Документ представляет собой руководство по аудиту информационной безопасности, освещая ключевые понятия, методы и процессы. Он подчеркивает важность оценки угроз, уязвимостей и рисков, а также рассматривает технические методы аудита и их эффективность. В заключении приводится формат отчета, который включает выявления, риски и рекомендации.

1. Введение в аудит информационной
безопасности
Александр Дорофеев
CISSP, CISA

2. Содержание
1. Основные понятия
2. Аудит процессов
3. Технический аудит
4. Немного о социальной инженерии
5. Формат отчета
2

3. Угроза, уязвимость, риск
• Угроза – причина нежелательного
инцидента, который может привести к
негативным последствиям для организации.
• Уязвимость - свойство
актива, предоставляющее возможность
реализации угроз безопасности
обрабатываемой в ней безопасности
• Риск - комбинация вероятности события и его
последствий
3

4. Контроль
От англ. control
Мера минимизации риска, контрмера, мера безопасности
4

5. Аудит -
систематический, независ
имый и
документированный
процесс получения
свидетельств аудита и
объективного их
оценивания с целью
установления степени
выполнения
согласованных критериев
аудита

6. Аудит -
проверка
выполнения
требований

7. Аудит -
оценка
эффективности
контролей
7

8. Информационная
безопасность
Люди Процессы Технологии
8

9. Критерии аудита ИБ
• требования корпоративных
Процессы политик, международных
стандартов, законодательства
• уровень защищенности информационных
Технологии систем от внутренних и внешних
злоумышленников
• способность сотрудников противостоять
действиям злоумышленников, пытающихся
Люди с помощью обмана получить
конфиденциальную информацию
9

10. Процессы
10

11. Границы аудита – могут определяться
подразделениями, процессами, системами
конт
рме угро
ра за
процессы
конт
рме угро
ра за
технологии
конт
рме угро
люди ра за
11

12. Оценка процессов
и контролей в процессах
Оценка
эффективности Оценка
дизайна реализации
контролей
12

13. Методы аудита
1) Наблюдение
2) Интервью
3) Walkthrough
4) Выборочное тестирование
5) Полное тестирование
13

14. Бинарная оценка:
«неэффективный» или «эффективный» контроль
14

15. Оценка зрелости процессов
источник: Cobit
15

16. Возможные нюансы
• Наличие компенсирующих контролей
• Реализовался риск или нет
16

17. Технологии
17

18. Подходы к оценке
защищенности
Сканирование на
Классический тест
наличие
на проникновение
уязвимостей
Анализ
Комплексный
конфигурации
подход
системы
18

19. Классический тест на
проникновение
• Имитация действий реального
злоумышленника – поиск
первой
уязвимости, позволяющей
получить доступ к системе
• Больше искусство, чем аудит.
Качество сильно зависит от
уровня специалиста
• Обычный результат: несколько
опасных уязвимостей
• Высокий риск нарушения
доступности систем
19

20. Сканирование
• Использование
исключительно сканеров для
поиска уязвимостей
• Качество сильно зависит от
используемого сканера.
• Результат: множество
уязвимостей различного
уровня опасности
• Средний риск нарушения
работоспособности систем
20

21. Анализ конфигурации
системы
• Проверка настроек систем в
соответствии с
рекомендуемыми вендорами
или сообществами
профессионалов по ИБ
(NIST, Center of Internet
Security).
• Результат: множество
уязвимостей различного
уровня опасности
• Низкий риск нарушения
работоспособности систем
21

22. Комплексное тестирование
идентификация • сбор информации о внешних ресурсах в Интернет
• сканирование сети
целевых • согласование перечня с заказчиком
сетевых узлов
• с помощью сканеров
поиск • вручную (по баннерам, ошибки конфигурации)
уязвимостей
эксплуатация • подбор паролей
• перехват трафика
уязвимостей и • запуск эксплойтов
проведение атак • и т.д.
расширение • запуск локальных эксплойтов
• использование собранной информации для доступа
привилегий и к другим системам
зоны влияния
22

23. Зачем столько видов технического аудита?
Классический • Демонстрация незащищенности
тест на систем
проникновение
• Быстрый поиск уязвимостей для
Сканирование их устранения
• Поиск уязвимостей при
Анализ минимальном воздействии на
конфигурации работу систем
• Поиск максимального количества
Комплексный уязвимостей с контролируемыми
подход рисками проекта
23

24. Методологии
24

25. Люди
25

26. Примеры
• Провокационные письма с
просьбой сообщить пароль
• Фишинг-атаки
• и др.
26

27. Заключительные
слайды
27

28. Границы аудита и фокус
процессы Фокус
Фокус Анализ
технологии Аудит СУИБ конфигурации,
Сканирование
Тестирование
на проникновение
люди
28

29. Формат отчета
Finding – Risk – (Recommendation )
29

30. Александр Дорофеев АНО “Учебный центр “Эшелон”
CISSP, CISA E-mail: adorofeev@uc-echelon.ru
Директор Тел.: +7(495) 645-38-09