При выработке рекомендаций анализируются следующие характеристики построения и функционирования КИС:
а) организационные характеристики:
— наличие, полнота и актуальность организационно-регламентных и нормативно-технических документов;
— разделение зон ответственности ролей персонала по обеспечению информационной безопасности и его корректность;
— наличие документированных списков, описывающих полномочия сотрудников по доступу к сетевым устройствам и серверам;
— наличие планов по поддержке квалификации персонала, ответственного за обеспечение информационной безопасности;
— осведомленность пользователей и персонала, поддерживающего функционирование КИС, о требованиях по обеспечению информационной безопасности;
— корректность процедур управления изменениями и установления обновлений;
— порядок предоставления доступа к внутренним ресурсам информационных систем;
— наличие механизмов разграничения доступа к документации.
б) организационно-технические характеристики:
— возможности использования найденных уязвимых мест в сетевых устройствах и серверах для реализации атак;
— наличие оперативного анализа журналов аудита и реагирования на события, связанные с попытками несанкционированного доступа, оценка полноты анализируемых событий, оценка адекватности защиты журналов аудита;
— наличие процедур по обнаружению и фиксации инцидентов информационной безопасности и механизмов расследования таких инцидентов;
— наличие процедуры и документирование любых действий, связанных с модификацией прав доступа, изменениями параметров аудита;
— периодичность контроля защищенности сетевых устройств и серверов — razgovorodele.ru;
— наличие процедуры отслеживания новых уязвимостей в системном программном обеспечении и его обновления;
— ограничение доступа в серверные помещения;
— адекватность времени восстановления в случае сбоев критичных устройств и серверов;
— наличие зоны опытной эксплуатации новых решений, процедуры тестирования и ввода в промышленную эксплуатацию.
в) технические характеристики, связанные с архитектурой КИС:
— топология и логическая организация сетевой инфраструктуры, адекватность контроля логических путей доступа, адекватность сегментирования;
— топология и логическая организация системы защиты периметра, адекватность контроля доступа из внешних сетей;
— топология, логическая организация и адекватность контроля доступа между сегментами;
— наличие узлов, сбои на которых приведут к невозможности функционирования значительной части в КИС;
— наличие точек удаленного доступа к информационным ресурсам КИС и адекватность защиты такого доступа.
г) технические характеристики, связанные с конфигурацией сетевых устройств и серверов КИС:
— права доступа персонала к сетевым устройствам и серверам, оценка минимально необходимых прав, которые требуются для выполнения производственных задач;
— соответствие списков контроля доступа на сетевых устройствах документированным требованиям;
— соответствие конфигурации операционных систем и использованию штатных механизмов информационной безопасности рекомендациям производителя и лучшей практике;
— наличие неиспользованных сервисов или сервисов, содержащих известные уязвимости;
— соответствие механизма и стойкости процедуры аутентификации — критичности ресурсов, оценка адекватности парольной политики и протоколирования деятельности операторов.
д) технические характеристики, связанные с использованием встроенных механизмов информационной безопасности:
— требованиям и оценка адекватности существующей конфигурации;
— оценка адекватности использования криптографической защиты информации и процедуры распределения ключевой информации;
— наличие антивирусной проверки трафика, а также антивирусного контроля на рабочих станциях пользователей;
— наличие резервных копий файлов конфигурации и образов дисков для критичных сетевых устройств и серверов;
— наличие источников бесперебойного питания для критичных сетевых устройств и серверов и их адекватность требованиям по времени бесперебойной работы.
Рекомендации по результатам аудита информационной безопасности могут включать предложения и рекомендации:
— по совершенствованию архитектуры и организации построения КИС;
— по изменению конфигурации существующих сетевых устройств и серверов;
— по изменению конфигурации существующих средств защиты;
— по активации дополнительных штатных механизмов безопасности на уровне системного программного обеспечения;
— по использованию дополнительных средств защиты;
— по разработке организационно-распорядительных и нормативно-технических документов;
— по разработке программы осведомленности сотрудников в части информационной безопасности;
— по пересмотру ролевых функций персонала и зон ответственности;
— перечень мероприятий по поддержке и повышению квалификации персонала;
— периодичность и содержание работ по проведению анализа рисков и аудита по информационной безопасности;
— по этапам развития системы информационной безопасности заказчика.
При разработке рекомендаций делается ссылка на те уязвимые места, которые устраняются или минимизируются для данной рекомендации, а также на те риски, которые могут быть снижены за счет внедрения рекомендаций. Перечень рекомендаций согласуется с заказчиком на предмет возможности их реализации — razgovorodele.ru. Определяются рекомендации, которые могут быть реализованы заказчиком самостоятельно и рекомендации, для реализации которых необходимо привлечение внешнего подрядчика. Совместно с заказчиком определяются этапы реализации рекомендаций и определяются точки и механизмы контроля.
Отдельно стоит подчеркнуть, что оценке и выдаче рекомендаций подлежит не только документированная деятельность по обеспечению информационной безопасности, но и деятельность, осуществляемая персоналом заказчика на недокументированной основе. В последнем случае в отчете об обследовании эксперты исполнителя производят документирование такой деятельности. |