Пример перечня исходных данных аудита ИБ

Перечень исходных данных, предоставляемых Заказчиком для аудита ИБ (документы и данные из настоящего перечня предоставляются в случае их наличия).

Сведения о бизнес-процессах:

  1. Общее описание миссии организации, области деятельности, основных направлений ведения бизнеса, основных задач в рамках этих бизнес-направлений
  2. Описание основных (внешних) и вспомогательных (внутренних, поддерживающих) бизнес процессов (в произвольной форме).
  3. Рабочие инструкции и процедуры (выполняемые в рамках бизнес процессов) для бизнес подразделений
  4. Схемы бизнес-процессов
  5. Организационная структура персонала (положения о подразделениях, схемы организационной структуры, должностные инструкции, прочие документы, определяющие распределение ролей и ответственности)
  6. Примеры типовых договоров с работниками, клиентами, поставщиками и контрагентами
  7. Документы, подтверждающие прохождение обучения работников по вопросам защиты информации

Отчеты об аудитах и проверка состояния ИБ:

  1. Отчеты об ИТ и ИБ аудитах (внешних и/или внутренних)
  2. Отчеты о результатах анализа защищенности сетей и приложений
  3. Отчеты о результатах тестов на проникновение
  4. Отчеты о результатах оценки соответствия требованиям стандартов и нормативных документов в области ИБ

Внутренние организационно-распорядительные документы в области ИБ:

  1. Планы и процедуры обеспечения информационной безопасности, а также протоколы проверок состояния ИБ и совещаний по вопросам ИБ, протоколы расследования инцидентов ИБ
  2. Решения руководства (приказы, распоряжения), касающиеся вопросов защиты информации
  3. Внутренняя организационно-распорядительная документация по обеспечению информационной, физической и экономической безопасности (политики, концепции, положения, внутренние стандарты, регламенты, процедуры, инструкции и т.п.)
  4. Внутренняя техническая документация по ИБ (технические и рабочие проекты систем защиты информации, спецификации, схемы и описания основных технических решений и т.п.)

Данные инвентаризации ИТ-активов:

  1. Перечень (реестр, описание) используемого ПО (системное ПО и прикладные системы (самописные и заказные), офисные и бизнес приложения)
  2. Перечень (реестр, описание) используемых технических средств (серверы и рабочие станции, телекоммуникационное оборудование, периферийное оборудование)
  3. Перечень (реестр, описание) вспомогательных систем (электропитание, кондиционирование, пожарно-охранные системы, системы видеонаблюдения и т.д.)
  4. Перечень (реестр, описание) информационных активов (информация, данные, документы, представленные в различных формах на различных типах носителей (электронных и/или бумажных))
  5. Перечень (реестр, описание) помещений (серверные комнаты, основные и резервные ЦОДы, кабинеты, переговорные и т.п.)
  6. Перечень (реестр, описание) каналов и средств связи (активное сетевое оборудование, АТС, каналы подключение к Интернет, к внешним компьютерным и телефонным сетям и т.п.)
  7. Перечень (реестр, описание) вендоров, поставщиков и провайдеров ИКТ сервисов
  8. Перечень (реестр, описание) ИТ процессов и сервисов (в произвольной форме)
  9. Описание информационных систем и подсистем, а также основных задач, решаемых в этих системах
  10. Структурная (логическая) схема корпоративной сети
  11. Структура управления ИКТ сервисами, распределение ролей и ответственности (схема организационной структуры)
  12. Документация, регламентирующая деятельность ИТ и ИБ подразделений
  13. Группы пользователей информационных систем (внутренние и внешние)
  14. Эксплуатационная документация на используемые средства защиты информации и бизнес-приложения

Документы, касающиеся использования СКЗИ:

  1. Акты ввода СКЗИ в эксплуатацию. Документы, содержащие описание соответствия размещения и монтажа СКЗИ требованиям документации на СКЗИ
  2. Журнал поэкземплярного учета СКЗИ
  3. Порядок организации контроля за соблюдением условий использования СКЗИ
  4. Договора на приобретение СКЗИ
  5. Лицензии и сертификаты на используемые СКЗИ (или разрешения ФСБ на использования СКЗИ)
  6. Эксплуатационная документация на СКЗИ
  7. Акты ввода СКЗИ в эксплуатацию. Документы, содержащие описание соответствия размещения и монтажа СКЗИ требованиям документации на СКЗИ

Пример списка внутренних проверок по информационной безопасности

Данный список проверок может использоваться при планировании внутренних и внешних аудитов ИБ.

  1. Проверка реализации парольной политики и учетных записей
  • Проверка настройки параметров парольной политики
  • Проверка учетных записей, у которых пароль не менялся более 180 дней
  • Проверка заблокированных учетных записей
  • Проверка состава административных групп
  • Проверка состояния учетных записей и почтовых ящиков уволенных сотрудников
  1. Проверка реализации политики управления доступом
  • Выборочная проверка соответствия предоставленных прав доступа к сетевым ресурсам, зарегистрированным заявкам на доступ
  • Проверка правильности оформления заявок и наличия визирующих подписей
  • Проверка по журналам аудита событий изменения прав доступа
  • Проверка по журналам аудита событий изменения привилегий и политик безопасности
  • Проверка списков контроля доступа к папкам их владельцами
  1. Проверка реализации политики взаимодействия с сетью Интернет
  • Проверка списков контроля доступа МЭ (разрешенные протоколы, порты и IP-адреса)
  • Проверка выполнения требований по защите каналов взаимодействия с сетью Интернет
  • Проверка состава и уровня защищенности хостов, расположенных в DMZ
  • Проверка защищенности внешнего периметра корпоративной сети
  1. Проверка реализации политики удаленного доступа
  • Проверка состава удаленных пользователей и его соответствие зарегистрированным заявкам на доступ
  • Проверка выполнения правил парольной политики в отношении удаленных пользователей
  • Проверка конфигурации (сертификация) удаленных рабочих мест
  • Проверка протоколов работы удаленных пользователей
  • Проверка полномочий, предоставленных удаленным пользователям и их соответствие зарегистрированным заявкам на доступ
  • Проверка правильности оформления заявок на удаленный доступ и наличия необходимых виз
  1. Проверка реализации политики обеспечения безопасности платежных систем
  • Проверка прав доступа к платежным системам
  • Проверка соответствия полномочий пользователей их функциональным обязанностям
  • Проверка защищенности АРМов платежных систем
  • Проверка правильности процедуры подготовки, ввода, визирования и отправки электронных платежей
  • Анализ журналов аудита
  • Проверка соблюдения порядка хранения и смены ключей ЭЦП
  1. Проверка реализации антивирусной политики
  • Проверка наличия в сети компьютеров, незащищенных антивирусным ПО
  • Проверка соответствия конфигурации антивирусного ПО, требованиям политики
  • Проверка своевременности и успешности обновления антивирусного ПО
  1. Проверка системы резервного копирования и восстановления данных
  • Проверка наличия, соблюдения и актуальности регламента резервного копирования
  • Проверка наличия и актуальности инструкций по выполнению резервного копирования и восстановления данных
  • Проверка наличия и правильности ведения журналов резервного копирования
  • Проведение тестового восстановления данных с резервных копий на сервере восстановления
  • Проверка конфигурации системы резервного копирования
  • Проверка режима хранения (и транспортировки) резервных копий
  1. Проверка выполнения требований политики обновления ПО

Пример программы технического аудита офисной сети

Программа однодневного визита технического специалиста к заказчику.

09.30 Рабочее совещание с администраторами

  • Обсуждение порядка действий;
  • Изучение топологии сети;
  • Выбор объектов для сканирования.

10.00  Запуск автоматических проверок

  • Установка MBSA на свободную рабочую станцию с выходом в Интернет;
  • Настройка и запуск MBSA;
  • Установка на эту же рабочую станцию Nessus  и XSpider;
  • Настройка и запуск Nessus  и XSpider для сканирования внешнего периметра офисной сети;
  • Настройка средств Nessus  и XSpider на мобильном компьютере.
  • Запуск Nessus  и XSpider на мобильном компьютере для сканирования выбранных хостов внутренней сети.

11.00  Security benchmarking

  • Выборочная установка CIS Scoring Tools на выбранные АРМ.
  • Сбор результатов.

12.00   Работа с администраторами

  • Идентификация ресурсов общего доступа при помощи утилиты NetView, установленной на консоли администратора. Печать списка.
  • Изучение доменной политики учетных записей: периодичность смены пароля, требования к длине и сложности пароля, количество запоминаемых паролей.
  • Проверка учетных записей, пароль которых не менялся свыше 180 дней,  заблокированных учетных записей и учетных записей с установленным атрибутом Change Pass at next logon при помощи Sysinternals AD Explorer, установленного на консоли администратора.
  • Изучение и печать состава административных групп (с консоли администратора).

13.30     Обед

  • Выяснение порядка действий по отношению к учетным записям уволенных работников, проверка выполнения (скриншоты).
  • Выборочная проверка соответствия прав доступа к ресурсам имеющимся заявкам на доступ, проверка валидности заявок.
  • Проверка порядка контроля списков доступа к ресурсам их владельцами.
  • Проверка записей журналов аудита: изменение привилегий, прав доступа, политик. Экспорт журналов аудита.
  • Проверка списков доступа на МЭ (протоколы, порты, адреса). Печать политики доступа.
  • Проверка защиты каналов  доступа.
  • Оценка уровня защищенности хостов, расположенных в DMZ.
  • Проверка состава удаленных пользователей имеющимся заявкам на удаленный доступ.
  • Проверка парольной политики удаленных пользователей.
  • Проверка наличия процесса сертификации удаленных рабочих мест.
  • Протоколы, используемые для удаленного доступа.
  • Проверка соответствия полномочий, предоставляемых удаленным пользователям, имеющимся заявкам на доступ. Проверка валидности заявок.
  • Проверка соответствия полномочий пользователей к платежным системам их функциональным обязанностям.
  • Описание процедуры подготовки, ввода, визирования и отправки электронных платежей.
  • Экспорт журналов аудита с АРМ платежных систем.
  • Описание порядка обращения с ключами ЭЦП.
  • Описание структуры системы защиты от вредоносных программ. Обзор консоли. Политика имеется?
  • Проверка настроек средств защиты.
  • Проверка актуальности баз средств защиты. Описание порядка обновления.
  • Проверка наличия, соблюдения и актуальности регламента и инструкций резервного копирования.
  • Проверка порядка ведения журналов. Копия страницы.
  • Проведение тестового восстановления с ленты.
  • Описание порядка хранения и транспортировки резервных копий.
  • Политика обновления ПО.
  • Описание порядка обновления, наличие серверов SUS/WSUS в сети.
  • Формирование отчета о компьютерах, нуждающихся в обновлении.

18.00  Пароли

  • Выборочная установка средства аудита паролей (LC5, Cain) на серверы и АРМ (контроллер домена, АРМ платежных систем, мобильный компьютер – обязательно)
  • Оценка стойкости паролей по методу расшифровки хэша и по методу подбора по словарю.
  • Оценка стойкости к подбору паролей удаленных сервисов – серверы Data Center. Подбор по словарю средством Brutas.

20.00  Подведение итогов, сбор документации.

Ваша реакция?
+1
0
+1
0
+1
0
+1
0
+1
1
+1
0
+1
0
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x