Анализ уязвимостей корпоративной сети

Анализ уязвимостей корпоративной сети

Дмитрий Снопченко Дмитрий Снопченко [email protected]

ЗАО «Объединение ЮГ» http:// www.yug.com.ua

ВОПРОСЫ ОБ АУДИТЕВОПРОСЫ ОБ АУДИТЕИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Что такое аудит и цель его проведения?

Как проводится аудит? Какими средствами

проводить аудит?

ЧТО ТАКОЕ АУДИТ?

Аудит информационной безопасностиАудит информационной безопасности – это – это системный процесс получения объективных оценок системный процесс получения объективных оценок текущего состояния информационной безопасности текущего состояния информационной безопасности организации (предприятия) в соответствии с организации (предприятия) в соответствии с определенными критериями информационной определенными критериями информационной безопасности, который включает комплексное безопасности, который включает комплексное обследование различных сред функционирования обследование различных сред функционирования ИТС, проведения тестирования на уязвимости ИТС, ИТС, проведения тестирования на уязвимости ИТС, анализ и оценку защищенности ИТС, формирование анализ и оценку защищенности ИТС, формирование отчёта и разработку соответствующих рекомендаций.отчёта и разработку соответствующих рекомендаций.

ЦЕЛЬ АУДИТАЦЕЛЬ АУДИТА

Основной целью аудита информационной Основной целью аудита информационной безопасностибезопасности ИТСИТС является оценка текущего является оценка текущего состояния информационной безопасности состояния информационной безопасности учреждения или предприятия, а также подготовка учреждения или предприятия, а также подготовка исходных данных для формирования требований к исходных данных для формирования требований к комплексной системе защиты информации (КСЗИ) комплексной системе защиты информации (КСЗИ) ИТС.ИТС.

КАК ПРОВОДИТСЯ АУДИТ?

Соответствующие требования и рекомендации по Соответствующие требования и рекомендации по проведению аудита (обследования) информационной проведению аудита (обследования) информационной безопасности отражены в международныхбезопасности отражены в международных, , государственных стандартах, нормативно-правовых государственных стандартах, нормативно-правовых базе Украины в сфере защиты информации:базе Украины в сфере защиты информации:

ISO/IEC:17799 «Информационные технологии. Управление ISO/IEC:17799 «Информационные технологии. Управление информационной безопасностью»;информационной безопасностью»;

ISO/IEC 27001:2005 «Информационные технологии. Методы ISO/IEC 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной обеспечения безопасности. Системы управления информационной безопасностью. Требования»;безопасностью. Требования»;

ДСТУ 3396.1-96 «Защита информации. Техническая защита ДСТУ 3396.1-96 «Защита информации. Техническая защита информации. Порядок проведения работ», а также в информации. Порядок проведения работ», а также в законодательной базе Украины в сфере защиты информации.законодательной базе Украины в сфере защиты информации.

НД ТЗІ 3.7-003-05НД ТЗІ 3.7-003-05 « «Порядок проведення робіт із створення Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-комплексної системи захисту інформації в інформаційно-телекомунікаційній системітелекомунікаційній системі».».

НД ТЗІ 2.5-004-99 НД ТЗІ 2.5-004-99 ««Критерії оцінки захищеності інформації в Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступукомп’ютерних системах від несанкціонованого доступу»» и др. и др.

ЭТАПЫ ПРОВЕДЕНИЯ АУДИТАЭТАПЫ ПРОВЕДЕНИЯ АУДИТА

Подготовка к проведению аудита (обследования) ИТС:• формирование требований к проведению аудита;

• создание совместной комиссии по аудиту.

КОМПЛЕКСНОЕ ОБСЛЕДОВАНИЕ ИТС

Обследование информационной

среды ИТС

Обследование вычислительной

системы ИТС

Обследование физической среды ИТС

Обследованиесреды пользователей

Тестирование на уязвимости ИТС

Оценка уровня защищённости ИТС

Анализ и систематизация полученных результатов

обследования ИТС

Создание отчёта и разработка соответствующих рекомендаций

Идентификацияполученных уязвимостей

АНАЛИЗ ЗАЩИЩЕННОСТИ ИТС

ОБСЛЕДОВАНИЕ ВЫЧИСЛИТЕЛЬНОЙ ОБСЛЕДОВАНИЕ ВЫЧИСЛИТЕЛЬНОЙ СИСТЕМЫ ИТССИСТЕМЫ ИТС

Проверка наличия документации на ИТС и Проверка наличия документации на ИТС и ее предварительный анализ.ее предварительный анализ.

Проверка наличия распорядительных Проверка наличия распорядительных документов на ИТС и их предварительный документов на ИТС и их предварительный анализ.анализ.

Сбор сведений об общей структурной Сбор сведений об общей структурной схеме ИТС, ее компонентах схеме ИТС, ее компонентах – состав – состав оборудования, технических и программных оборудования, технических и программных средств, их связи, особенности средств, их связи, особенности конфигурации, архитектуры и топологии, конфигурации, архитектуры и топологии, программные и программно-аппаратные программные и программно-аппаратные средства защиты информации, взаимное средства защиты информации, взаимное размещение средствразмещение средств..

Сбор сведений информации о видах Сбор сведений информации о видах каналов связи, их характеристики. каналов связи, их характеристики.

Сбор сведений о особенностях Сбор сведений о особенностях взаимодействия отдельных компонентов взаимодействия отдельных компонентов ИТС.ИТС.

Анализ полученной информации.Анализ полученной информации.

ОБСЛЕДОВАНИЕОБСЛЕДОВАНИЕИНФОРМАЦИОННОЙ СРЕДЫ ИТСИНФОРМАЦИОННОЙ СРЕДЫ ИТС

Сбор сведений о технологии обработки Сбор сведений о технологии обработки информации в ИТС.информации в ИТС.

Сбор сведений о информационных потоках Сбор сведений о информационных потоках ИТС.ИТС.

Сбор сведений о предъявляемых в Сбор сведений о предъявляемых в организации требований к защите организации требований к защите информации в ИТС.информации в ИТС.

Сбор сведений о режиме доступа к Сбор сведений о режиме доступа к информационным ресурсам ИТС;информационным ресурсам ИТС;

Сбор сведений о информационных Сбор сведений о информационных носителях и правилах работы с ними.носителях и правилах работы с ними.


ОБСЛЕДОВАНИЕ ФИЗИЧЕСКОЙ СРЕДЫ ИТСОБСЛЕДОВАНИЕ ФИЗИЧЕСКОЙ СРЕДЫ ИТС Проверка наличия документации на компоненты физической среды Проверка наличия документации на компоненты физической среды

ИТС и ее предварительный анализ.ИТС и ее предварительный анализ. Собор сведений о территориальном размещении компонентов ИТС.Собор сведений о территориальном размещении компонентов ИТС. Сбор сведений о наличии охраняемой территории и пропускного Сбор сведений о наличии охраняемой территории и пропускного

режима на объекте.режима на объекте. Сбор сведений о наличии на объекте или объектах Сбор сведений о наличии на объекте или объектах

категорированных помещений.категорированных помещений. Сбор сведений о наличии на объекте или объектах охранной, Сбор сведений о наличии на объекте или объектах охранной,

пожарной сигнализации, систем видеонаблюдения и контроля пожарной сигнализации, систем видеонаблюдения и контроля доступа.доступа.

Сбор сведений о режиме доступа к компонентам физической среды Сбор сведений о режиме доступа к компонентам физической среды ИТС.ИТС.

Сбор сведений о наличии в помещениях, где функционирует ИТС, Сбор сведений о наличии в помещениях, где функционирует ИТС, элементов коммуникаций, систем жизнеобеспечения и связи, элементов коммуникаций, систем жизнеобеспечения и связи, имеющих выход за пределы контролируемой территории.имеющих выход за пределы контролируемой территории.

Сбор сведений о наличии системы заземления оборудования ИТС Сбор сведений о наличии системы заземления оборудования ИТС и ее технических характеристик.и ее технических характеристик.

Сбор сведений о условиях хранения магнитных, оптико-магнитных, Сбор сведений о условиях хранения магнитных, оптико-магнитных, бумажных и других носителей информации.бумажных и других носителей информации.


ОБСЛЕДОВАНИЕ СРЕДЫ ПОЛЬЗОВАТЕЛЕЙОБСЛЕДОВАНИЕ СРЕДЫ ПОЛЬЗОВАТЕЛЕЙ Проверка наличия документов, Проверка наличия документов,

регламентирующих деятельность регламентирующих деятельность персонала организации по обеспечению персонала организации по обеспечению безопасности информации в ИТС и их безопасности информации в ИТС и их предварительный анализ.предварительный анализ.

Анализ функционального и Анализ функционального и количественного состава пользователей и количественного состава пользователей и их обязанностей;их обязанностей;

Анализ функций и полномочий Анализ функций и полномочий подразделения защиты информации;подразделения защиты информации;

Анализ категорий пользователей по уровню Анализ категорий пользователей по уровню полномочий.полномочий.

ТЕСТИРОВАНИЕ НА УЯЗВИМОСТИ ИТСТЕСТИРОВАНИЕ НА УЯЗВИМОСТИ ИТС

Проведение сканирования Проведение сканирования всех компонентов ИТС на всех компонентов ИТС на уязвимости как изнутри, так уязвимости как изнутри, так и снаружи.и снаружи.

XSpider 7.5XSpider 7.5

Сетевой сканер безопасности нового поколения как средство

проведения аудита безопасности

Сетевой сканер безопасности нового поколения как средство

проведения аудита безопасности

Пример сканированияПример сканирования

Список уязвимостейСписок уязвимостейОпределение ОС

Список портов

TCP порт с идентифицированным

сервисом, подверженный критической уязвимости

TCP порт с идентифицированным

сервисом, подверженный некритической

уязвимостиОбщая информация

Уязвимость или нет?...

Описание уязвимостейОписание уязвимостей







Возможности сканированияВозможности сканирования



АНАЛИЗ ЗАЩИЩЕННОСТИ ИТСАНАЛИЗ ЗАЩИЩЕННОСТИ ИТС

Анализ и систематизация Анализ и систематизация полученных результатов полученных результатов обследования ИТСобследования ИТС

Идентификация Идентификация полученных полученных уязвимостейуязвимостей

Оценка уровня Оценка уровня защищённости ИТСзащищённости ИТС

СОЗДАНИЕ ОТЧЁТА И РАЗРАБОТКА СОЗДАНИЕ ОТЧЁТА И РАЗРАБОТКА СООТВЕТСТВУЮЩИХ РЕКОМЕНДАЦИЙСООТВЕТСТВУЮЩИХ РЕКОМЕНДАЦИЙ

Отчёт дает полную картину Отчёт дает полную картину состояния защищенности состояния защищенности ИТС организации, а также ИТС организации, а также рекомендации по рекомендации по устранению уязвимостей.устранению уязвимостей.

ЗАКЛЮЧЕНИЕЗАКЛЮЧЕНИЕ Таким образом, мы видим, что проведение Таким образом, мы видим, что проведение

аудита информационной безопасности предприятия аудита информационной безопасности предприятия (организации) – это не просто «инвентаризация» (организации) – это не просто «инвентаризация» ИТС, а тщательная и всесторонняя работа по ИТС, а тщательная и всесторонняя работа по исследованию ИТС, которая дает наиболее полную исследованию ИТС, которая дает наиболее полную картину состояния защищенности и позволяет картину состояния защищенности и позволяет сформировать требования к комплексной системе сформировать требования к комплексной системе защите информации в ИТС организации.защите информации в ИТС организации.

Проведение квалифицированного аудита Проведение квалифицированного аудита информационной безопасности и исполнение информационной безопасности и исполнение комплекса мер по защите информационных комплекса мер по защите информационных ресурсов по рекомендациям, выработанным в ресурсов по рекомендациям, выработанным в результате такого аудита, дает уверенность в результате такого аудита, дает уверенность в защищенности ИТС на определенный период защищенности ИТС на определенный период времени. Уверенность в защищенности Ваших времени. Уверенность в защищенности Ваших информационных ресурсов может быть только информационных ресурсов может быть только тогда обоснована, когда она подтверждена.тогда обоснована, когда она подтверждена.

Благодарю за внимание !Благодарю за внимание !

ЗАО «Объединение ЮГ» 03040 г. Киев-40, Проспект 40-летия Октября, 88

тел./факс: +38(044) 257-41-45,+38(044) 257-87-28,+38(044) 536-12-92http:// www.yug.com.ua,[email protected]

Documents

Анализ уязвимостей корпоративной сети