Реферат Аудит информационной безопасности систем электронной коммерции
Работа добавлена на сайт bukvasha.net: 2015-10-28Поможем написать учебную работу
Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
от 25%
Подписываем
договор
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ЖЕЛЕЗНОДОРОЖНОГО ТРАНСПОРТА
РОССИЙСКОЙ ФЕДЕРАЦИИ
Государственное образовательное учреждение
высшего профессионального образования
«ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ПУТЕЙ СООБЩЕНИЯ»
Кафедра «Информатика и информационная безопасность»
ДОКЛАД НА ТЕМУ
«АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СИСТЕМ ЭЛЕКТРОННОЙ КОММЕРЦИИ»
Выполнил: студент Группы КИБ-608
Вячеслаев С.В.
Санкт-Петербург
2010
1. Определение аудита информационной безопасности
На данный момент в информационной безопасности нет устоявшегося определения аудита. Вот лишь несколько формулировок, используемых специалистами: «Аудит информационных систем — это проверка используемых компанией информационных систем, систем безопасности, систем связи с внешней средой, корпоративной сети на предмет их соответствия бизнес-процессам, протекающим в компании, а также соответствия международным стандартам, с последующей оценкой рисков сбоев в их функционировании» («Консалтинг и аудит в сфере ИТ 2004». CNews Analytics).
«Аудит информационной безопасности – системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности»(«Аудит безопасности Intranet». С. А. Петренко,
Таким образом, аудит в данном случае сводится к проверке системы информационной безопасности и сравнению ее результатов с неким идеалом.
Для различных видов аудита различаются все три составляющие услуги аудита: средства и способы проверки, результат проверки и идеал, с которым сравнивается результат проверки.
Назначение аудита безопасности.
Аудит предназначен для оценки состояния информационной безопасности информационной системы (ИС) и разработки рекомендаций по применению комплекса организационных мер и программно-технических средств, направленных на обеспечение защиты информационных ресурсов ИС от угроз информационной безопасности.
Цели аудита.
Целями работ по аудиту состояния информационной безопасности информационной системы являются:
· получение объективной и независимой оценки текущего состояния защищенности информационных ресурсов;
· повышения уровня надежности и информационной безопасности информационной системы организации;
2. Виды аудита информационной безопасности.
Активный аудит
Одним из самых распространенных видов аудита является активный аудит. Это исследование состояния защищенности информационной системы с точки зрения хакера (или некоего злоумышленника, обладающего высокой квалификацией в области информационных технологий).
Зачастую компании-поставщики услуг активного аудита именуют его инструментальным анализом защищенности, чтобы отделить данный вид аудита от других.
Суть активного аудита состоит в том, что с помощью специального программного обеспечения (в том числе систем анализа защищенности) и специальных методов осуществляется сбор информации о состоянии системы сетевой защиты. Под состоянием системы сетевой защиты понимаются лишь те параметры и настройки, использование которых помогает хакеру проникнуть в сети и нанести урон компании.
При осуществлении данного вида аудита на систему сетевой защиты моделируется как можно большее количество сетевых атак, которые может выполнить хакер. При этом аудитор искусственно ставится именно в те условия, в которых работает хакер, – ему предоставляется минимум информации, только та, которую можно раздобыть в открытых источниках.
Естественно, атаки только моделируются и не оказывают какого-либо деструктивного воздействия на информационную систему. Их разнообразие зависит от используемых систем анализа защищенности и квалификации аудитора.
Результатом активного аудита являются информация обо всех уязвимостях, степени их критичности и методах устранения, сведения о широкодоступной информации (информация, доступная любому потенциальному нарушителю) сети заказчика.
По окончании активного аудита выдаются рекомендации по модернизации системы сетевой защиты, которые позволяют устранить опасные уязвимости и тем самым повысить уровень защищенности информационной системы от действий «внешнего» злоумышленника при минимальных затратах на информационную безопасность.
Однако без проведения других видов аудита эти рекомендации могут оказаться недостаточными для создания «идеальной» системы сетевой защиты. Например, по результатам данного вида аудита невозможно сделать вывод о корректности, с точки зрения безопасности, проекта информационной системы.
Активный аудит – услуга, которая может и должна заказываться периодически. Выполнение активного аудита, например раз в год, позволяет удостовериться, что уровень системы сетевой безопасности остается на прежнем уровне.
Активный аудит условно можно разделить на два вида – «внешний» и «внутренний».
При «внешнем» активном аудите специалисты моделируют действия «внешнего» злоумышленника. В данном случае проводятся следующие процедуры:
· Определение доступных из внешних сетей IP-адресов заказчика
· Сканирование данных адресов с целью определения работающих сервисов и служб, а также назначения отсканированных хостов
· Определение версий сервисов и служб сканируемых хостов
· Изучение маршрутов прохождения трафика к хостам заказчика
· Сбор информации об ИС заказчика из открытых источников
· Анализ полученных данных с целью выявления уязвимостей.
«Внутренний» активный аудит по составу работ аналогичен «внешнему», однако при его проведении с помощью специальных программных средств моделируются действия «внутреннего» злоумышленника.
· Данное деление активного аудита на «внешний» и «внутренний» актуально для заказчика в следующих случаях:
· У заказчика существуют финансовые ограничения в приобретении услуг и продуктов по защите информации
· Модель злоумышленника, которую рассматривает заказчик, не включает «внутренних» злоумышленников
· В компании заказчика расследуется факт обхода системы сетевой защиты.
· Сопроводительные услуги
Иногда в ходе активного аудита заказчику предлагается ряд дополнительных услуг, напрямую связанных с оценкой состояния системы информационной безопасности, в частности – проведение специализированных исследований.
Зачастую организация в своей информационной системе использует специализированное программное обеспечение (ПО) собственной разработки, предназначенное для решения нестандартных задач (например, корпоративный информационный портал, различные бухгалтерские системы или системы документооборота). Подобные ПО уникальны, поэтому каких-либо готовых средств и технологий для анализа их защищенности и отказоустойчивости не существует. В данном случае проводятся специализированные исследования, направленные на оценку уровня защищенности конкретного ПО.
Еще один вид услуг, предлагаемых в ходе активного аудита, – исследование производительности и стабильности системы, или стресс-тестирование. Оно направлено на определение критических точек нагрузки, при которой система вследствие атаки на отказ в обслуживании или повышенной загруженности перестает адекватно реагировать на легитимные запросы пользователей.
Стресс-тест позволит выявить «узкие» места в процессе формирования и передачи информации и определить те условия, при которых нормальная работа системы невозможна. Тестирование включает в себя моделирование атак на отказ в обслуживании, пользовательских запросов к системе и общий анализ производительности.
Одной из самых «эффектных» услуг является тест на проникновение (Penetration Testing), который во многом похож на «внешний» активный аудит, но по своей сути аудитом не является.
Основная цель данного тестирования – демонстрация «успехов», которых может достигнуть хакер, действующий при текущем состоянии системы сетевой защиты. Результаты данной услуги более наглядны, чем результаты аудита. Однако ей свойственны множество ограничений и особенностей. Например, особенность технического характера: заказчик информируется только о факте уязвимости системы сетевой защиты, в то время как в результатах «внешнего» активного аудита заказчику сообщаются не только факт уязвимости сети, но и сведения обо всех уязвимостях и способах их устранения.
Экспертный аудит
Экспертный аудит можно условно представить как сравнение состояния информационной безопасности с «идеальным» описанием, которое базируется на следующем:
· Требования, которые были предъявлены руководством в процессе проведения аудита
· Описание «идеальной» системы безопасности, основанное на аккумулированном в компании-аудиторе мировом и частном опыте.
Один из самых объемных видов работ, которые проводятся при экспертном аудите, – сбор данных об информационной системе путем интервьюирования представителей заказчика и заполнения ими специальных анкет.
Основная цель интервьюирования технических специалистов – сбор информации о функционировании сети, а руководящего состава компании – выяснение требований, которые предъявляются к системе информационной безопасности.
Необходимо отметить, что при экспертном аудите безопасности информационной системы учитываются результаты предыдущих обследований (в том числе других аудиторов), выполняются обработка и анализ проектных решений и других рабочих материалов, касающихся вопросов создания информационной системы.
Ключевой этап экспертного аудита – анализ проекта информационной системы, топологии сети и технологии обработки информации, в ходе которого выявляются, например, такие недостатки существующей топологии сети, которые снижают уровень защищенности информационной системы.
По результатам работ данного этапа предлагаются изменения (если они требуются) в существующей информационной системе и технологии обработки информации, направленные на устранение найденных недостатков с целью достижения требуемого уровня информационной безопасности.
Следующий этап – анализ информационных потоков организации. На данном этапе определяются типы информационных потоков ИС организации и составляется их диаграмма, где для каждого информационного потока указываются его ценность (в том числе ценность передаваемой информации) и используемые методы обеспечения безопасности, отражающие уровень защищенности информационного потока.
На основании результатов данного этапа работ предлагается защита или повышение уровня защищенности тех компонент информационной системы, которые участвуют в наиболее важных процессах передачи, хранения и обработки информации. Для менее ценной информации уровень защищенности остается прежним, что позволяет сохранить для конечного пользователя простоту работы с информационной системой.
Применение анализа информационных потоков организации дает возможность спроектировать систему обеспечения информационной безопасности, соответствующую принципу разумной достаточности.
В рамках экспертного аудита проводится анализ организационно-распорядительных документов, таких как политика безопасности, план защиты и различного рода инструкции.
Организационно-распорядительные документы оцениваются на предмет достаточности и непротиворечивости декларируемым целям и мерам информационной безопасности.
Особое внимание на этапе анализа информационных потоков уделяется определению полномочий и ответственности конкретных лиц за обеспечение информационной безопасности различных участков/подсистем ИС. Полномочия и ответственность должны быть закреплены положениями организационно-распорядительных документов.
Результаты экспертного аудита могут содержать разноплановые предложения по построению или модернизации системы обеспечения информационной безопасности, например:
Изменения (если они требуются) в существующей топологии сети и технологии обработки информации
Рекомендации по выбору и применению систем защиты информации и других дополнительных специальных технических средств
Предложения по совершенствованию пакета организационно-распорядительных документов
Рекомендации по этапам создания системы информационной безопасности
Ориентировочные затраты на создание или совершенствование системы обеспечения информационной безопасности (СОИБ).
Аудит на соответствие стандартам
Суть данного вида аудита наиболее приближена к тем формулировкам и целям, которые существуют в финансовой сфере. При проведении данного вида аудита состояние информационной безопасности сравнивается с неким абстрактным описанием, приводимым в стандартах.
Официальный отчет, подготовленный в результате проведения данного вида аудита, включает следующую информацию:
· Степень соответствия проверяемой информационной системы выбранным стандартам
· Степень соответствия собственным внутренним требованиям компании в области информационной безопасности
· Количество и категории полученных несоответствий и замечаний
· Рекомендации по построению или модификации системы обеспечения информационной безопасности, позволяющие привести ее в соответствие с рассматриваемым стандартом
· Подробная ссылка на основные документы заказчика, включая политику безопасности, описания процедур обеспечения информационной безопасности, дополнительные обязательные и необязательные стандарты и нормы, применяемые к данной компании.
Ниже перечислены примеры стандартов, на соответствие которым проводится аудит системы информационной безопасности:
Международный стандарт ISO/IEC 17799 «Информационные технологии. Управление информационной безопасностью» (Information Technology – Information Security Management). На сегодняшний день является одним из самых распространенных и широко применяемым стандартом во всем мире
Международный стандарт Web Trust?. Применим для подтверждения высокого уровня защищенности системы электронной коммерции и web-сервисов.
Причины проведения аудита на соответствие стандарту (и сертификации) можно условно разделить по степени обязательности данной услуги по отношению к компании: обязательная сертификация; сертификация, вызванная «внешними» объективными причинами; сертификация, позволяющая получить выгоды в долгосрочной перспективе; добровольная сертификация.
Государственные организации, которые обрабатывают сведения, составляющие государственную тайну, в соответствии с российским законодательством обязаны проводить аттестацию информационной системы (во многом процедура аналогична сертификации). Однако чаще всего они пользуются не услугой аудита на соответствие стандартам, а в обязательном порядке проводят аттестацию собственных информационных систем при участии аттестационных центров.
Среди государственных организаций (а также «полугосударственных» – организаций с большой долей уставного капитала, принадлежащего государству) велика доля тех, кто в соответствии с законодательством не обязан проводить аттестацию информационной системы. Для них аудит на соответствие стандартам более актуален. Чаще всего его проводит компания-интегратор, которая имеет большой опыт успешного взаимодействия с компанией-заказчиком. При необходимости в качестве субподрядчиков привлекаются аттестационные центры.
В последнее время все большее количество компаний рассматривают получение сертификата, подтверждающего высокий уровень информационной безопасности, как «козырь» в борьбе за крупного клиента или делового партнера.
В этом случае целесообразно проведение аудита и последующей сертификации на соответствие тем стандартам, которые являются значимыми для клиента или делового партнера.
Иногда руководство компании проявляет инициативу по сертификации системы информационной безопасности. Для таких организаций важны не только защита собственных ресурсов, но и подтверждение со стороны независимого эксперта (в роли которого выступает компания-аудитор) высокого уровня защиты.
В заключение отметим, что при планировании проверки состояния системы информационной безопасности важно не только точно выбрать вид аудита, исходя из потребностей и возможностей компании, но и не ошибиться с выбором исполнителя.
Как уже было сказано, результаты любого вида аудита содержат рекомендации по модернизации системы обеспечения информационной безопасности.
Если аудит проводит консалтинговая компания, которая кроме консалтинговой деятельности занимается еще и разработкой собственных систем защиты информации, она, по понятным причинам, заинтересована в том, чтобы результаты аудита рекомендовали заказчику использовать ее продукты. Для того чтобы рекомендации на основе аудита были действительно объективными, необходимо, чтобы компания-аудитор была независима в выборе используемых систем защиты информации и имела большой опыт работы в области информационной безопасности.
3. АУДИТ БЕЗОПАСНОСТИ WEB-ПРИЛОЖЕНИЙ
О проблеме
Большинство компаний в современных рыночных условиях уделяют недостаточно внимания безопасности своих web-приложений. Зачастую руководство может оправдывать такой подход низкой степенью влияния web-приложений на бизнес-процессы компании.
Если речь идет о сайте-визитке, то потери от скомпрометированного web-узла действительно можно расценить как минимальные. Однако не стоит забывать, что и в этом случае компания может нести значительные репутационные риски, связанные, например, с ситуацией когда на сайте происходит малозаметная подмена контента.
Совсем иная ситуация возникает когда бизнес-процессы компании полностью основаны на функционировании web-приложения. К данной категории относятся интернет-магазины, корпоративные порталы, электронные торговые площадки, SaaS-приложения и т.д. Возможные финансовые потери компании в случае вывода приложения из строя или хищения/подмены данных могут варьировать в очень широком диапазоне.
Согласно последнему исследованию, проведенному Web Application Security Consortium (WASC), вероятность возникновения уязвимостей высокой степени риска среди исследованных приложений составила от 80 до 96 %
Закон о персональных данных
До 1 января 2010 года все операторы ПД обязаны привести свои информационные системы обработки персональных данных в соответствие требованиям закона «О персональных данных». Под действие данного закона попадает большинство web-ресурсов сегмента электронной коммерции. Учитывая специфику разработки подобных web-приложений в российской части Интернета можно предположить что большинство из них потребуют дополнительной проверки на предмет возможности утечки информации, классифицируемой как персональные данные.
Методика аудита
Проведение аудита безопасности web-приложения предполагает несколько этапов работ:
1. Автоматическое сканирование
На данном этапе проводится автоматическое сканирование web-узла при помощи программных средств обнаружения уязвимостей. Проводится анализ наличия типичных решений, применяемых для web -ресурса, таких как CMS, форумы, гостевые книги и тд. Большинство подобных решений имеют открытый исходный код и хорошо изучены на предмет наличия уязвимостей. Дополнительно проводится поиск эксплойтов в случае обнаружения подобных уязвимостей.
Автоматическое сканирование позволяет выявить не только ошибки на уровне исходного кода web-сценария, но также и типичные ошибки администрирования сервера.
2. Метод «черного ящика» (Black Box)
Используя информацию, полученную на первом этапе, специалист проводит анализ выявленных уязвимостей, а также поиск новых уязвимостей неавтоматизированными средствами. Оценивается возможность скомпрометировать систему без каких-либо дополнительных знаний об её внутренней структуре.
3. Метод «белого ящика» (White Box)
Данный этап предполагает всесторонний анализ структуры и исходного кода web-приложения, а также условий функционирования web-приложения на физическом сервере, таких как:
o ОС и применяемая политика безопасности
o используемое серверное ПО и его настройка
Основная задача – выявление причин найденных ранее уязвимостей, а также поиск новых уязвимостей. Анализ кода проводится на основе выработанных рекомендаций по созданию безопасного кода. В случае нахождения формальных признаков новой уязвимости – она проверяется на предмет возможности её эксплуатации.
В случае размещения web-приложения в условиях аренды места на сервере хостинга – дополнительно может быть проведена оценка угроз, исходящих от соседних доменов, размещенных на данном физическом сервере.
4. Оценка рисков
На данном этапе проводится анализ всех найденных в процессе аудита угроз, описание процесса и причин их возникновения, оценка вероятности возникновения и степени влияния на бизнес-процессы Заказчика.
Все выявленные уязвимости классифицируются согласно Web Application Security Consortium Web Security Threat Classification (WASC WSTCv2)
5. Выработка рекомендаций
На основе анализа угроз, вырабатывается ряд рекомендаций по их устранению.
6. Внедрение мер по обеспечению информационной безопасности
На основе выработанных рекомендаций по согласованию с Заказчиком производится внедрение мер по обеспечению информационной безопасности, которые включают в себя настройку системных параметров, изменение исходного кода приложения и внедрение средств защиты.
По окончании работ производится оценка остаточного риска.
