Безопасность
+38 (044) 394-51-35
info@csi.ua

Аудит информационной безопасности по стандарту ISO 27001

Комплексный аудит информационной безопасности позволяет получить наиболее полную и объективную оценку защищенности информационной сети, локализовать имеющиеся проблемы и разработать эффективную программу построения системы обеспечения информационной безопасности организации.

Комплексный аудит безопасности информационной системы включает в себя анализ механизмов безопасности организационного уровня, политики безопасности организации и организационно-распорядительной документации по обеспечению режима информационной безопасности, оценку их соответствия требованиям нормативных документов и адекватности существующим рискам.

При комплексном аудите производится также анализ защищенности информационной системы «изнутри», включая:

  • • анализ конфигурационных файлов маршрутизаторов, межсетевых экранов и прокси-серверов, осуществляющих управление межсетевыми взаимодействиями, почтовых и DNS серверов, а также других критических элементов сетевой инфраструктуры;
  • • сканирование ресурсов ЛВС «изнутри»;
  • • анализ конфигурации серверов и рабочих станций ЛВС при помощи специализированных программных средств.

Перечисленные методы исследования предполагают использование как активного, так и пассивного тестирования системы защиты, реализуемых при помощи многочисленных средств анализа защищенности, включающих: сетевые сканеры, анализаторы параметров защиты, взломщики паролей и специализированные программные агенты.

Удаленное тестирование интернет-сайтов и внешних параметров сети

Наряду с проведением комплексного аудита информационной безопасности Центр защиты информации предлагает заказчикам также услугу по удаленному тестированию интернет-сайтов и внешних параметров сети.

Целью удаленного тестирования Интернет-сайтов является проверка их защищенности от атак со стороны сети Интернет.

Тестирование производится методом эмуляции действий потенциального злоумышленника по осуществлению удаленных атак (Penetration test).

Для выполнения тестирования используется большой арсенал современных средств сканирования, поиска уязвимостей и преодоления защиты компьютерных сетей. По согласованию с клиентом может осуществляться проверка устойчивости Интернет-сайтов к атакам на отказ в обслуживании (DoS атаки).

Тестирование может производиться удаленно без выезда к Заказчику. По результатам тестирования создается аудиторский отчет, содержащий общую оценку уровня защищенности Интернет-сайтов и внешнего периметра сети от внешних атак, подробное описание обнаруженных уязвимостей и рекомендации по совершенствованию защиты.

Анализ рисков информационной безопасности

Анализ рисков информационной безопасности позволяет идентифицировать имеющиеся угрозы, оценить вероятность их успешного осуществления, возможные последствия для организации и правильно расставить приоритеты при реализации контрольных мер.

Процесс анализа рисков включает в себя выполнение следующих групп задач:

  • • анализ ресурсов ИТ-инфраструктуры, включая информационные ресурсы, программные и технические средства, людские ресурсы и построение модели ресурсов, учитывающей их взаимозависимость;
  • • анализ бизнес-процессов и групп задач, решаемых информационной системой, позволяющий оценить критичность ИТ-ресурсов с учетом их взаимозависимости;
  • • идентификация угроз безопасности в отношении ресурсов информационной системы и уязвимостей защиты, делающих возможным осуществление этих угроз;
  • • оценка вероятности осуществления угроз, величины уязвимостей и ущерба, наносимого организации;
  • • определение величины рисков для каждой тройки: угроза – группа ресурсов – уязвимость;
  • • ранжирование существующих рисков.

На основе проведенного анализа рисков разрабатывается система первоочередных мероприятий по уменьшению величины рисков до приемлемого уровня.

Разработка политики информационной безопасности

Политика безопасности – это основа организационных мер по защите информации.

Адекватный уровень информационной безопасности (ИБ) в организации может быть обеспечен только при комплексном подходе, включающем как программно-технические, так и организационные меры защиты. Причем организационные меры играют более важную роль и в среднем должны составлять более 60% усилий в этом направлении. Эффективность любых сложных и дорогостоящих программно-технических механизмов защиты может быть сведена к нулю в случае, если пользователи информационных систем игнорируют элементарные правила парольной политики. Установка межсетевого экрана может даже понизить защищенность сети в случае отсутствия политики управления доступом, которую он должен реализовывать.

В основе организационных мер защиты информации лежат политики безопасности организации (ПБ), от эффективности которых в наибольшей степени зависит успешность мероприятий по обеспечению ИБ. Разработка политик безопасности собственными силами — длительный и трудоемкий процесс, требующий профессиональных навыков и отличного знания нормативной базы в области ИБ.

При разработке и внедрении политики безопасности (ПБ) специалисты Центра Системной Интеграции выполняют пять последовательных этапов:

  1. Аудит безопасности. Аудит безопасности включает в себя проведение обследования, идентификацию угроз безопасности, выявление ресурсов, нуждающихся в защите, и оценку рисков. В ходе аудита проводится анализ текущего состояния ИБ, выявляются уязвимости и наиболее чувствительные к угрозам ИБ бизнес-процессы. В результате аудита безопасности собираются и обобщаются сведения, необходимые для разработки ПБ.
  2. Разработка политики безопасности (ПБ). На основании результатов аудита руководство организации определяет и утверждает основные условия и требования к обеспечению ИБ в организации, которые позволят уменьшить риски до приемлемой величины.
  3. Внедрение политики безопасности. Содержание политик безопасности доводится до сведения всех сотрудников организации, проводится обучение, даются необходимые разъяснения сомневающимся сотрудникам, которые пытаются обойти новые правила.
  4. Аудит и контроль. Проведение планового аудита безопасности — основной метод контроля работоспособности ПБ, позволяющий оценить эффективность внедрения. Результаты аудита могут служить основанием для пересмотра некоторых положений ПБ и внесения необходимых корректировок.
  5. Пересмотр и корректировка. Первая версия ПБ часто не в полной мере отвечает потребностям организации и требует доработки после наблюдения за процессом внедрения ПБ и оценки эффективности её применения. Также необходимо корректировать подход к обеспечению ИБ в соответствии с изменением используемых технологий и бизнес-процессов организации. В большинстве случаев ежегодный пересмотр ПБ является нормой, установленной самой политикой.

Защита от утечки конфиденциальной информации

Атаки на информационные системы причиняют огромный ущерб компаниям, причем не только финансовый - утечка конфи­денциальных данных может нанести серьезный удар по репутации ком­пании. При создании полномасштабной системы информационной безопасности следует учитывать все возможные способы совершения внутренних атак и пути утечки информации. Технически утечка может произойти по нескольким каналам: через почтовый сервер — с помощью электрон­ной почты, через прокси-сервер — при использовании открытых почтовых систем, через принтер — при физической печати документов, а также через мобильные носители — дискеты, CD-диски, переносные устройства с флэш-памятью и встроенным жестким диском.

Для устранения подобных угроз Центр Системной Интеграции реализует системы защиты, позво­ляющие контролировать информацию, проходящую через каждый узел сети, и блокировать все попытки несанкциони­рованного доступа к конфиденциальным данным. Защита каждой отдельно взятой рабочей станции и информационной системы строится на принципах отключения сервисов, избыточных для пользователя, и постоянного мониторинга ситуации в активных сервисах.

Системы защиты от утечки конфиденциальной информации обеспечивают:

  • • минимизацию финансовых рисков;
  • • контроль над наиболее распространенными путями утечки;
  • • четкое разграничение прав доступа сотрудников к корпоративным информационным ресурсам.

Использование системы защиты от утечки конфиденциальной информации гарантирует в масштабе реального времени мониторинг почтового и веб-трафика, предотвращение неавторизованного использования и копирования секретных документов на рабочих станциях. В случае обнаружения фактов нарушения корпоративной политики информационной безопасности система оперативно сообщает об инциденте и помещает подозрительные объекты в область карантина.

При построении систем защиты от утечки конфиденциальной информации специалисты Центра Системной Интеграции используют продукты компаний Triton APX Suite (Websense).

Решения по сетевой безопасности с применением Комплексной Системы Защиты Информации (КСЗИ)

Важнейшей задачей любой компании является обеспечение защищенного обмена информацией между всеми участниками, вовлеченными в бизнес-процессы: партнерами, клиентами, удаленными филиалами и мобильными сотрудниками. Лучшим методом защиты от несанкционированного раскрытия передаваемых данных является криптографическое преобразование (шифрование) информации.

Существует несколько вариантов использования криптографии для защиты передаваемой информации: от шифрования отдельных порций данных (например, электронных писем с дальнейшей их отправкой по обычным не защищенным каналам) и до тотального шифрования всей информации, передаваемой по открытым каналам связи. Способ, при котором используется шифрование всего трафика, позволяет виртуально расширить границы корпоративной сети и получить требуемый уровень защищенности информации. Сеть, построенная по такому принципу, называется виртуальной частной сетью (Virtual Private Network — VPN).

Главные преимущества применения VPN заключаются в снижении затрат и гибкости при проектировании сети. Кроме того, виртуальные частные сети избавляют от необходимости арендовать выделенные линии или задействовать ресурсы других сетей, т.к. можно использовать уже оплаченный доступ в IP-сеть.

Внедрение VPN в компании решает следующие задачи:

  • • организация защищенного взаимодействия между удаленными офисами;
  • • предоставление сотрудникам, находящимся в командировке, удаленного и защищенного доступа;
  • • предоставление защищенного доступа к необходимой информации компаниям-партнерам и клиентам.

Центр Системной Интеграции реализует комплексные решения по информационной безопасности, включающие создание VPN-сетей на основе сертифицированных средств построения защищенных каналов связи, которые обеспечивают:

  • • криптографическую защиту потоков данных, передаваемых по сети;
  • • межсетевое экранирование;
  • • маскировку топологии сети;
  • • аутентификацию пользователей и узлов сети;
  • • удаленное управление и мониторинг;
  • • «прозрачность» работы для сетевых приложений;
  • • гибкое событийное протоколирование;
  • • эффективное масштабирование при проектировании и создании VPN.

Данные решения реализуются на основе Symantec Enterprise VPN.

ProxySecured VPN использует сканирование на серверах и клиентскую часть Symantec Enterprise VPN (ранее - RaptorMobile) для создания персональных брандмауеров на рабочих местах (поддерживаются Windows 95/98/ME/NT 4.0/ 2000/XP). Пакет полностью соответствует отраслевым стандартам «брандмауер/VPN» и обеспечивает безопасное высокоскоростное соединение через Internet для удаленных пользователей. Продукт хорошо масштабирован и может применяться для организации виртуальных частных сетей любой структуры. Symantec Enterprise VPN - единственный VPN-сервер, использующий ProxySecured сканирование всех IPSec-совместимых соединений для мониторинга входящих и исходящих потоков информации. Эта технология позволяет администраторам осуществлять контроль траффика на уровне приложений (пользовательских), а не только в масштабах всей сети. Для усиления защиты на рабочих местах и предотвращения атак по сетевым IP-адресам, входящий в пакет интегрированный персональный брандмауер обеспечивает возможность настраиваемой автоматической блокировки портов и другие функции, предназначенные для поддержания способности системы к защите всех потенциально уязвимых сетевых узлов.

Системы защиты от несанкционированного доступа

В основе большинства механизмов аутентификации лежат пароли сотрудников. Несоблюдение правил выбора, хранения и использования паролей приводит к нарушению конфиденциальности, целостности и доступности информационных ресурсов.

Для защиты критичных информационных ресурсов, например, корпоративных баз данных, Центр Системной Интеграции применяет системы многофакторной аутентификации, основанные на:

  • • использовании защищенных носителей информации (USB-ключей, магнитных карт и смарт-карт), что позволяет полностью отказаться от парольной аутентификации в корпоративной информационной системе;
  • • технологии одноразовых паролей.

При построении систем многофакторной аутентификации в корпоративных сетях Центр Системной Интеграции использует смарт-карты и электронные ключи eToken PRO, а также системы одноразовых паролей RSA SecurID.

Смарт-карты и электронные ключи

Смарт-карты и электронные ключи eToken PRO компании Aladdin Knowledge Systems Ltd. (Израиль) используются для защиты конфиденциальной информации при проектировании автоматизированных систем.

Смарт-карты еToken PRO SC используются с совместимым кард-ридером. Смарт-карты могут быть дополнены пассивными радиометками (RFID-метками) и интегрированы с системами контроля доступа в помещение (СКУД), что дает возможность перейти к единой электронной системе доступа.

Электронные ключи eToken PRO являются полнофункциональными аналогами смарт-карт, выполненными в виде брелока. Ключи eToken не требуют наличия кард-ридеров или других дополнительных устройств. Они имеют эргономичный дизайн и небольшой размер, легко размещаются на связке с ключами.

Системы одноразовых паролей

Системы многофакторной аутентификации, основанные на технологии одноразовых паролей RSA SecurID, - это платформенно-независимое решение для аутентификации мобильных пользователей, которое отличается крайней простотой в использовании, установке и администрировании. Данная технология основана на том, что пароль пользователя не постоянен и изменяется с течением времени специальным устройством (аппаратным или программным) – токеном. Компания RSA Security предоставляет широкий выбор типов аутентификаторов – электронные и программные токены, смарт-карты.

Это решение широко используется в системах удаленного доступа, в том числе системах клиент-банка, для аутентификации пользователей при доступе из недоверенной среды (Интернет-кафе, бизнес-центры и т.д.).

Мониторинг информационной безопасности

Важной задачей управления корпоративными информационными системами (КИС) современных организаций является мониторинг производительности, доступности и оценка уровня безопасности информационных ресурсов, сервисов и приложений.

Центр Системной Интеграции внедряет системы мониторинга событий информационной безопасности, которые позволяют:

  • • в режиме реального времени обнаруживать атаки и нарушения политики безопасности и автоматически реагировать на них;
  • • в режиме реального времени отслеживать и реагировать на взаимосвязанные инциденты безопасности;
  • • сформировать базу знаний по инцидентам безопасности.

Использование таких систем обеспечивает централизованный контроль и выполнение политики безопасности.

Центр Системной Интеграции предлагает свои решения на основе Symantec Discovery.

Symantec Discovery - это удобное в использовании решение для слежения за всеми программными и аппаратными устройствами организации. Продукт позволяет получить представление о том, где физически расположены пользователи, а также узнать обо всех произведенных изменениях. Symantec Discovery собирает детальную информацию по группам пользователей и в целом по организации. Он дает возможность получать полную информацию о конфигурации системы и составлять содержательные отчеты по результатам аудита.

Symantec Discovery предоставляет контроль над компьютерами сотрудников и позволяет достичь большей безопасности устройств компании, включая мониторы. Технология LANProbe дает возможность определить любые IP-устройства в сети, в том числе и те, на которых установлены операционные системы Windows, Unix, Linux и Mac.

Системы контроля доступа к периферийным устройствам

По мере развития информационных технологий объемы сменных носителей постоянно увеличиваются. Это позволяет копировать большое количество информации через периферийные устройства, в том числе при несанкционированном доступе к данным.

Кражи корпоративных данных наносят ощутимый урон компаниям, приводят к большим финансовым потерям или даже разорению компаний. Поэтому сегодня использование систем контроля доступа особенно актуально.

Центр защиты информации создает системы контроля доступа к периферийным устройствам на основе продуктов DeviceLock компании SmartLine и GFI EndPoint Security.

DeviceLock

Позволяет контролировать доступ к USB портам и устройствам, CD-ROM'ам, FireWire, инфракрасным, принтерным (LPT) и модемным (COM) портам, WiFi и Bluetooth адаптерам. Имеет систему удаленного управления, позволяющую обеспечивать доступ ко всем возможным функциям программы.

GFI EndPoint Security

Обеспечивает полный контроль над доступом пользователей к дискам и устройствам хранения информации, такими как USB-флешки, iPod'ы и КПК и позволяет администраторам управлять доступом пользователей к этим устройствам.