Руководство по Аудиту безопасности

Аудит Безопасности  — это практика, которую лучше всего было бы охарактеризовать как «неизбежное зло». Поскольку ни один владелец бизнеса, исполнительный или IT-менеджер вряд ли будет в восторге от мысли провести строгую экспертизу безопасности, в целом понимая, что ревизия — лучший и единственный способ в полной мере убедиться, что все технологии и методы безопасности работают в соответствии с установленными требованиями и спецификациями. 

 Аудит Безопасности, как правило, проводится для оценки информационной безопасности, управления рисками и нормативным требованиям. Если аудит безопасности осуществляется правильно, он может выявить слабые места в технологиях, методах, сотрудниках(не забываем о человеческом факторе) и других ключевых областях. Процесс может помочь компаниям сэкономить деньги путем поиска более эффективных путей обеспечения защиты IT-оборудования и программного обеспечения, а также позволяет предприятиям  более эффективно понимать и использовать технологии и процессы безопасности. Беспристрастный аудит безопасности помогает владельцам компаний, руководителям и ИТ-менеджерам, действительно понять, что периодические обследования могут реально содействовать построению стратегии безопасности синхронно с общей коммерческой деятельностью.

 Процесс Аудита

 Не существует стандарта процесса аудита безопасности, но аудиторы, как правило, выполняют свою работу, пользуясь личным опытом, они просматривают уязвимости, делают экспертизу безопасности ОС и настроек приложений безопасности, анализируют сетевую активность, а также изучают протокольные данные, а именно протоколы событий. Аудиторы уделяют пристальное внимание политике безопасности, чтобы определить, что они (эти политики) охватывают, как они используются и являются ли они эффективными применительно к текущим и будущим угрозам.

 CAATs (Computer-Assisted Audit Techniques — компьютеризированные приемы аудита) часто привлекаются для помощи аудиторам с целью лучше понять IT инфраструктуру предприятия и выявить потенциальные источники опасности. КПА представляют собой набор прикладных программ аудиторских процедур, использующих компьютер в качестве инструмента проведения аудита. КПА используют системные  отчеты о безопасности, а также технологии мониторинга, обнаружения и оповещения об изменениях в файловой системе и настройках. КПА могут быть использованы в персональных компьютерах, серверах, сетевых маршрутизаторах и коммутаторах, а также в целом ряде других систем и устройств.

 Хотя КПА могут предоставить окончательные данные про систему, аудиторы должны исходить из текущей активности системы и процессов, не всегда поддающихся количественной оценке.

 Вот некоторые из ключевых вопросов, на которые Аудитор должен найти ответ:

  • Кто отвечает за безопасность, и кому это лицо подотчетно?
  • Имеются ли ACL (списки контроля доступа) на сетевых устройствах, предоставляющих доступ к общим данным?
  • Как создаются и управляются пароли?  
  • Есть ли аудит журналов записи данных и контроль доступа к данным?
  • Кто просматривает журналы безопасности и протоколы событий, как часто они просматриваются?
  • Являются ли настройки безопасности  ОС и приложений допустимыми?
  • Очищена ли система от ненужных приложений и служб? Как часто это проделывается?
  • Все ли операционные системы и прикладные программы обновляются регулярно?
  • Как хранить резервные копии? Кто имеет доступ к ним? Является ли они актуальными?
  • Как осуществляется защита электронной почты?
  • Как осуществляется защита WEB-серверов?
  • Как осуществляется защита беспроводных соединений?
  • Есть ли удаленные сотрудники и распространяются ли на них политики безопасности?
  • Существует ли план аварийного восстановления данных? Опробовался ли он когда-то в действии?
  • Проверены ли пользовательские приложения на безопасность?
  • Как документируются изменения конфигурации и кодов? Как часто эти записи просматриваются?

 Многие другие вопросы, касающиеся точного характера операций с данными, также должны быть заданы.

 Аудиторы

 Навыки аудитора и его компетентность зависит от характера аудита и бизнес-направленности проверяемых компаний. Для внутреннего аудита, как правило, привлекают аудиторов из числа сотрудников компании: специалистов ИТ-отделов и бухгалтерии. Кроме того, компания может нанять консультанта по вопросам безопасности для помощи. Аудиторы могут привлекаться как руководством компании, инвесторами, так и госорганами в соответствии с действующим законодательством.

 Действия после аудита

 Вскоре после появления вывода аудиторов, обычно происходит собрание  владельцев компании, руководителей и менеджеров, где им докладывается о том, какие обнаружены проблемы в IT-безопасности и какие действия необходимо незамедлительно предпринять. Через несколько дней или недель аудиторы, как правило, предоставляют официальный доклад. Заинтересованные стороны могут использовать оба представления результатов, чтобы изложить свое мнение об устранении уязвимости и приведение деятельности компании в соответствие нормам.

 В то время как аудит безопасности, как правило, это конкретные мероприятия, IT-безопасность является постоянным процессом. Компания должна так вести свою политику безопасности, использовать современные технологии, стремиться к поддержанию достаточного уровня безопасности, чтобы быть готовой пройти аудит безопасности в любой данный момент времени.

По материалам

12 сентября 2008 13:20 | Статьи

4 комментария к “Руководство по Аудиту безопасности”

  1. Goce говорит:

    Классная статья — спасибо!

  2. BlizZard говорит:

    Очень было интересно читать, спасибо!

  3. Блог про IT безопасность » Как построить культуру безопасности говорит:

    […] мер для обеспечения должного уровня IT безопасности и аудита систем безопасности для проверки IT систем предприятия на уязвимости от […]

  4. Блог про IT безопасность » Пароли суперпользователей: угроза из ниоткуда говорит:

    […] Так что в следующий раз, когда вы рискнете обидеть ребят из IT отдела – подумайте еще раз, они – «большой брат» в вашей организации. Если это вас пугает, то стоит серьезно задуматься об управлении административными паролями и применить такую политику безопасности, согласно которой будет ограничиваться доступ к паролям суперпользователей, происходить периодическая смена паролей, будет проводиться аудит безопасности. […]

Оставить коментарий