Сбор данных о существующем положении дел по обеспечению информационной безопасности

На данном этапе уточняются цели и задачи аудита, формируется рабочая группа. В состав рабочей группы должны входить сотрудники предприятия, которые обеспечивают представление всей необходимой информации, контролируют процессы проведения обследования, а также участвуют в согласовании его результатов (промежуточных и конечных). Участники рабочей группы от исполнителя отвечают за квалифицированное проведение работ по обследованию предметных областей в соответствии с определенными целями и задачами проекта, согласуют процессы и результаты проведения обследования. Задачи, решаемые при проведении комплексного обследования:

— сбор и анализ документированной информации;
— анализ и изучение существующей организационно-штатной структуры предприятия, а также структуры и порядка функционирования КИС;
— интервьюирование персонала;
— анализ конфигурации типовых рабочих мест, ключевых устройств и серверов.

На этапе комплексного обследования собранная информация анализируется на предмет непротиворечивости, полноты и достаточности. По результатам анализа определяются последующие действия формирование запроса на получение дополнительной информации, проведение дополнительных исследований. Представители исполнителя получают существующую документированную информацию о функционировании КИС. Эта информация выборочно проверяется посредством интервью и в процессе анализа конфигурации сетевого оборудования и серверов — razgovorodele.ru. Существующие недокументированные процессы, существенные с точки зрения информационной безопасности, которые выявляются по результатам интервью и визуального наблюдения, документируются и включаются в отчет об обследовании.

Сбор и анализ информации с последующей ее оценкой, анализом рисков и выдачей рекомендаций осуществляется по таким основным компонентам КИС, как:

— топология КИС и сетевые соединения;
— архитектура сопряжения с внешними информационными ресурсами и пользователями;
— типы информационных ресурсов, хранимых и обрабатываемых на серверах заказчика;
— сведения о конфиденциальности и критичности данных;
— информационные потоки, циркулирующие в КИС, характеристика передаваемой информации;
— системное программное обеспечение, организация и управление сетевыми сервисами;
— использование штатных средств операционных систем и сетевого оборудования;
— специализированные программно-технические средства защиты информации;
— существующие методы управления информационной безопасностью;
— концептуальные документы по информационной безопасности;
— специализированные средства защиты ресурсов КИС;
— организационно-штатная структура подразделения, отвечающего за информационную безопасность;
— функции и зоны ответственности персонала;
— принципы и способы взаимодействия подразделения, ответственного за обеспечение информационной безопасности, с ИТ-подразделениями;
— другие организационные и технические меры защиты информации.

Отправной точкой при сборе и анализе документированной информации КИС заказчика является существующая на момент обследования документированная информация, которая создавалась при проектировании, эксплуатации и поддержки функционирования КИС. В ходе работ по аудиту исполнителем производится сбор и анализ следующих форм документированной информации:

— проектная и эксплуатационная документация на КИС;
— структурные и функциональные схемы участков КИС;
— организационно-распорядительные и нормативно-технические документы по информационной безопасности;
— организационно-штатная структура подразделения, отвечающего за обеспечение информационной безопасности;
— перечень сведений конфиденциального характера;
— планы восстановления функционирования КИС при возникновении аварийных ситуаций;
— должностные инструкции персонала, ответственного за обеспечение информационной безопасности;
— программы и планы развития и совершенствования организационных и технических мер по обеспечению информационной безопасности.

Интервьюирование персонала проводится с целью получения исходной информации о КИС, отсутствующей в документированном виде, подтверждения актуальности документированной информации и определения уровня осведомленности сотрудников в части требований по обеспечению информационной безопасности — razgovorodele.ru. Помимо проведения интервью, на данном этапе обследования, проводится наблюдение за реальными процессами, связанными с обеспечением информационной безопасности. Наблюдения могут касаться:

— процедуры регистрации/исключения пользователей, генерации и смены паролей;
— процедуры анализа журналов аудита и реагирования на подозрительную активность;
— порядка изменения конфигурации и обновления системного программного обеспечения сетевых устройств и серверов;
— порядка обработки заявок на предоставление дополни тельных прав доступа;
— порядка работы с наложенными средствами защиты (межсетевые экраны, системы обнаружения вторжений, антивирусы и т.д.);
— анализа действий, предпринятых при обработке произошедших инцидентов;
— анализа действий, предпринятых при аварийных ситуациях;
— порядка доступа в серверные помещения;
— других аспектов деятельности по обеспечению информационной безопасности.

При проведении анализа конфигурации типовых рабочих мест, сетевых устройств и ключевых серверов их перечень определяется по согласованию с заказчиком. Целью такого анализа является оценка соответствия реальной конфигурации тому, что декларируется эксплуатационной документацией, требованиями политики безопасности и персоналом заказчика.

Важные аспекты конфигурации, критичные с точки зрения обеспечения информационной безопасности, документируются и включаются в отчет об обследовании. Анализу подлежат параметры аутентификации и контроля доступа, механизмы авторизации, доступа и управления, параметры аудита, меры защиты маршрутной информации, меры защиты от внешних атак.

После получения исходных данных готовится отчет об обследовании. Отчет об обследовании является основой для последующих этапов аудита: анализа рисков и разработки рекомендаций.