При выработке рекомендаций анализируются следующие характеристики построения и функционирования КИС:
а) организационные характеристики:
– наличие, полнота и актуальность организационно-регламентных и нормативно-технических документов;
– разделение зон ответственности ролей персонала по обеспечению информационной безопасности и его корректность;
– наличие документированных списков, описывающих полномочия сотрудников по доступу к сетевым устройствам и серверам;
– наличие планов по поддержке квалификации персонала, ответственного за обеспечение информационной безопасности;
– осведомленность пользователей и персонала, поддерживающего функционирование КИС, о требованиях по обеспечению информационной безопасности;
– корректность процедур управления изменениями и установления обновлений;
– порядок предоставления доступа к внутренним ресурсам информационных систем;
– наличие механизмов разграничения доступа к документации.
б) организационно-технические характеристики:
– возможности использования найденных уязвимых мест в сетевых устройствах и серверах для реализации атак;
– наличие оперативного анализа журналов аудита и реагирования на события, связанные с попытками несанкционированного доступа, оценка полноты анализируемых событий, оценка адекватности защиты журналов аудита;
– наличие процедур по обнаружению и фиксации инцидентов информационной безопасности и механизмов расследования таких инцидентов;
– наличие процедуры и документирование любых действий, связанных с модификацией прав доступа, изменениями параметров аудита;
– периодичность контроля защищенности сетевых устройств и серверов – razgovorodele.ru;
– наличие процедуры отслеживания новых уязвимостей в системном программном обеспечении и его обновления;
– ограничение доступа в серверные помещения;
– адекватность времени восстановления в случае сбоев критичных устройств и серверов;
– наличие зоны опытной эксплуатации новых решений, процедуры тестирования и ввода в промышленную эксплуатацию.
в) технические характеристики, связанные с архитектурой КИС:
– топология и логическая организация сетевой инфраструктуры, адекватность контроля логических путей доступа, адекватность сегментирования;
– топология и логическая организация системы защиты периметра, адекватность контроля доступа из внешних сетей;
– топология, логическая организация и адекватность контроля доступа между сегментами;
– наличие узлов, сбои на которых приведут к невозможности функционирования значительной части в КИС;
– наличие точек удаленного доступа к информационным ресурсам КИС и адекватность защиты такого доступа.
г) технические характеристики, связанные с конфигурацией сетевых устройств и серверов КИС:
– права доступа персонала к сетевым устройствам и серверам, оценка минимально необходимых прав, которые требуются для выполнения производственных задач;
– соответствие списков контроля доступа на сетевых устройствах документированным требованиям;
– соответствие конфигурации операционных систем и использованию штатных механизмов информационной безопасности рекомендациям производителя и лучшей практике;
– наличие неиспользованных сервисов или сервисов, содержащих известные уязвимости;
– соответствие механизма и стойкости процедуры аутентификации – критичности ресурсов, оценка адекватности парольной политики и протоколирования деятельности операторов.
д) технические характеристики, связанные с использованием встроенных механизмов информационной безопасности:
– требованиям и оценка адекватности существующей конфигурации;
– оценка адекватности использования криптографической защиты информации и процедуры распределения ключевой информации;
– наличие антивирусной проверки трафика, а также антивирусного контроля на рабочих станциях пользователей;
– наличие резервных копий файлов конфигурации и образов дисков для критичных сетевых устройств и серверов;
– наличие источников бесперебойного питания для критичных сетевых устройств и серверов и их адекватность требованиям по времени бесперебойной работы.
Рекомендации по результатам аудита информационной безопасности могут включать предложения и рекомендации:
– по совершенствованию архитектуры и организации построения КИС;
– по изменению конфигурации существующих сетевых устройств и серверов;
– по изменению конфигурации существующих средств защиты;
– по активации дополнительных штатных механизмов безопасности на уровне системного программного обеспечения;
– по использованию дополнительных средств защиты;
– по разработке организационно-распорядительных и нормативно-технических документов;
– по разработке программы осведомленности сотрудников в части информационной безопасности;
– по пересмотру ролевых функций персонала и зон ответственности;
– перечень мероприятий по поддержке и повышению квалификации персонала;
– периодичность и содержание работ по проведению анализа рисков и аудита по информационной безопасности;
– по этапам развития системы информационной безопасности заказчика.

При разработке рекомендаций делается ссылка на те уязвимые места, которые устраняются или минимизируются для данной рекомендации, а также на те риски, которые могут быть снижены за счет внедрения рекомендаций. Перечень рекомендаций согласуется с заказчиком на предмет возможности их реализации – razgovorodele.ru. Определяются рекомендации, которые могут быть реализованы заказчиком самостоятельно и рекомендации, для реализации которых необходимо привлечение внешнего подрядчика. Совместно с заказчиком определяются этапы реализации рекомендаций и определяются точки и механизмы контроля.
Отдельно стоит подчеркнуть, что оценке и выдаче рекомендаций подлежит не только документированная деятельность по обеспечению информационной безопасности, но и деятельность, осуществляемая персоналом заказчика на недокументированной основе. В последнем случае в отчете об обследовании эксперты исполнителя производят документирование такой деятельности. |