Практические аспекты проведения аудита с целью оценки соответствия требованиям ФЗ «О персональных данных» Виктор Сердюк, к.т.н., CISSP Генеральный директор ЗАО «ДиалогНаука»
предпроектная стадия, включающая предпроектное обследование ИСПДн (аудит), а также разработку технического задания на ее создание стадия проектирования и реализации ИСПДн, включающая разработку СЗПДн в составе ИСПДн стадия ввода в действие СЗПДн, включающая опытную эксплуатацию приемо-сдаточные испытания средств защиты информации, а также оценку соответствия ИСПДн требованиям безопасности информации Стадии создания системы защиты персональных данных
Анализ внутренних нормативных документов, регламентирующих порядок обработки и защиты ПДн Определение используемых средств защиты ПДн, и оценка их соответствия требованиям нормативных документов РФ Определение перечня ПДн, подлежащих защите Определение перечня ИСПДн, обрабатывающих ПДн Определение степени участия персонала в обработке ПДн, характера взаимодействия персонала между собой Обследование ИСПДн
сбор существующей нормативной документации Заказчика регулирующей порядок обработки и обеспечения защиты ПДн сбор существующей нормативной документации Заказчика описывающей состав, структуру и функциональные возможности, технические характеристики и организацию использования ИСПДн и средств защиты ИСПДн, а так же регламентирующие порядок их взаимодействия анализ существующей нормативной документации Заказчика в области обработки и защиты ПДн на предмет соответствия требованием нормативных документов РФ Анализ внутренних нормативных документов
На данном этапе определяется перечень ИСПДн и их основные свойства, такие как: Структура ИС Подключение к сетям общего доступа Режим обработки ПДн Режим разграничения прав доступа пользователей ИС Местонахождение технических средств информационной системы Заданные оператором характеристики безопасности персональных данных, обрабатываемых в ИС Определение перечня ИСПДн
Перечень ПДн, обрабатываемых в ИСПДн Заказчика, подлежащих защите включает в себя: цели обработки ПДн категории ПДн категории субъектов, ПДн которых обрабатываются правового основания обработки ПДн перечня действий с ПДн, общего описания используемых Заказчиком способов обработки ПДн сведений о лицах, которые имеют доступ к ПДн или которым может быть предоставлен такой доступ источника получения ПДн Определение перечня ПДн
Сбор данных о: Составе и функциональных возможностях используемых СЗПДн Технических характеристиках и организации использования СЗПДн Условиях эксплуатации СЗПДн в составе ИСПДн Оценка соответствия используемых средств и методов защиты ПДн нормативным требованиям РФ Определение используемых средств защиты
Основные этапы работ Заключение соглашения о неразглашении (NDA) Разработка регламента, устанавливающего порядок и рамки проведения работ Сбор исходной информации об автоматизированной системе компании Анализ полученной информации Проведение инструментальной части аудита Подготовка отчётных материалов Презентация и защита результатов проекта
Структура регламента Состав рабочих групп от Исполнителя и Заказчика, участвующих в процессе проведения аудита Перечень информации, которая будет предоставлена Исполнителю для проведения аудита Список объектов информатизации Заказчика, аудит которых должен провести Исполнитель Перечень информационных систем, которые рассматриваются Исполнителем в качестве объектов защиты Порядок и время проведения инструментального обследования Порядок проведения совещаний по проекту
Состав исходных данных Информация об организационной структуре компании Организационно-распорядительная и нормативно- методическая документация по вопросам информационной безопасности Информация об ИС, обрабатывающих персональные данные Информация об аппаратном, общесистемном и прикладном обеспечении ИСПДн Информация о средствах защиты, установленных в ИСПДн Информация о топологии ИСПДн
Методы сбора исходных данных Предоставление опросных листов по определённой тематике, самостоятельно заполняемых сотрудниками Заказчика Интервьюирование сотрудников Заказчика, обладающих необходимой информацией Анализ существующей организационно- технической документации, используемой Заказчиком Использование специализированных программных средств
Инструментальный анализ защищенности Для чего предназначен: Инвентаризация сетевых сервисов ИСПДн (устройства, ОС, службы, ПО) Идентификация и анализ технологических уязвимостей ИСПДн Типы используемых для анализа средств: Сетевые сканеры безопасности Хостовые сканеры безопасности (проверка ОС и приложений) Утилиты удаленного администрирования Утилиты для верификации найденных уязвимостей Утилиты для инвентаризации ресурсов
Инструментальный анализ защищенности Анализ средств защиты информации Анализ VPN-шлюзов Анализ антивирусных средств защиты Анализ систем обнаружения атак IDS/IPS Анализ межсетевых экранов Анализ систем защиты от утечки конфиденциальной информации Анализ безопасности сетевой инфраструктуры Анализ безопасности коммутаторов Анализ безопасности маршрутизаторов Анализ безопасности SAN-сетей Анализ безопасности сетей WLAN
Инструментальный анализ защищенности Анализ безопасности общесистемного программного обеспечения Анализ ОС Windows Анализ ОС UNIX Анализ ОС Novell Netware Анализ безопасности прикладного программного обеспечения Анализ безопасности баз данных Анализ безопасности почтовых серверов Анализ безопасности Web-серверов Анализ безопасности Web-приложений
Особенности использования инструментальных средств для сбора информации Заранее оговариваются рамки проведения инструментального аудита Результаты анализируются и интерпретируются экспертами Производится фильтрация полученных данных Используется несколько средств анализа защищённости Проверка критически важных систем проводится во внерабочие часы, в присутствии администратора с обязательным резервным копированием информации
Пример элемента методики Средства защиты от вредоносного кода Описание: Должны быть внедрены средства определения, предотвращения и восстановления для защиты против вредоносного кода и соответствующие процедуры предупреждения пользователей. Документальная проверка: документы, отражающие положения по антивирусной защиты информационных систем; должностные инструкции; документы, фиксирующие приобретение антивирусных средств защиты информации. Инструментальный контроль: методика инструментальной проверки средств защиты от вредоносного и мобильного кода. Результат: отчет; отчет об инструментальном анализе (детальная информация об эффективности применяемых средств защиты)
Критерии оценки Документальные подтверждения требований Дополнительные инструментальные подтверждения требований Не установлены Установлены частично Установлены в полном объеме Не выполняются Выполняются частично Выполняются в полном объеме
Тест на проникновение (Penetration testing) Тест на проникновение позволяет получить независимую оценку безопасности ИСПДн по отношению к внешнему нарушителю Исходные данные IP-адреса внешних серверов Анализ проводится с внешнего периметра Собираемая информация Топология сети Используемые ОС и версии ПО Запущенные сервисы Открытые порты, конфигурация и т.д.
получение информации из открытых источников сканирование внешнего периметра поиск / создание эксплойтов взлом внешнего периметра / DMZ сканирование внутренней сети поиск / создание эксплойта взлом узла локальной сети вступление в контакт с персоналом обновление троянской программы атака на человека получение доступа к узлу локальной сети Получение доступа к персональным данным Техническая составляющая Социальная составляющая Обобщенный план теста на проникновение
Структура итогового отчёта Границы проведения аудита безопасности Описание ИСПДн Заказчика Методы и средства проведения аудита Результаты классификации ИСПДн Частная модель угроз безопасности ПДн Требования по защите персональных данных Рекомендации по совершенствованию системы защиты персональных данных План мероприятий по созданию системы защиты персональных данных
Продолжительность этапов ЭтапЗанимаемое время, % Подготовительные работы (подписание NDA, подготовка регламента работ и т.д.) 10 Сбор необходимой информации (анкетирование, интервьюирование) 15 Анализ действующей нормативной документации1010 Инструментальное обследование20 Анализ полученных данных20 Подготовка отчетных материалов20 Презентация и защита отчета5
Дальнейшие действия по результатам Результаты аудита являются основой для проведения дальнейших работ по повышению информационной безопасности: Совершенствование организационно-правового обеспечения Заказчика (разработка Политики безопасности, должностных инструкций, регламентов и т.д.) Проектирование, разработка, внедрение и сопровождение систем защиты, устраняющих уязвимости, выявленные в процессе проведения аудита безопасности Обучение персонала Заказчика
Наши контакты , г. Москва, ул. Нагатинская, д. 1 Телефон: +7 (495) Факс: +7 (495)