. Проверка выполнения требований политики обновления ПО

Пример программы технического аудита офисной сети

Программа однодневного визита технического специалиста к заказчику.

09.30 Рабочее совещание с администраторами

• Обсуждение порядка действий;
• Изучение топологии сети;
• Выбор объектов для сканирования.

10.00  Запуск автоматических проверок

• Установка MBSA на свободную рабочую станцию с выходом в Интернет;
• Настройка и запуск MBSA;
• Установка на эту же рабочую станцию Nessus  и XSpider;
• Настройка и запуск Nessus  и XSpider для сканирования внешнего периметра офисной сети;
• Настройка средств Nessus  и XSpider на мобильном компьютере.
• Запуск Nessus  и XSpider на мобильном компьютере для сканирования выбранных хостов внутренней сети.

11.00  Security benchmarking

• Выборочная установка CIS Scoring Tools на выбранные АРМ.
• Сбор результатов.

12.00   Работа с администраторами

• Идентификация ресурсов общего доступа при помощи утилиты NetView, установленной на консоли администратора. Печать списка.
• Изучение доменной политики учетных записей: периодичность смены пароля, требования к длине и сложности пароля, количество запоминаемых паролей.
• Проверка учетных записей, пароль которых не менялся свыше 180 дней,  заблокированных учетных записей и учетных записей с установленным атрибутом Change Pass at next logon при помощи Sysinternals AD Explorer, установленного на консоли администратора.
• Изучение и печать состава административных групп (с консоли администратора).

13.30     Обед

• Выяснение порядка действий по отношению к учетным записям уволенных работников, проверка выполнения (скриншоты).
• Выборочная проверка соответствия прав доступа к ресурсам имеющимся заявкам на доступ, проверка валидности заявок.
• Проверка порядка контроля списков доступа к ресурсам их владельцами.
• Проверка записей журналов аудита: изменение привилегий, прав доступа, политик. Экспорт журналов аудита.
• Проверка списков доступа на МЭ (протоколы, порты, адреса). Печать политики доступа.
• Проверка защиты каналов  доступа.
• Оценка уровня защищенности хостов, расположенных в DMZ.
• Проверка состава удаленных пользователей имеющимся заявкам на удаленный доступ.
• Проверка парольной политики удаленных пользователей.
• Проверка наличия процесса сертификации удаленных рабочих мест.
• Протоколы, используемые для удаленного доступа.
• Проверка соответствия полномочий, предоставляемых удаленным пользователям, имеющимся заявкам на доступ. Проверка валидности заявок.
• Проверка соответствия полномочий пользователей к платежным системам их функциональным обязанностям.
• Описание процедуры подготовки, ввода, визирования и отправки электронных платежей.
• Экспорт журналов аудита с АРМ платежных систем.
• Описание порядка обращения с ключами ЭЦП.
• Описание структуры системы защиты от вредоносных программ. Обзор консоли. Политика имеется?
• Проверка настроек средств защиты.
• Проверка актуальности баз средств защиты. Описание порядка обновления.
• Проверка наличия, соблюдения и актуальности регламента и инструкций резервного копирования.
• Проверка порядка ведения журналов. Копия страницы.
• Проведение тестового восстановления с ленты.
• Описание порядка хранения и транспортировки резервных копий.
• Политика обновления ПО.
• Описание порядка обновления, наличие серверов SUS/WSUS в сети.
• Формирование отчета о компьютерах, нуждающихся в обновлении.

18.00  Пароли

• Выборочная установка средства аудита паролей (LC5, Cain) на серверы и АРМ (контроллер домена, АРМ платежных систем, мобильный компьютер – обязательно)
• Оценка стойкости паролей по методу расшифровки хэша и по методу подбора по словарю.
• Оценка стойкости к подбору паролей удаленных сервисов – серверы Data Center. Подбор по словарю средством Brutas.

20.00  Подведение итогов, сбор документации.