Руководство по Аудиту безопасности
Аудит Безопасности — это практика, которую лучше всего было бы охарактеризовать как «неизбежное зло». Поскольку ни один владелец бизнеса, исполнительный или IT-менеджер вряд ли будет в восторге от мысли провести строгую экспертизу безопасности, в целом понимая, что ревизия — лучший и единственный способ в полной мере убедиться, что все технологии и методы безопасности работают в соответствии с установленными требованиями и спецификациями.
Аудит Безопасности, как правило, проводится для оценки информационной безопасности, управления рисками и нормативным требованиям. Если аудит безопасности осуществляется правильно, он может выявить слабые места в технологиях, методах, сотрудниках(не забываем о человеческом факторе) и других ключевых областях. Процесс может помочь компаниям сэкономить деньги путем поиска более эффективных путей обеспечения защиты IT-оборудования и программного обеспечения, а также позволяет предприятиям более эффективно понимать и использовать технологии и процессы безопасности. Беспристрастный аудит безопасности помогает владельцам компаний, руководителям и ИТ-менеджерам, действительно понять, что периодические обследования могут реально содействовать построению стратегии безопасности синхронно с общей коммерческой деятельностью.
Процесс Аудита
Не существует стандарта процесса аудита безопасности, но аудиторы, как правило, выполняют свою работу, пользуясь личным опытом, они просматривают уязвимости, делают экспертизу безопасности ОС и настроек приложений безопасности, анализируют сетевую активность, а также изучают протокольные данные, а именно протоколы событий. Аудиторы уделяют пристальное внимание политике безопасности, чтобы определить, что они (эти политики) охватывают, как они используются и являются ли они эффективными применительно к текущим и будущим угрозам.
CAATs (Computer-Assisted Audit Techniques — компьютеризированные приемы аудита) часто привлекаются для помощи аудиторам с целью лучше понять IT инфраструктуру предприятия и выявить потенциальные источники опасности. КПА представляют собой набор прикладных программ аудиторских процедур, использующих компьютер в качестве инструмента проведения аудита. КПА используют системные отчеты о безопасности, а также технологии мониторинга, обнаружения и оповещения об изменениях в файловой системе и настройках. КПА могут быть использованы в персональных компьютерах, серверах, сетевых маршрутизаторах и коммутаторах, а также в целом ряде других систем и устройств.
Хотя КПА могут предоставить окончательные данные про систему, аудиторы должны исходить из текущей активности системы и процессов, не всегда поддающихся количественной оценке.
Вот некоторые из ключевых вопросов, на которые Аудитор должен найти ответ:
- Кто отвечает за безопасность, и кому это лицо подотчетно?
- Имеются ли ACL (списки контроля доступа) на сетевых устройствах, предоставляющих доступ к общим данным?
- Как создаются и управляются пароли?
- Есть ли аудит журналов записи данных и контроль доступа к данным?
- Кто просматривает журналы безопасности и протоколы событий, как часто они просматриваются?
- Являются ли настройки безопасности ОС и приложений допустимыми?
- Очищена ли система от ненужных приложений и служб? Как часто это проделывается?
- Все ли операционные системы и прикладные программы обновляются регулярно?
- Как хранить резервные копии? Кто имеет доступ к ним? Является ли они актуальными?
- Как осуществляется защита электронной почты?
- Как осуществляется защита WEB-серверов?
- Как осуществляется защита беспроводных соединений?
- Есть ли удаленные сотрудники и распространяются ли на них политики безопасности?
- Существует ли план аварийного восстановления данных? Опробовался ли он когда-то в действии?
- Проверены ли пользовательские приложения на безопасность?
- Как документируются изменения конфигурации и кодов? Как часто эти записи просматриваются?
Многие другие вопросы, касающиеся точного характера операций с данными, также должны быть заданы.
Аудиторы
Навыки аудитора и его компетентность зависит от характера аудита и бизнес-направленности проверяемых компаний. Для внутреннего аудита, как правило, привлекают аудиторов из числа сотрудников компании: специалистов ИТ-отделов и бухгалтерии. Кроме того, компания может нанять консультанта по вопросам безопасности для помощи. Аудиторы могут привлекаться как руководством компании, инвесторами, так и госорганами в соответствии с действующим законодательством.
Действия после аудита
Вскоре после появления вывода аудиторов, обычно происходит собрание владельцев компании, руководителей и менеджеров, где им докладывается о том, какие обнаружены проблемы в IT-безопасности и какие действия необходимо незамедлительно предпринять. Через несколько дней или недель аудиторы, как правило, предоставляют официальный доклад. Заинтересованные стороны могут использовать оба представления результатов, чтобы изложить свое мнение об устранении уязвимости и приведение деятельности компании в соответствие нормам.
В то время как аудит безопасности, как правило, это конкретные мероприятия, IT-безопасность является постоянным процессом. Компания должна так вести свою политику безопасности, использовать современные технологии, стремиться к поддержанию достаточного уровня безопасности, чтобы быть готовой пройти аудит безопасности в любой данный момент времени.
12 сентября 2008 13:20 | Статьи
28 сентября, 2008 в 17:00
Классная статья — спасибо!
19 октября, 2008 в 12:19
Очень было интересно читать, спасибо!
28 октября, 2009 в 16:41
[…] мер для обеспечения должного уровня IT безопасности и аудита систем безопасности для проверки IT систем предприятия на уязвимости от […]
11 ноября, 2009 в 16:38
[…] Так что в следующий раз, когда вы рискнете обидеть ребят из IT отдела – подумайте еще раз, они – «большой брат» в вашей организации. Если это вас пугает, то стоит серьезно задуматься об управлении административными паролями и применить такую политику безопасности, согласно которой будет ограничиваться доступ к паролям суперпользователей, происходить периодическая смена паролей, будет проводиться аудит безопасности. […]