Сбор данных о существующем положении дел по обеспечению информационной безопасности

На данном этапе уточняются цели и задачи аудита, формируется рабочая группа. В состав рабочей группы должны входить сотрудники предприятия, которые обеспечивают представление всей необходимой информации, контролируют процессы проведения обследования, а также участвуют в согласовании его результатов (промежуточных и конечных). Участники рабочей группы от исполнителя отвечают за квалифицированное проведение работ по обследованию предметных областей в соответствии с определенными целями и задачами проекта, согласуют процессы и результаты проведения обследования. Задачи, решаемые при проведении комплексного обследования:

– сбор и анализ документированной информации;
– анализ и изучение существующей организационно-штатной структуры предприятия, а также структуры и порядка функционирования КИС;
– интервьюирование персонала;
– анализ конфигурации типовых рабочих мест, ключевых устройств и серверов.

На этапе комплексного обследования собранная информация анализируется на предмет непротиворечивости, полноты и достаточности. По результатам анализа определяются последующие действия формирование запроса на получение дополнительной информации, проведение дополнительных исследований. Представители исполнителя получают существующую документированную информацию о функционировании КИС. Эта информация выборочно проверяется посредством интервью и в процессе анализа конфигурации сетевого оборудования и серверов – razgovorodele.ru. Существующие недокументированные процессы, существенные с точки зрения информационной безопасности, которые выявляются по результатам интервью и визуального наблюдения, документируются и включаются в отчет об обследовании.

Сбор и анализ информации с последующей ее оценкой, анализом рисков и выдачей рекомендаций осуществляется по таким основным компонентам КИС, как:

– топология КИС и сетевые соединения;
– архитектура сопряжения с внешними информационными ресурсами и пользователями;
– типы информационных ресурсов, хранимых и обрабатываемых на серверах заказчика;
– сведения о конфиденциальности и критичности данных;
– информационные потоки, циркулирующие в КИС, характеристика передаваемой информации;
– системное программное обеспечение, организация и управление сетевыми сервисами;
– использование штатных средств операционных систем и сетевого оборудования;
– специализированные программно-технические средства защиты информации;
– существующие методы управления информационной безопасностью;
– концептуальные документы по информационной безопасности;
– специализированные средства защиты ресурсов КИС;
– организационно-штатная структура подразделения, отвечающего за информационную безопасность;
– функции и зоны ответственности персонала;
– принципы и способы взаимодействия подразделения, ответственного за обеспечение информационной безопасности, с ИТ-подразделениями;
– другие организационные и технические меры защиты информации.

Отправной точкой при сборе и анализе документированной информации КИС заказчика является существующая на момент обследования документированная информация, которая создавалась при проектировании, эксплуатации и поддержки функционирования КИС. В ходе работ по аудиту исполнителем производится сбор и анализ следующих форм документированной информации:

– проектная и эксплуатационная документация на КИС;
– структурные и функциональные схемы участков КИС;
– организационно-распорядительные и нормативно-технические документы по информационной безопасности;
– организационно-штатная структура подразделения, отвечающего за обеспечение информационной безопасности;
– перечень сведений конфиденциального характера;
– планы восстановления функционирования КИС при возникновении аварийных ситуаций;
– должностные инструкции персонала, ответственного за обеспечение информационной безопасности;
– программы и планы развития и совершенствования организационных и технических мер по обеспечению информационной безопасности.

Интервьюирование персонала проводится с целью получения исходной информации о КИС, отсутствующей в документированном виде, подтверждения актуальности документированной информации и определения уровня осведомленности сотрудников в части требований по обеспечению информационной безопасности – razgovorodele.ru. Помимо проведения интервью, на данном этапе обследования, проводится наблюдение за реальными процессами, связанными с обеспечением информационной безопасности. Наблюдения могут касаться:

– процедуры регистрации/исключения пользователей, генерации и смены паролей;
– процедуры анализа журналов аудита и реагирования на подозрительную активность;
– порядка изменения конфигурации и обновления системного программного обеспечения сетевых устройств и серверов;
– порядка обработки заявок на предоставление дополни тельных прав доступа;
– порядка работы с наложенными средствами защиты (межсетевые экраны, системы обнаружения вторжений, антивирусы и т.д.);
– анализа действий, предпринятых при обработке произошедших инцидентов;
– анализа действий, предпринятых при аварийных ситуациях;
– порядка доступа в серверные помещения;
– других аспектов деятельности по обеспечению информационной безопасности.

При проведении анализа конфигурации типовых рабочих мест, сетевых устройств и ключевых серверов их перечень определяется по согласованию с заказчиком. Целью такого анализа является оценка соответствия реальной конфигурации тому, что декларируется эксплуатационной документацией, требованиями политики безопасности и персоналом заказчика.

Важные аспекты конфигурации, критичные с точки зрения обеспечения информационной безопасности, документируются и включаются в отчет об обследовании. Анализу подлежат параметры аутентификации и контроля доступа, механизмы авторизации, доступа и управления, параметры аудита, меры защиты маршрутной информации, меры защиты от внешних атак.

После получения исходных данных готовится отчет об обследовании. Отчет об обследовании является основой для последующих этапов аудита: анализа рисков и разработки рекомендаций.