Аудит систем защиты информации

Министерство образования и науки Республики Казахстан

Карагандинский Государственный Технический Университет


Лабораторная работа №2


Выполнила: Какенова Улжан

Проверила: Бигалиева А.З.


Караганда 2013


Цели выполнения лабораторной работы


1.Изучить и получить навык применения программно-технических средств контроля выполнения требований политики безопасности организации.

.Используя полученные знания, спланировать и описать области проверки в рамках аудита информационной безопасности вымышленной компании.

.Получения навыков в создании итоговой документации по результатам проведенного аудита.


Задание


1.Ознакомление с представленными средства инструментального контроля

а) Изучение возможностей представленных средств контроля.

б) Проведение пробных проверок систем/компьютеров установленных в учебном классе.

в) Получение одного либо нескольких отчётов и подготовка предложений по устранению выявленных несоответствий.

.Подготовка плана мероприятий по аудиту информационной безопасности

а) Выбор одной из представленных компаний.

б) Формулирование требований аудита на основании одного из стандартов информационной безопасности.

в) Разработка плана мероприятий с указанием сроков, подразделений и видов проверок для выбранной компании.

.Разработка итогового отчёта по результатам аудита

а) Подготовка простейшей методики анализа результатов аудита.

б) Подготовка формы аудиторского отчёта с указанием персонала, его заполняющего, и плана проведения повторных проверок.

Вариант компании:

. Компания состоит из 3-х филиалов на территории РФ. ЦО в Москве. Численность ЦО 100 чел., в филиалах 20 чел. Занимается производством и разработкой средств аутентификации. Производство в филиалах, ЦО выполняет только административные действия.

Центральный офис компании «DLoyd Group» находится в городе Москва, Российская Федерация, который непосредственно руководит работой трех филиалов компании, которые в свою очередь находятся также на территории РФ, в таких городах как Санкт-Петербург, Владивосток и Екатеринбург.

По численности сотрудников преобладает компания «Dloyd Group» (100 чел.), так как он является центральным офисом и осуществляет главную документационную и представительскую деятельность. А непосредственно производством и разработкой средств аутентификации занимаются филиалы «IT Entertainment», «Transcend Group», «IT ID», численностью по 20 сотрудников в каждом городе.

Ниже представлена вышеуказанная информация в виде таблицы:


Компании«Dloyd Group»«IT Entertainment»«Transcend Group»«IT ID»Численность100 чел.20 чел.20 чел.20 чел.МестоположениеМоскваСанкт-ПетербургТомскКраснодарСтатусЦентральный офисФилиалФилиалФилиал

Направление деятельности компании - производство и разработка средств аутентификации. Производство в филиалах, ЦО выполняет только административные действия.


Разработка перечня аппаратуры, необходимой для проведения проверки помещений и объектов


Проверка следующего:

)Комплекс для проведения исследований на сверхнормативные побочные электромагнитные излучения - выявление информативных побочных электромагнитных излучений. Дабы избежать утечки информации нужно использовать комплекс средств устранение и мониторинг помещения, проверка помещения на жучки, микрофоны, камеры и т.д.

)Комплекс по проверке активного аудита. Был выявлен неограниченный доступ к USB и DVD приводом в трех компаниях, который имеет каждый и может унести информации, нужно провести ограничение доступа к портам и учетным данным с ввода пароля администратора.

)Комплекс по проверке вне объектных устройств, способных записывать данные и способных произвести утечку информации. Такие аппаратно технические устройства, как личные мобильные телефоны сотрудников и клиентов. Из этого следует, разграничить возможность использования данного устройства в определенной территории.

)Комплекс по проверке биометрических систем аутентификации показал хорошее оснащение по данной системе. Во-первых, была проанализирована работа и надежность электронных подписей, доступных ограниченному количеству сотрудников. Во-вторых, особо важные объекты были доступны лишь по средству определения личности с помощью личных биометрических данных, таких как отпечаток пальца, сканирование сетчатки глаза и воспроизведение аудио ключа определенным лицом, то есть аудио сканирование голоса.

Ниже приведены данные проверки выше указанных комплексов в виде сравнительной таблицы:


Таблица 1

Компании«Dloyd Group»«IT Entertainment»«Transcend Group»«IT ID»Сверхнормативные побочные электромагнитные излученияНе выявленоЧастичноНе выявленоЧастичноВозможность утечки информацииНизкаяСреднееНизкаяСреднееНаличие комплекса средств для устранения утечки информацииПрисутствует (Хорошее)ОтсутствуетПрисутствует (Хорошее)ОтсутствуетМониторинг помещенийЕженедельноЕжемесячноЕженедельноЕжемесячно

По проведенному комплексу была проведена оценка безопасности информации в помещениях каждой компании. Сверхнормативные побочные электромагнитные излучения были лишь частично выявлены в двух компаниях - «IT Entertainment» и «IT ID», тогда как в центральном офисе «Dloyd Group» и в компании «Transcend Group» они не были обнаружены. То есть в «IT Entertainment» и «IT ID» возможность утечки выше чем в «Dloyd Group» и «Transcend Group». В ходе проверки была оценен комплекс средств для устранения утечки информации в «Dloyd Group» и «Transcend, который показал хорошую оснащенность и работу по устранению утечки информации, в то время как в «IT Entertainment» и «IT ID» данный комплекс средств для устранения утечки информации отсутствует, что непосредственно повышает риск не только утечки информации, но и потери и важной информации и разглашения секретных алгоритмов продуктов программ. Крайне строго рекомендуется внесения поправок по безопасности информации и введения комплекса средств для устранения утечки информации в «IT Entertainment» и «IT ID» в самое ближайшее время, так как по ранним отчетам сотрудников были выявлены нарушения по хранению информации, который привел к утечки информации. Так же вопрос по мониторингу помещений, компаниям «IT Entertainment» и «IT ID» необходимо увеличить периодичность проверок и мониторинга в соответствии компании «Dloyd Group» и «Transcend Group», так как мониторинг помещений в этих компаниях проводится еженедельно, и это значительно уменьшает угрозы со стороны утечки информации.


Таблица 2.

Компании«Dloyd Group»«IT Entertainment»«Transcend Group»«IT ID»Доступ к USB и DVD приводом в помещенияхОграниченоНе ограниченоНе ограниченоНе ограниченоВид ограниченияПарольная идентификация каждого сотрудникаОтсутствие парольной идентификации (Общий доступ)Отсутствие парольной идентификации (Общий доступ)Отсутствие парольной идентификации (Общий доступ)

Комплекс по проверке активного аудита выявил неограниченный доступ к USB и DVD приводом в трех компаниях, который имеет каждый и может унести информации вне зависимости от занимаемой должности. Лишь ЦО, выполняющий административные действия имеет разграниченный доступ к системе, который затрудняет использование USB и DVD приводов в помещениях, соответственно снижая риск утечки информации. В ЦО каждый сотрудник имеет определенные права доступа, для некоторых сотрудников доступ ограничен полностью, не говоря уже о посторонних лицах, присутствие которых в указанных помещениях более чем возможно. Так как парольная идентификация отсутствует во всех трех филиалах компаний, то есть действует общий доступ, который может привести к утечки информации не только среди сотрудников, но и может быть получен посторонними лицами в подходяще подобранное время. В связи с этим строго рекомендуется провести ограничение доступа к портам и учетным данным с ввода пароля администратора, или же ввести парольную идентификация для каждого пользователя с разной степенью ограничения в зависимости от рода деятельности сотрудника и его полномочий, что существенно снизит риск потери и кражи информации, или расстройства всей сети и потери важных данных с помощью вирусов, используя USB и DVD приводов.


Таблица 3.

Компании«Dloyd Group»«IT Entertainment»«Transcend Group»«IT ID»Использование личных аппаратно технических устройствЧастичноРазрешеноРазрешеноЧастичноВиды разрешенных аппаратно технических устройствЛичные мобильные телефоны, личные планшеты и мп3 плееры, и т.д.Личные мобильные телефоны, личные планшеты и мп3 плееры, и т.д.Личные мобильные телефоны, личные планшеты и мп3 плееры, и т.д.Личные мобильные телефоны, личные планшеты и мп3 плееры, и т.д.РазграничениеТолько для сотрудников компанииДля сотрудников и клиентовДля сотрудников и клиентовТолько для сотрудников компании

Комплекс по проверке вне объектных устройств, способных записывать данные и способных произвести утечку информации выявил следующее: использование личных аппаратно технических устройств ограничено в «Dloyd Group» и «IT ID» лишь частично, использование выше указанных средств разрешено только для сотрудникам, при этом ограничивая клиентов и др. посетителей компании в использовании личных аппаратно технических устройств для уменьшения риска кражи информации. В компаниях «IT Entertainment» и «Transcend Group» ограничений нет, сотрудники и клиенты обоих компаний имеют право использовать любые личные аппаратно технические устройства. Такие аппаратно технические устройства, как личные мобильные телефоны сотрудников и клиентов, их личные планшеты и мп3 плееры, и т.д. Из этого следует, что необходимо разграничить возможность использования данного устройства в определенной территории. Данное территориальное разграничение присутствует в двух компаниях, при этом не имеющих ограничений в использовании личных аппаратно технических устройств, таких как «IT Entertainment» и «Transcend Group». Данные компании имеют специальные помещения, где работа выше перечисленных личных устройств прекращает свое действие. В связи с этим центральному офису «Dloyd Group» и филиалу компании «IT ID» рекомендуется введение территориального разграничение, так как данные метод является одним из наиболее продуктивных.


Таблица 4.

Компании«Dloyd Group»«IT Entertainment»«Transcend Group»«IT ID»Наличие биометрических систем аутентификации????Электронная подпись????Аутентификация по отпечатку пальцев?Аутентификация по радужной оболочке глаза?Аутентификация по сетчатке глаза??Аутентификация по геометрии лица/рук??Аутентификация по термограмме лица???Аутентификация по голосу????

Комплекс по проверке биометрических систем аутентификации показал хорошее оснащение по данной системе всех компании включая центральный офис. Во-первых, была проанализирована работа и надежность электронных подписей, доступных ограниченному количеству сотрудников. Так как данная системы аутентификации присутствует в ЦО и во всех филиалах компаний. Во-вторых, особо важные объекты были доступны лишь по средству определения личности с помощью личных биометрических данных, таких как отпечаток пальца, сканирование сетчатки глаза и воспроизведение аудио ключа определенным лицом, то есть аудио сканирование голоса. В выше приведенной таблице был проведен расчет по наличию тех или иных биометрических систем аутентификации. Как видно в таблице, АО всех учреждениях используются электронная подпись и аутентификация по голосу. Эти методы очень надежны, так как трудна для подделки, так как при аутентификация по голосу всегда сопровождается видео наблюдением в режиме реального времени. Так же широко используется аутентификация по отпечатку пальцев, по радужной оболочке глаза, по сетчатке глаза, по геометрии лица/рук и по термограмме лица. Данная система защиты информации, являясь достаточно надежной, имеет определенный недостаток. Это непосредственное влияние на данных сотрудников, которые имеют доступ к ограниченным объектом. То есть данные операции должны сопровождаться охраной, для обеспечения безопасности данным лицам, либо камерами видеонаблюдения в режиме реального времени.

программный безопасность аудит документация

Заключение


В ходе аппаратно-технической проверки ЦО офиса компании «Dloyd Group» и филиалов компании, таких как «IT Entertainment», «Transcend Group» и «IT ID» были всесторонне изучены навыки применения программно-технических средств контроля, который выполняет требования политики безопасности вышеперечисленных организации. Далее были спланированы и описаны области проверки в рамках аудита информационной безопасности вымышленных компании. В течении работы были получены такие навыки как создание итоговой документации по результатам проведенного аудита, включающий все исходные данные организации и проверок. В процессе аудита систем защиты информации мною были использованы следующие комплексы: комплекс для проведения исследований на сверхнормативные побочные электромагнитные излучения - выявление информативных побочных электромагнитных излучений; комплекс по проверке активного аудита; комплекс по проверке вне объектных устройств, способных записывать данные и способных произвести утечку информации.


Теги: Аудит систем защиты информации  Практическое задание  Бухучет, управленческий учет
Просмотров: 20911
Найти в Wikkipedia статьи с фразой: Аудит систем защиты информации
Назад