В рубрику "В фокусе" | К списку рубрик | К списку авторов | К списку публикаций
Для преодоления сложностей проведения аудита информационной безопасности на объектах, описанных в первой части [1], в ДИТ города Москвы были предприняты следующие шаги по организации проведения проверочных мероприятий.
Проверка каждого объекта готовилась в обязательном порядке индивидуально. К сбору и анализу информации о состоянии защищенности проверяемого объекта привлекались не только члены аудиторской команды, но и специалисты других подразделений по информационной безопасности ДИТ города Москвы.
Для упрощения сбора и анализа исходной информации об обеспечении информационной безопасности на конкретном объекте в Управлении ФСТЭК России по ЦФО был разработан типовой технический паспорт объекта. Ответственные работники проверяемых объектов заполняли соответствующие разделы технического паспорта и передавали на изучение аудиторской команде ДИТ города Москвы.
Кроме информации, запрашиваемой у объекта в формализованном виде, больше внимание уделялось иным источникам сведений об объекте.
В качестве таких источников использовались:
Практическая ценность источников информации на данном этапе отражена на рис. 1.
Наличие высококвалифицированных аудиторов позволило руководителю группы аудита ДИТ города Москвы проводить индивидуальный подбор команд для проведения проверки объекта. При этом учитывалось множество факторов:
Вклад этих факторов в формирование аудиторской команды для проверки конкретного объекта показан на рис. 2.
В условиях жесткого ограничения времени на проведение проверки объекта и реализации корректирующих действий на объекте до начала чемпионата мира по футболу наибольшую важность приобретало установление личного контакта аудитора и представителя объекта. При отсутствии обязательности выполнения на объекте рекомендуемых корректирующих мероприятий аудитору требовалось буквально "с порога" продемонстрировать высокую профессиональную квалификацию и конструктивный подход к вопросам обеспечения информационной безопасности объекта. Для оценки психологической совместимости составлялся психологический портрет представителя объекта, для чего собиралась информация и отзывы сотрудников, контактировавших с представителями объекта ранее. Особенно ценную информацию для составления психологического портрета давали консультационные переговоры по заполнению техпаспорта объекта, разъяснения порядка проведения проверки объекта и т.д. Проводилась замена аудитора, если на подготовительном этапе проверки объекта он оценивал сложившиеся отношения с представителем объекта как напряженные или неконструктивные.
Проверяемые объекты делились на нескольких крупных классов по типовыми условиям функционирования: стадионы, гостиницы, вокзалы. Глубоко вникнув в построение технологических процессов на первом объекте, аудитор эффективнее проводил проверки последующих аналогичных объектов.
Высокая психологическая нагрузка и плотный график проверок вызывали серьезное утомление аудиторов и порождали проявление эффекта профессионального выгорания. Для устранения негативного воздействия подобного состояния аудиторов применялись меры по психофизиологическому восстановлению специалистов и проводилась оптимизация плана проверок.
Оценка сложности объекта оказывала влияние на определение численности аудиторской команды. Минимальной численностью аудиторской команды считалось два человека. Руководителем аудиторской команды назначался специалист, имеющий статус сертифицированного ведущего аудитора по стандарту ISO 27001:2013.
Основными методами проведения проверки были визуальный осмотр объекта, опрос (интервью) работников объекта и технический (сканеры уязвимостей, пентесты). Использовались методы социальной инженерии для проверки организационных мер безопасности, заявленных представителями объекта на проверке.
Опросный лист для проведения интервью подготавливался с обязательным учетом квалификации персонала объекта в области защиты информации.
Аудиторы по окончании проведения проверки составляли отчеты с описанием деталей и нюансов аудита. Основное внимание в них уделялось выявленным векторам атак на объекты, особенностям функционирования информационной инфраструктуры объекта. Была создана единая база знаний проверки объектов. Ознакомление с отчетными материалами было обязательно для всех аудиторов. Проводились рабочие совещания по обобщению опыта проверок на регулярной основе.
Литература
[1] Комаров В. Обеспечение информационной безопасности на объектах города Москвы в период подготовки к проведению чемпионата мира по футболу FIFA 2018. Часть 1. – Information Security. – № 4. – 2018. – С. 4–5.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2018