1. Введение в аудит информационной
безопасности
Александр Дорофеев
CISSP, CISA
2. Содержание
1. Основные понятия
2. Аудит процессов
3. Технический аудит
4. Немного о социальной инженерии
5. Формат отчета
2
3. Угроза, уязвимость, риск
• Угроза – причина нежелательного
инцидента, который может привести к
негативным последствиям для организации.
• Уязвимость - свойство
актива, предоставляющее возможность
реализации угроз безопасности
обрабатываемой в ней безопасности
• Риск - комбинация вероятности события и его
последствий
3
5. Аудит -
систематический, независ
имый и
документированный
процесс получения
свидетельств аудита и
объективного их
оценивания с целью
установления степени
выполнения
согласованных критериев
аудита
9. Критерии аудита ИБ
• требования корпоративных
Процессы политик, международных
стандартов, законодательства
• уровень защищенности информационных
Технологии систем от внутренних и внешних
злоумышленников
• способность сотрудников противостоять
действиям злоумышленников, пытающихся
Люди с помощью обмана получить
конфиденциальную информацию
9
11. Границы аудита – могут определяться
подразделениями, процессами, системами
конт
рме угро
ра за
процессы
конт
рме угро
ра за
технологии
конт
рме угро
люди ра за
11
12. Оценка процессов
и контролей в процессах
Оценка
эффективности Оценка
дизайна реализации
контролей
12
13. Методы аудита
1) Наблюдение
2) Интервью
3) Walkthrough
4) Выборочное тестирование
5) Полное тестирование
13
18. Подходы к оценке
защищенности
Сканирование на
Классический тест
наличие
на проникновение
уязвимостей
Анализ
Комплексный
конфигурации
подход
системы
18
19. Классический тест на
проникновение
• Имитация действий реального
злоумышленника – поиск
первой
уязвимости, позволяющей
получить доступ к системе
• Больше искусство, чем аудит.
Качество сильно зависит от
уровня специалиста
• Обычный результат: несколько
опасных уязвимостей
• Высокий риск нарушения
доступности систем
19
20. Сканирование
• Использование
исключительно сканеров для
поиска уязвимостей
• Качество сильно зависит от
используемого сканера.
• Результат: множество
уязвимостей различного
уровня опасности
• Средний риск нарушения
работоспособности систем
20
21. Анализ конфигурации
системы
• Проверка настроек систем в
соответствии с
рекомендуемыми вендорами
или сообществами
профессионалов по ИБ
(NIST, Center of Internet
Security).
• Результат: множество
уязвимостей различного
уровня опасности
• Низкий риск нарушения
работоспособности систем
21
22. Комплексное тестирование
идентификация • сбор информации о внешних ресурсах в Интернет
• сканирование сети
целевых • согласование перечня с заказчиком
сетевых узлов
• с помощью сканеров
поиск • вручную (по баннерам, ошибки конфигурации)
уязвимостей
эксплуатация • подбор паролей
• перехват трафика
уязвимостей и • запуск эксплойтов
проведение атак • и т.д.
расширение • запуск локальных эксплойтов
• использование собранной информации для доступа
привилегий и к другим системам
зоны влияния
22
23. Зачем столько видов технического аудита?
Классический • Демонстрация незащищенности
тест на систем
проникновение
• Быстрый поиск уязвимостей для
Сканирование их устранения
• Поиск уязвимостей при
Анализ минимальном воздействии на
конфигурации работу систем
• Поиск максимального количества
Комплексный уязвимостей с контролируемыми
подход рисками проекта
23