Аудит безопасности – это, по существу, оценка эффективности применения политик безопасности внутри организации. Конечно, предполагается, что организация уделяет внимание политике безопасности, что, к сожалению, не всегда является таковым. Даже сейчас во многих организациях не существует четко сформулированной политики. Политики безопасности являются средствами стандартизации практики безопасности посредством их документирования (в письменной форме) и соглашения со стороны сотрудников, прочитавших и подписавшихся под ними. Если не существует написанных политик безопасности, или они неформальны, то это может привести к их неправильному пониманию и невыполнению сотрудниками. Проведение политики безопасности должно требовать ознакомление и согласие в письменной форме с оными. Наличие политик безопасности не затрагивает вопрос компетентности работников, а скорее дает уверенность в том, что каждый работник знает, как защитить информацию, и согласен исполнять свое обязательство.
Проблемы часто возникают на рабочих местах между культурой поведения и политиками безопасности. Даже при большой ответственности и осознании ее сотрудники часто предпочитают удобство безопасности. Например, сотрудники знают, что должны выбирать трудно угадываемые пароли, но они также хотят, чтобы эти пароли были всегда под рукой. Каждый аудитор знает, что следует проверить, не наклеены ли бумажки с паролем на мониторе, и не прячет ли работник свой пароль под клавиатурой (почему-то многие сотрудники убеждены, что это – самое безопасное место). Также каждый аккаунт администратора должен иметь пароль; часто из-за спешки установка пароля откладывается на потом, что приводит к появлению уязвимой системы в сети.
Целью аудита безопасности является поиск слабины в политиках безопасности и рекомендации по их решению. Политика должна быть также объектом внимательного рассмотрения. Действительно ли это существующий документ, точно описывающий способы ежедневной защиты организацией ИТ ресурсов? Отражает ли политика производственные стандарты используемых ИТ ресурсов внутри организации?
Предварительный аудит.
Прежде чем аудиторы компьютерной безопасности приступят к предварительному аудиту, им следует проделать большое количество организационных работ. Они должны быть знакомы с объектом аудита. Вместе с анализом результатов раннее проведенных аудитов, аудиторам следует взять на вооружение некоторые инструменты, к которым они впоследствии обратятся. Первый – это предварительное знакомство с фирмой; техническое описание хостов системы, включающее управление и данные о пользователях. Такая информация может быть устаревшей, но, тем не менее, давать общее представление о системе. Общие сведения касательно безопасности могут быть использованы при дальнейшем знакомстве с предприятием. Эти сведения являются естественно субъективными, но они полезны, так как позволяют создать общую картину, построенную на практике. Аудиторам часто задают вопросы о средствах и методах оценки ситуации при контроле за ИТ ресурсами. К таковым относятся: средства управления, средства контроля доступа/аутентификации, безопасность на физическом уровне, внешний доступ к системе, средства и методы администрирования системы, соединение с внешними сетями, удаленный доступ, ответственность за инцидент, предварительное планирование.
Анализ фирмы и сведения о безопасности должны быть четко описаны с определенным количеством ответов на специфические требования. Они должны быть пронумерованы по возрастанию от менее (без особых требований) к более желанным (с особыми требованиями и документацией). И те, и другие должны иметь электронные коммерческие соглашения о пригодности для клиентской организации. Например, компании, выпускающие кредитные карточки имеют перечень соглашений о безопасности для своих продуктов. Эти соглашения включают в себя сетевую безопасность, безопасность операционной системы и приложений, а также защиту на физическом уровне.
Аудиторы, в основном внутренние аудиторы, должны рассмотреть предыдущие инциденты в клиентской организации, связанные с безопасностью с целью установить слабые места в организации безопасности. Также должны быть проанализированы настоящие условия во избежания повторения неприятных инцидентов. Если аудиторы проверяют систему, позволяющую выход в Интернет, им следует обратить внимание на логи IDS/Фаерволов. Отображают ли эти логи попытки воспользоваться уязвимостями системы? Может ли для этого существовать какая-то причина (например, ошибка в настройках фаервола), по которой эти попытки могут иметь место. Возможно ли это проверить?
Из-за большого объема данных, которые подлежат проверке, аудиторы захотят работать с клиентами напрямую, чтобы определить масштаб работ для аудита. Факторы, влияющие на это: бизнес план фирмы, способ защиты данных и значение/важность этих данных для организации, предыдущие инциденты, время для проведения аудита и талант/компетентность аудиторов. Профессиональные аудиторы захотят четко определить масштаб работ, соглашенный с клиентом.
Далее аудиторы разрабатывают план, согласно которому будет приводиться аудит, персонал, с которым будут работать аудиторы и инструменты аудита. Затем они обсуждают план с агентством. После этого аудиторы обсуждают цель аудита с персоналом и согласуют некоторые детали, такие как время проведения аудита, требующиеся средства и влияние аудита на повседневную работу. Далее, аудиторы должны убедиться в том, что цели аудита поняты персоналом.
Аудит
По прибытии на фирму, аудиторы не должны мешать ведению бизнеса во время проверки. Им следует провести инструктаж, в котором аудиторы снова подчеркнут масштаб своей работы и их планы. Любые вопросы, возникшие у сотрудников фирмы, должны быть разъяснены, и в конце беседы подведены итоги настоящей цели аудита.
Аудиторы должны быть строгими и беспристрастными и проводить аудит согласно стандартам и методам. Во время аудита они будут собирать данные о физической безопасности компьютеров и проводить интервью. Они могут произвести оценку уязвимости сети, безопасности операционных систем и приложений, оценку контроля за доступом и другие вычисления. Во время процесса проверки аудиторам следует придерживаться заранее определенного плана, и в то же время быть готовыми к неожиданным проблемам. Они должны действовать между сложившимися понятиями или ожиданиями того, что они должны найти и того, что есть на самом деле.