Аудит информационной безопасности: за что платит компания?

Александр Дорофеев,
CISSP, CISA, управляющий консультант агентства информационной безопасности "Атлант"

ГОД Крысы принес нам финансовый кризис, который заставил компании сокращать затраты и усиленно бороться за клиентов. В свою очередь это вызвало потерю лояльности персонала и обострение конкуренции. Количество инцидентов ИБ растет, и сейчас перед компаниями все более остро встает задача выявить слабые места в собственной системе обеспечения ИБ до того, как это сделает нелояльный сотрудник или конкурент. Решить данную задачу позволяет аудит информационной безопасности.

Аудит системы управления информационной безопасностью

Для проведения аудита системы управления ИБ все чаще используется международный стандарт ISO 27001:2005, который отражает лучшую практику управления ИБ. Подобный аудит, как правило, включает в себя предварительный анализ документации по информационной безопасности и тестирование эффективности мер по минимизации рисков ИБ. Так, например, аудиторы не только внимательно изучат процедуру предоставления доступа к бухгалтерской системе, но и проверят, что для выбранных учетных записей пользователей соответствующие заявки на доступ авторизованы владельцем системы (например, главным бухгалтером).

Проведение аудита системы управления ИБ позволяет выявить системные проблемы, зачастую ведущие к появлению большинства уязвимостей в системе обеспечения информационной безопасности. Если компания обладает довольно зрелыми процессами управления ИБ, то она может пройти сертификацию на соответствие ISO 27001:2005.

Аудит защищенности ИТ-инфраструктуры

Аудит защищенности ИТ-инфраструктуры может заключаться в простом сканировании на наличие уязвимостей, тестировании на возможность несанкционированного проникновения и анализе настроек безопасности систем.

Наиболее простым видом аудита защищенности ИТ-инфраструктуры является сканирование на наличие уязвимостей, осуществляемое с помощью специальных сканеров уязвимостей. Данный вид аудита позволяет выявить большинство известных уязвимостей в информационных ресурсах и получить детальные рекомендации по их устранению. Недостатком данного вида проверки является то, что наиболее серьезные уязвимости, которые могут быть использованы реальными злоумышленниками, могут "затеряться" в отчете сканера среди множества других уязвимостей либо могут быть не найдены вовсе. Например, из отчета сканера вы узнаете только то, что на рабочей станции пользователя имеется общедоступная сетевая папка. При этом сканер не расскажет вам, что в этой папке хранится текстовый файл с паролями администраторов, позволяющими получить доступ ко всем критичным системам компании, или бизнес-план компании на следующий год, представляющий значительный интерес для конкурентов.

Поиск уязвимостей является одним из этапов тестирования на возможность несанкционированного проникновения, которое представляет собой имитацию действий злоумышленников по проникновению в корпоративные системы.

Различают внешнее тестирование на проникновение, в ходе которого специалисты пытаются проникнуть в корпоративную сеть через Интернет, и внутреннее, когда имитируются действия злоумышленника, имеющего физический доступ к сети компании. При проведении проверок специалисты применяют программные средства и приемы, используемые реальными хакерами для взлома систем. Тестирование проводится на сетевом, системном и прикладном уровне и позволяет выявить не только большинство уязвимостей, но и выделить среди них те, которые в комплексе позволяют реально скомпрометировать систему обеспечения информационной безопасности.

Самым трудоемким является анализ настроек безопасности информационных систем, который проводится с помощью специальных проверочных листов, содержащих описание конфигурации систем, рекомендованной вендорами и профессионалами в области информационной безопасности. Основными достоинствами такого анализа являются высокая достоверность получаемой информации об имеющихся уязвимостях и минимальное влияние на работоспособность системы.

Аудит с применением методов социальной инженерии

Аудит с применением методов социальной инженерии заключается в осуществлении попыток получить конфиденциальную информацию у сотрудников компании с помощью обмана. Аудиторы связываются с сотрудниками компании по телефону, электронной почте или с помощью систем мгновенного обмена сообщениями и пытаются получить интересующую внутреннюю информацию.

Так, в моей практике был случай, когда в ходе аудита удалось получить удаленный доступ ко внутренним ресурсам компании с помощью пароля, полученного через "подставной" Web-портал. Ряду менеджеров компании было выслано письмо от имени специалиста ИТ-отдела с просьбой перейти по ссылке на сайт портала удаленного доступа и изменить свой пароль, предварительно введя действующий. Данные о должностях и именах сотрудников для проведения атаки были получены с помощью Интернет-ресурса одной социальной сети. Большинство сотрудников выполнили инструкции, ни у кого не возникло уточняющих вопросов к ИТ-специалисту, якобы выславшему письмо.

Наиболее эффективным является аудит, включающий в себя все перечисленные виды аудиторских проверок, так как только он позволяет комплексно оценить защищенность компании перед лицом угроз информационной безопасности. Лучше всего, когда такой аудит проводится профессионально и независимо.

Выбор подрядчика услуг аудита информационной безопасности

Поставщик услуг по аудиту информационной безопасности должен вызывать у клиента, прежде всего, доверие, которое можно заслужить только своим профессионализмом. Иногда такое доверие вызывается известностью имени компании. В этом случае нужно помнить, что, в конечном счете, аудит будет проводить все же не компания, а конкретные специалисты. Поэтому очень важным критерием выбора является квалификация исполнителей, например подтвержденная такими сертификатами, как CISSP, CISA или CEH. Заказчику услуг желательно еще до подписания контракта выяснить, какие именно специалисты будут осуществлять проект, познакомиться с ними, если это возможно, и включить соответствующие требования к участникам в контракт.

Независимый аудит может быть проведен только тем поставщиком услуг, который не был вовлечен во внедрение мер по защите информации в данной компании. Очень сложно аудитору объективно оценивать свою работу или работу своих коллег, да еще и позволить себе не рекомендовать программные и аппаратные решения, поставляемые "родной" компанией.

Следует отметить, что сертификационный аудит (на соответствие ISO 27001:2005, PCI DSS) может проводиться только компаниями, имеющими соответствующие разрешения.

Контракт на проведение аудита информационной безопасности

В первую очередь, контракт должен содержать четкое описание границ проекта (офисы, бизнес-процессы, бизнес-подразделения, информационные системы, IP-адреса сетевых узлов) и перечень проводимых аудиторских проверок.

Необходимо четко определить требования к формальному результату аудита - отчету. Как правило, отчет содержит описание выявленных недостатков, рисков информационной безопасности и рекомендации по их минимизации. Очень важно, чтобы отчет содержал перечень проведенных проверок, сопоставленный с обнаруженными недостатками. Это добавит прозрачности в работу поставщика услуг и позволит проконтролировать полноту проведенных проверок. В случае аудита защищенности ИТ-инфраструктуры очень полезно помимо отчета получить и отчеты использованных утилит.