Слайд 1 - Центр информационной безопасности

реклама
Анализ уязвимостей
корпоративной сети
Дмитрий Снопченко
[email protected]
ЗАО «Объединение ЮГ»
http:// www.yug.com.ua
ВОПРОСЫ ОБ АУДИТЕ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ



Что такое аудит и цель его
проведения?
Как проводится аудит?
Какими средствами
проводить аудит?
ЧТО ТАКОЕ АУДИТ?
Аудит информационной безопасности –
это
системный процесс получения объективных оценок
текущего состояния информационной безопасности
организации (предприятия) в соответствии с
определенными
критериями
информационной
безопасности, который
включает комплексное
обследование различных сред функционирования
ИТС, проведения тестирования на уязвимости ИТС,
анализ и оценку защищенности ИТС, формирование
отчёта и разработку соответствующих рекомендаций.
ЦЕЛЬ АУДИТА
Основной
целью
аудита
информационной
безопасности ИТС является оценка текущего
состояния
информационной
безопасности
учреждения или предприятия, а также подготовка
исходных данных для формирования требований к
комплексной системе защиты информации (КСЗИ)
ИТС.
КАК ПРОВОДИТСЯ АУДИТ?
Соответствующие требования и рекомендации по
проведению
аудита
(обследования)
информационной безопасности отражены в
международных, государственных стандартах,
нормативно-правовых базе Украины в сфере
защиты информации:





ISO/IEC:17799 «Информационные технологии. Управление
информационной безопасностью»;
ISO/IEC 27001:2005 «Информационные технологии. Методы
обеспечения
безопасности.
Системы
управления
информационной безопасностью. Требования»;
ДСТУ 3396.1-96 «Защита информации. Техническая защита
информации. Порядок проведения работ», а также в
законодательной базе Украины в сфере защиты информации.
НД ТЗІ 3.7-003-05 «Порядок проведення робіт із створення
комплексної системи захисту інформації в інформаційнотелекомунікаційній системі».
НД ТЗІ 2.5-004-99 «Критерії оцінки захищеності інформації в
комп’ютерних системах від несанкціонованого доступу» и др.
ЭТАПЫ ПРОВЕДЕНИЯ АУДИТА
Подготовка к проведению аудита (обследования) ИТС:
• формирование требований к проведению аудита;
• создание совместной комиссии по аудиту.
КОМПЛЕКСНОЕ ОБСЛЕДОВАНИЕ ИТС
Обследование
вычислительной
системы ИТС
Обследование
физической среды ИТС
Обследование
информационной
среды ИТС
Тестирование на
уязвимости ИТС
Обследование
среды пользователей
АНАЛИЗ ЗАЩИЩЕННОСТИ ИТС
Анализ и систематизация
полученных результатов
обследования ИТС
Идентификация
полученных
уязвимостей
Оценка уровня
защищённости ИТС
Создание отчёта и разработка соответствующих рекомендаций
ОБСЛЕДОВАНИЕ ВЫЧИСЛИТЕЛЬНОЙ
СИСТЕМЫ ИТС






Проверка наличия документации на ИТС и
ее предварительный анализ.
Проверка
наличия
распорядительных
документов на ИТС и их предварительный
анализ.
Сбор сведений об общей структурной
схеме ИТС, ее компонентах – состав
оборудования, технических и программных
средств,
их
связи,
особенности
конфигурации, архитектуры и топологии,
программные и программно-аппаратные
средства защиты информации, взаимное
размещение средств.
Сбор сведений информации о видах
каналов связи, их характеристики.
Сбор
сведений
о
особенностях
взаимодействия отдельных компонентов
ИТС.
Анализ полученной информации.
ОБСЛЕДОВАНИЕ
ИНФОРМАЦИОННОЙ СРЕДЫ ИТС






Сбор сведений о технологии обработки
информации в ИТС.
Сбор сведений о информационных потоках
ИТС.
Сбор сведений о предъявляемых в
организации
требований
к
защите
информации в ИТС.
Сбор сведений о режиме доступа к
информационным ресурсам ИТС;
Сбор
сведений
о
информационных
носителях и правилах работы с ними.
Анализ полученной информации.
ОБСЛЕДОВАНИЕ ФИЗИЧЕСКОЙ СРЕДЫ ИТС










Проверка наличия документации на компоненты физической
среды ИТС и ее предварительный анализ.
Собор
сведений
о
территориальном
размещении
компонентов ИТС.
Сбор сведений о наличии охраняемой территории и
пропускного режима на объекте.
Сбор сведений о наличии на объекте или объектах
категорированных помещений.
Сбор сведений о наличии на объекте или объектах охранной,
пожарной сигнализации, систем видеонаблюдения и
контроля доступа.
Сбор сведений о режиме доступа к компонентам физической
среды ИТС.
Сбор сведений о наличии в помещениях, где функционирует
ИТС, элементов коммуникаций, систем жизнеобеспечения и
связи, имеющих выход за пределы контролируемой
территории.
Сбор
сведений
о
наличии
системы
заземления
оборудования ИТС и ее технических характеристик.
Сбор сведений о условиях хранения магнитных, оптикомагнитных, бумажных и других носителей информации.
Анализ полученной информации.
ОБСЛЕДОВАНИЕ СРЕДЫ ПОЛЬЗОВАТЕЛЕЙ




Проверка
наличия
документов,
регламентирующих деятельность персонала
организации по обеспечению безопасности
информации в ИТС и их предварительный
анализ.
Анализ функционального и количественного
состава пользователей и их обязанностей;
Анализ функций и полномочий
подразделения защиты информации;
Анализ категорий пользователей по уровню
полномочий.
ТЕСТИРОВАНИЕ НА УЯЗВИМОСТИ ИТС
Проведение сканирования
всех компонентов ИТС на
уязвимости как изнутри, так
и снаружи.
Сетевой сканер безопасности
нового поколения как средство
проведения аудита
безопасности
XSpider 7.5
Пример сканирования
Список уязвимостей
Определение ОС
Список портов
TCP порт с
идентифицированным
сервисом, подверженный
критической уязвимости
TCP порт с
идентифицированным
сервисом, подверженный
некритической уязвимости
Общая информация
Уязвимость или нет?...
Описание уязвимостей
Описание уязвимостей
Описание уязвимостей
Описание уязвимостей
Описание уязвимостей
Описание уязвимостей
Описание уязвимостей
Возможности сканирования
Возможности сканирования
Возможности сканирования
АНАЛИЗ ЗАЩИЩЕННОСТИ ИТС
Анализ и систематизация
полученных результатов
обследования ИТС
Идентификация
полученных
уязвимостей
Оценка уровня
защищённости ИТС
СОЗДАНИЕ ОТЧЁТА И РАЗРАБОТКА
СООТВЕТСТВУЮЩИХ РЕКОМЕНДАЦИЙ
Отчёт дает полную картину
состояния защищенности
ИТС организации, а также
рекомендации по
устранению уязвимостей.
ЗАКЛЮЧЕНИЕ
Таким образом, мы видим, что проведение
аудита
информационной
безопасности
предприятия (организации) – это не просто
«инвентаризация»
ИТС,
а
тщательная
и
всесторонняя работа по исследованию ИТС,
которая дает наиболее полную картину состояния
защищенности
и
позволяет
сформировать
требования к комплексной системе защите
информации в ИТС организации.
Проведение
квалифицированного
аудита
информационной безопасности и исполнение
комплекса мер по защите информационных
ресурсов по рекомендациям, выработанным в
результате такого аудита, дает уверенность в
защищенности ИТС на определенный период
времени. Уверенность в защищенности Ваших
информационных ресурсов может быть только
тогда обоснована, когда она подтверждена.
Благодарю за внимание !
ЗАО «Объединение ЮГ»
03040 г. Киев-40, Проспект 40-летия Октября, 88
тел./факс: +38(044) 257-41-45,+38(044) 257-87-28,+38(044) 536-12-92
http:// www.yug.com.ua,[email protected]
Скачать