Правила аудита внутренней информационной безопасности

В существующих реалиях ведения бизнеса обеспечение информационной безопасности компании играет ключевую роль. Несоблюдение правил ИБ приводит к утечкам информации и ноу-хау, что снижает репутацию компании на рынке. Из-за утечек информации компании вынуждены уходить с рынка, а это практически всегда приводит к краху бизнеса.

Из-за своей сложности и специфических условий работы полное обеспечение информационной безопасности предприятия — задача, не всегда выполнимая средствами самого предприятия. На предприятии может быть компетентный отдел информационных технологий, но не всегда специалисты в области IT обеспечивают нужный уровень информационной безопасности. Деятельность в области ИБ сложна и многогранна.

Задача соблюдения ИБ на предприятии заключается в обеспечении сохранности и безопасной обработке любой информации в рамках бизнес-модели деятельности предприятия. Работа с некоторыми видами информации (например, с персональными данными сотрудников — они обрабатываются бухгалтерией и отделом кадров в любой организации) регламентируется действующим законодательством: обработка персональных данных — № 152-ФЗ, обработка информации, содержащей государственную тайну — Законом Российской Федерации № 5485-I «О государственной тайне», и т. д.

Аудит информационной безопасности предприятия — процесс анализа информационной безопасности предприятия. Прежде чем обсуждать вопросы аудита информационной безопасности, следует разобраться, каким угрозам в области информационной безопасности предстоит противостоять.

Все угрозы в области информационной безопасности делятся на внешние и внутренние. Внешними называются угрозы, приходящие извне. Это хакерские атаки, а также атаки вирусных и троянских программ. Атаки вирусных и троянских программ относятся к внешним, потому что не создаются внутри организации, а приходят извне. Но запуск их производится изнутри компании пользователем, получившим вредоносное письмо или кликнувшим по вредоносной ссылке — намеренно или по незнанию.

К внутренним относятся угрозы, связанные с сотрудниками организации, т. е. с человеческим фактором. Выделяют четыре типа внутренних угроз: удаления или повреждения информации, утечки информации, физическое разрушение объектов инфраструктуры ИТ и действия сотрудников, совершаемые с использованием методов социальной инженерии.

Можно отнести к угрозам ИБ непродуктивную работу сотрудников: посещение интернет-ресурсов, не имеющих отношения к служебным обязанностям сотрудников, использование коммуникационных средств компании для решения личных вопросов, использование оборудования компании в личных целях.

Аудит ИБ компании включает в себя 4 этапа:

1. Что необходимо исследовать


Ответ прост — ВСЁ! Абсолютно всё, что имеет отношение к хранению и обработке информации на предприятии. Мы можем разделить наш объект исследования (информационная среда предприятия и концепция её безопасности) на направления. Особенности каждого направления.

а) Информация, хранящаяся и обрабатывающаяся на предприятии
Нам предстоит ответить на вопросы:
— Какая информация обрабатывается на предприятии?
— Структурирована ли она? Если нет, то как она может быть структурирована — разделена на информацию, которая может находиться в открытом доступе, информацию, составляющую коммерческую тайну и конфиденциальную информацию; есть ли в обработке информация, содержащая служебную и государственную тайну, составлены ли регламенты по её хранению и обработке, соответствующие действующему законодательству?
— Если выделена информация, составляющая коммерческую тайну и конфиденциальную информацию (обычно это внутренние финансовые отчёты, ноу-хау, запатентованные технологии), то как она обрабатывается, какие потоки этой информации существуют?
— Построена ли в компании схема обработки информации, определены ли основные и дополнительные её потоки? Если нет — такая схема должна быть построена.
Далее, на основании схемы обработки информации, предстоит определить информационные ресурсы (серверы, файловые и облачные хранилища и т. д.), на которых хранится информация, с особой пометкой информационных ресурсов, на которых хранится информация, признанная конфиденциальной и коммерческой тайной, а также служебной и государственной тайной.

б) Информационные ресурсы, на которых хранится информация
Для этого направления исследования формируется список информационных ресурсов, имеющихся в распоряжении предприятия — серверов, файловых и облачных хранилищ, съёмных и переносных устройств для хранения файлов. Следует обратить особое внимание на съёмные и переносные устройства для хранения файлов — с их помощью информация может быть вынесена за пределы предприятия. Следует составить список таких носителей и определить, какого рода информация может на них оказаться: если в этом списке есть информация, подлежащая особой охране, то это возможный канал утечки информации.

в) Информационные каналы, по которым перемещается информация
Для этого направления исследования на основе схемы движения потоков информации формируется список информационных каналов (сетей, узлов маршрутизации, шлюзов и т. д.), по которым перемещается информация. Следует обратить особое внимание на шлюзы, находящиеся вне контроля отдела информационных технологий предприятия, но находящиеся на его территории: обычно это коммуникационное оборудование провайдера. Если через эти шлюзы проходит информация, подлежащая особой охране, то это возможный канал утечки информации.

г) Программное обеспечение, используемое для обработки информации
Для этого направления исследования формируется список используемого в компании программного обеспечения. Особое внимание уделите обнаружению нелицензионного ПО, потому что инструментарий, используемый для обхода лицензий, очень часто содержит «закладки», которые при определённых условиях могут использоваться либо для загрузки вредоносных программ, либо для прямого хищения информации.
Также следует в этом направлении исследования уделить внимание антивирусным приложениям (регулярно ли и своевременно ли обновляются базы сигнатур вирусов) и программному обеспечению шлюзов (регулярно ли и своевременно ли обновляются базы данных вредоносных сайтов, которые подлежат блокировке).

д) Документация: юридическая и техническая
Для этого направления исследования формируется список юридической и технической документации по аппаратному и программному обеспечению. Очевидно, что стоит следовать правилу «Каждое действие по обработке информации должно быть описано регламентом или документацией».
Ко многому программному и аппаратному обеспечению описание имеется только на английском языке. Это допускается, но не для случаев обработки информации, подлежащей особой охране (информация, являющаяся конфиденциальной, служебной или государственной тайной). Согласно лучшим практикам и рекомендациям по информационной безопасности, вся техническая документация по оборудованию и программному обеспечению, где обрабатывается информация, подлежащая особой охране, должна быть на русском языке. В этом же направлении исследования формируется полный список внутренних регламентов обработки информационных потоков предприятия.

е) Средства физической защиты информации
Для этого направления исследования следует привлечь сотрудников отдела физической защиты и охраны предприятия, а также инженерную службу здания. Исследованию подлежат помещения, где находятся оборудование обработки и хранения информации и документация. Следует получить ответы на следующие вопросы:
— Имеется ли на предприятии системы видеонаблюдения? Если да, контролируют ли они помещения, где находятся оборудование и документация?
— Имеется ли на предприятии система управления доступом в помещения (СКУД)? Если да, то подключены ли к ней помещения, в которых находятся оборудование обработки и хранения информации и документация? Сохраняет ли СКУД функционирование в полном объёме при выключении электропитания устройств, контроллеров и серверов СКУД?
— Имеется ли в помещениях, в которых находятся оборудование обработки и хранения информации и оборудование каналов связи, а также где хранится документация, система пожаротушения, не использующая токопроводящие жидкости (газовая, порошковая)?
— Имеется ли в помещениях, в которых находится оборудование обработки и хранения информации и оборудование каналов связи, системы поддержания постоянной температуры (охлаждения воздуха)?
— Имеется ли в помещениях, в которых находится оборудование обработки и хранения информации и оборудование каналов связи, системы резервного питания, какова их мощность и подключено ли оборудование обработки и хранения информации, а также оборудование каналов связи, к системам резервного питания?
Все три объекта — контроль доступа, пожарная безопасность и энергобезопасность — одинаково важны, исключать какой-либо объект из аудита не рекомендуется. Система кондиционирования воздуха — как правило, компонент любого помещения серверной.

2. Как исследовать


Выше было выполнено разбиение аудита по объектам (по направлениям). На этом этапе необходимо разработать методику исследования

а) Информация, хранящаяся и обрабатывающаяся на предприятии
Поскольку по результатам первичного обследования (после выполнения первого этапа) в распоряжении специалистов, проводящих аудит информационной безопасности предприятия, имеется схема структурирования информации, необходимо определить возможность утечки информации через человеческий фактор. Сопоставив штатное расписание предприятия и схему структурирования информации, следует определить, не получает ли кто-либо из сотрудников доступ к информации, которая не является необходимой для его работы.

Далее, следует определить, кто из сотрудников имеет доступ к информации, подлежащей охране, и соответствует ли доступ к этой информации должности, занимаемой сотрудником — правомерно ли предоставлен доступ.

На основании сопоставления схемы обработки информации со схемой ИТ-инфраструктуры предприятия (такая схема должна храниться в отделе информационных технологий) можно установить, не попадает ли информация, требующая особого контроля, на информационные ресурсы открытого доступа. Если такое возможно — то этот канал может быть использован, по злому умыслу или непреднамеренно, для утечки информации.

б) Информационные ресурсы, на которых хранится информация
Необходимо проанализировать список информационных ресурсов, используемых предприятием. Сопоставив этот список, информацию, которая хранится на этих устройствах, со штатным расписанием и списком логинов пользователей, взятых из операционных систем, обеспечивающих функционирование информационных ресурсов, можно установить, насколько правильно составлена матрица доступа пользователей к информационным ресурсам, не получает ли какой-либо пользователь доступ с правами, которые для выполнения его работы избыточны. Необходимо проверить, соответствуют ли пароли пользователей и администраторов требованиям безопасности: лучшей практикой при выборе пароля является следование стандарту Microsoft — длина не менее 8 символов (а лучше 16), использование как минимум одной цифры, одной заглавной буквы и одной строчной, а также одного специального символа, при этом пароль не должен быть осмысленным (т. е. не представлять собой слово из словаря).

Особое внимание следует обратить на облачные хранилища. Исходя из лучших практик и рекомендаций в области информационной безопасности, не рекомендуется размещать информацию, подлежащую охране, в облачных хранилищах за пределами предприятия. Следует исходить из старого правила «Закрытая информация, помещённая в публичное облако, даже предоставленное индивидуально предприятию провайдером в дата-центре, достаточно защищённой не является». В последнее время ситуация меняется к лучшему — ресурсы провайдеров в дата-центрах становятся более защищёнными, но, как известно, «гарантию даёт только страховой полис, да и то не во всех случаях» (с.) Поэтому информацию, подлежащую охране, лучше хранить на своих собственных серверах внутри предприятия, даже если это приводит к дополнительным расходам на оборудование и услуги специалистов.

Информация, находящаяся в свободном доступе, может размещаться на публичных облачных хранилищах без ограничений. Для контроля доступа пользователей к информационным ресурсам рекомендуется использовать специализированное программное обеспечение, фиксирующее все действия пользователя при обработке информации на информационном ресурсе. К числу такого программного обеспечения относится StaffCop Enterprise, позволяющий фиксировать абсолютно все действия пользователя на информационном ресурсе, связанные с получением и обработкой информации. Действия пользователя могут быть представлены в виде журнала событий, который потом может быть проанализирован администраторами или аудиторами.

в) Информационные каналы, по которым перемещается информация
Исследование каналов, по которым перемещается информация, тесно связана с исследованием программного обеспечения (пункт «г»). Соединения между сетями могут организовываться с помощью аппаратного и программного обеспечения (так называемые «программные VPN-решения»).

Если планируется передавать информацию, подлежащую охране, недопустимо использовать установление соединения без шифрования — необходимо обязательно устанавливать шифрованное SSL-соединение с применением действующих (возможно, самоподписанных внутри компании, но лучше подтверждённых корневыми удостоверяющими центрами) сертификатов, а также логина и пароля, соответствующего требованиям безопасности.

Если в ИТ-инфраструктуре предприятия используются шлюзы, установленные на территории предприятия, но контролируемые провайдером, предоставляющим услуги связи — следует выяснить, не используется ли передача информации, подлежащей охране, через эти шлюзы в нешифрованном виде. Следует использовать в этом случае VPN-канал с шифрованием через SSL-соединение, в этом случае передача информации, подлежащей охране, через такой шлюз, будет допустима.

Отдельный вопрос в передаче информации — допустимость использования эфирных (не кабельных) каналов связи, таких, как Bluetooth или Wireless (Wi-Fi). Существует большое количество оборудования и программного обеспечения, позволяющего перехватывать информацию, отправляемую по подобным каналам, если передача не шифрована. Поэтому для допустимости передачи информации, подлежащей охране, по подобным каналам должны выполняться следующие условия:

— Беспроводная сеть должна поддерживать стандарты шифрования, такие, например, как WPA2 или WPA-PSK (в настоящее время разработан более защищённый стандарт — WPA3, но пока к применению он не рекомендован как не прошедший до конца тестирование);
— Беспроводная сеть должна быть закрытой, т. е. подключение новых устройств в эту сеть не должно выполняться в автоматическом режиме, даже если новому пользователю известен пароль сети — администратор должен добавлять новые устройства вручную.

Важное следствие из второго условия — беспроводная сеть не должна быть публичной, т. е. использовать публичные беспроводные сети (кафе, ресторанов, гостиниц и т. д.) без организации специализированного канала связи нельзя. Допускаются только внутрикорпоративные беспроводные сети.

Лучшие практики и рекомендации по информационной безопасности даже при выполнении этих условий рекомендуют для передачи информации, подлежащей охране, по беспроводным каналам пользоваться соединениями, обеспечивающими SSL-шифрование передаваемой информации по сертификату в сочетании с логином и безопасным паролем (VPN-соединения).

Для поиска уязвимостей на каналах передачи данных, в шлюзах и маршрутизаторах используется специализированное программное обеспечение. Один из самых распространённых программных комплексов — программный комплекс Kali Linux, который позволяет обнаруживать уязвимости в том числе в защите шлюзов и маршрутизаторов.

Следует проверить, обновляется ли регулярно программное обеспечение шлюзов/маршрутизаторов, а также обновляются ли списки вредоносных сайтов, соответствуют пароли административных учётных записей, используемых для управления шлюзами/маршрутизаторами, озвученным ранее критериям безопасности.

Для контроля передачи пользователями информации по каналам связи рекомендуется использовать специализированное программное обеспечение, фиксирующее все действия пользователя при работе с каналом связи. Выше уже говорилось о программном комплексе StaffCop Enterprise, как примере такого специализированного программного обеспечения. StaffCop Enterprise позволяет фиксировать абсолютно все действия пользователя на каналах связи, включая пересылку электронной почты, переписку в интернет-мессенджерах (Skype, Telegram Desktop, интернет-пейджеры, SIP-телефония). Действия пользователя представлены в виде журнала событий, который проанализирован администраторами или аудиторами.

г) Программное обеспечение, используемое для обработки информации
Выше уже говорилось о самом главном требовании к программному обеспечению — соблюдении лицензионности. Для свободного (бесплатного) программного обеспечения в наличии должна быть GNU/GPL-лицензия.

Помимо этого, для обнаружения уязвимостей в программном обеспечении можно использовать упомянутый выше программный комплекс Kali Linux. Основное его назначение — обнаружение уязвимостей в операционных системах, системах управления базами данных, системах файловых хранилищ и т. д. Фактически данный программный комплекс является комплексом для обнаружения «дыр» и «чёрных ходов» в аппаратном и программном обеспечении: тестируя средства защиты, он сообщает об обнаруженных уязвимостях.

Если использование ПО подразумевает ввод паролей пользователя, следует проверить, соответствует ли пароль озвученным ранее критериям безопасности.

Особое внимание следует уделить антивирусным системам и системам обнаружения вредоносного программного обеспечения. Если базы данных, содержащие сигнатуры вирусов и вредоносных программ, регулярно не обновляются — следует отказаться от использования программного обеспечения, так как оно не способно противостоять новым появляющимся вирусам и вредоносным программам.

Для определения и анализа программного обеспечения, которое пользователи применяют, может быть использовано специализированное программное обеспечение, например, программный комплекс StaffCop Enterprise. Действия пользователя в любом приложении могут быть задокументированы и подтверждены скриншотами, а события представлены в виде журнала, который может быть потом проанализирован как администраторами, так и аудиторами.

д) Документация: юридическая и техническая
При анализе первого этапа, в наличии должен быть полный комплект документации по всему используемому программному и аппаратному обеспечению, причём версия документации должна соответствовать версии используемого программного обеспечения.

Следует сверить схему обработки информации: каждому событию обработки или передачи информации должен соответствовать регламент, описывающий действия пользователя или процесс обработки информации программным обеспечением.

Лучшей практикой ведения документации является её регулярное обновление следом за изменением алгоритмов обработки информации на предприятии.

е) Средства физической защиты информации
Исследование необходимо проводить совместно со службой физической защиты и охраны предприятия, а также инженерной службой здания.

Необходимо установить, кто имеет доступ в помещения, где установлено оборудование обработки и хранения информации и оборудование каналов связи, а также где хранится документация, не имеют ли туда доступ неавторизованные лица. Список сотрудников, имеющих доступ в эти помещения, должен быть строго ограничен.

Необходимо проверить, сохраняют ли своё функционирование в полном объёме при отключении питания система СКУД и система видеонаблюдения. Если при отключении питания эти системы прекращают функционирование — то возможна физическая утечка информации (хищение физических носителей) при отключении электропитания).

Необходимо убедиться, что помещение, где установлено оборудование обработки и хранения информации и оборудование каналов связи, а также где хранится документация, оснащено системой автоматического пожаротушения, не использующие токопроводящие жидкости.

Необходимо убедиться, что помещение, где установлено оборудование обработки и хранения информации и оборудование каналов связи, оснащено системой резервного питания, автоматически включающейся при отключении основного источника питания.

Необходимо убедиться, что помещение, где установлено оборудование обработки и хранения информации и оборудование каналов связи, оснащено системой поддержания постоянной температуры (системой охлаждения воздуха).


3. Процесс аудита информационной безопасности


Выше был приведён примерный план проведения аудита информационной безопасности.

Выполнение плана должно проходить в присутствии сотрудников отдела информационных технологий и с их помощью. Необходимо, чтоб весь процесс аудита был задокументирован, выполнение каждой проверки подтверждалось записями в электронном журнале аудита и скриншотами, а при необходимости — и фотографированием в режиме впечатывания даты и времени выполнения фотографии в снимок.

Очень часто при выполнении аудита информационной безопасности предприятия при обнаружении какой-либо уязвимости или выявлении недостатков немедленно принимаются меры к их устранению. Аудиторам не стоит этому препятствовать — это вполне допустимый режим работы, правда, осложняющий сам процесс аудита: после того, как аудиторам сообщено, что уязвимость закрыта или недостаток устранён, следует в обязательном порядке провести повторную проверку — действительно ли вопрос закрыт.


4. Формулирование результатов исследования (результатов аудита)


После выполнения процесса аудита информационной безопасности предприятия аудиторами в обязательном порядке составляется отчёт, в котором указываются все обнаруженные уязвимости и выявленные недостатки, а также выдаются рекомендации по их устранению, исходя из лучших практик и рекомендаций по информационной безопасности.

Если какие-то уязвимости были закрыты в ходе аудита, это указывается в отчёте в отдельном списке с указанием, как и кем именно была закрыта уязвимость или устранён недостаток.

Ниже приведены примеры таблицы отчёта и таблицы закрытия уязвимостей и устранения недостатков. Реальный отчёт может содержать гораздо больше колонок, приведён необходимый минимум исходя из лучших практик информационной безопасности.

Проведение полноценного аудита информационной безопасности предприятия не всегда возможно силами сотрудников самого предприятия: из лучших практик и рекомендаций по ИБ следует, что разумно поручить проведение аудита информационной безопасности предприятия специалистам, обладающим знаниями в этой области на уровне экспертов, а также использовать для аудита специализированное программное обеспечение, например, StaffCop Enterprise и Kali Linux.