Комплексное обследование корпоративной информационной системы
проводится с целью сбора информации о существующем положении дел по обеспечению
информационной безопасности для всех ключевых составляющих корпоративной
информационной системы (КИС) предприятия. Информация, получаемая при проведении
обследования, позволяет выявить возможные слабые места в системе информационной
безопасности, определить адекватность и эффективность используемых
организационно-технических мер, применяемых для защиты ресурсов в КИС.
На данном этапе уточняются цели и задачи аудита, формируется рабочая группа.
В состав рабочей группы должны входить сотрудники предприятия, которые
обеспечивают представление всей необходимой информации, контролируют процессы
проведения обследования, а также участвуют в согласовании его результатов
(промежуточных и конечных). Участники рабочей группы от исполнителя отвечают за
квалифицированное проведение работ по обследованию
предметных областей в соответствии с определенными целями и задачами проекта,
согласуют процессы и результаты проведения обследования. Задачи, решаемые
при проведении комплексного обследования:
- сбор и анализ документированной информации;
- анализ и изучение существующей организационно-штатной структуры предприятия, а
также структуры и порядка функционирования КИС;
- интервьюирование персонала;
- анализ конфигурации типовых рабочих мест, ключевых устройств и серверов.
На этапе комплексного обследования собранная информация анализируется на
предмет непротиворечивости, полноты и достаточности. По результатам анализа
определяются последующие действия формирование запроса на получение
дополнительной информации, проведение дополнительных исследований.
Представители исполнителя получают существующую
документированную информацию о функционировании КИС. Эта информация
выборочно проверяется посредством интервью и в процессе анализа конфигурации
сетевого оборудования и серверов - razgovorodele.ru. Существующие
недокументированные процессы, существенные с точки зрения информационной
безопасности, которые выявляются по результатам интервью и визуального
наблюдения, документируются и включаются в отчет об обследовании.

Сбор и анализ информации с последующей ее оценкой, анализом рисков и
выдачей рекомендаций осуществляется по таким основным компонентам КИС, как:
- топология КИС и сетевые соединения;
- архитектура сопряжения с внешними информационными ресурсами и пользователями;
- типы информационных ресурсов, хранимых и обрабатываемых на серверах заказчика;
- сведения о конфиденциальности и критичности данных;
- информационные потоки, циркулирующие в КИС, характеристика передаваемой
информации;
- системное программное обеспечение, организация и управление сетевыми
сервисами;
- использование штатных средств операционных систем и сетевого оборудования;
- специализированные программно-технические средства защиты информации;
- существующие методы управления информационной безопасностью;
- концептуальные документы по информационной безопасности;
- специализированные средства защиты ресурсов КИС;
- организационно-штатная структура подразделения, отвечающего за информационную
безопасность;
- функции и зоны ответственности персонала;
- принципы и способы взаимодействия подразделения, ответственного за обеспечение
информационной безопасности, с ИТ-подразделениями;
- другие организационные и технические меры защиты информации.
Отправной точкой при сборе и анализе документированной информации КИС
заказчика является существующая на момент обследования документированная
информация, которая создавалась при проектировании, эксплуатации и поддержки
функционирования КИС. В ходе работ по аудиту исполнителем производится
сбор и анализ следующих форм документированной информации:
- проектная и эксплуатационная документация на КИС;
- структурные и функциональные схемы участков КИС;
- организационно-распорядительные и нормативно-технические документы по
информационной безопасности;
- организационно-штатная структура подразделения, отвечающего за обеспечение
информационной безопасности;
- перечень сведений конфиденциального характера;
- планы восстановления функционирования КИС при возникновении аварийных
ситуаций;
- должностные инструкции персонала, ответственного за обеспечение информационной
безопасности;
- программы и планы развития и совершенствования организационных и технических
мер по обеспечению информационной безопасности.
Интервьюирование персонала проводится с целью
получения исходной информации о КИС, отсутствующей в документированном виде,
подтверждения актуальности документированной информации и определения уровня
осведомленности сотрудников в части требований по обеспечению информационной
безопасности - razgovorodele.ru. Помимо проведения интервью, на данном этапе
обследования, проводится наблюдение за реальными
процессами, связанными с обеспечением информационной безопасности.
Наблюдения могут касаться:
- процедуры регистрации/исключения пользователей, генерации и смены
паролей;
- процедуры анализа журналов аудита и реагирования на подозрительную активность;
- порядка изменения конфигурации и обновления системного программного
обеспечения сетевых устройств и серверов;
- порядка обработки заявок на предоставление дополни тельных прав доступа;
- порядка работы с наложенными средствами защиты (межсетевые экраны, системы
обнаружения вторжений, антивирусы и т.д.);
- анализа действий, предпринятых при обработке произошедших инцидентов;
- анализа действий, предпринятых при аварийных ситуациях;
- порядка доступа в серверные помещения;
- других аспектов деятельности по обеспечению информационной безопасности.

При проведении анализа конфигурации типовых рабочих мест, сетевых устройств и
ключевых серверов их перечень определяется по согласованию с заказчиком. Целью
такого анализа является оценка соответствия реальной
конфигурации тому, что декларируется эксплуатационной документацией,
требованиями политики безопасности и персоналом заказчика.
Важные аспекты конфигурации, критичные с точки зрения обеспечения
информационной безопасности, документируются и включаются в отчет об
обследовании. Анализу подлежат параметры аутентификации и контроля доступа,
механизмы авторизации, доступа и управления, параметры аудита, меры защиты
маршрутной информации, меры защиты от внешних атак.
После получения исходных данных готовится отчет об обследовании. Отчет об
обследовании является основой для последующих этапов аудита: анализа рисков и
разработки рекомендаций.
|