Похожие презентации:
Аудит информационной безопасности
1.
Аудит информационнойбезопасности
2. Понятие аудита безопасности и цели его проведения
Аудит информационнойбезопасности — системный
процесс получения объективных
качественных и количественных
оценок о текущем состоянии
информационной безопасности в
соответствии с определенными
критериями и показателями
безопасности
3.
Ауди́т (от лат. audit «слушает» audio)— многозначный термин.
Аудит — это независимая проверка
финансовой отчетности,
бухгалтерского учета и
хозяйственных операций компании
для подтверждения их достоверности
и соответствия закону. Основная
цель — выявить ошибки, риски,
нарушения и предоставить
заключение о реальном финансовом
состоянии.
4.
Аудит информационной безопасности (ИБ)во-первых стал обязательным и «дорогим»
фактором выживания бизнеса, а во-вторых
превращается в элемент доверия между
компаниями и регуляторами — и в мире, и в
Кыргызстане.
Основные причины:
жёсткие оборотные штрафы за утечки
персональных данных (например, в моделях,
похожих на GDPR-подходы);
рост числа и сложности кибератак, в том числе
с применением ИИ-инструментов;
давление регуляторов и требование
показывать «доказуемые» меры ИБ (логи,
метрики, отчёты аудита).
5.
Нормы и стандарты (мировые)Глобально аудит ИБ базируется на международных
стандартах и рамках, например:
•ISO/IEC 27001 — стандарт на систему управления
информационной безопасностью;
•ISO/IEC 27002 — рекомендуемые контрмеры и
практические меры;
•NIST Cybersecurity Framework, CIS Controls, COBIT —
широко используются для аудита и оценки зрелости
ИБ-процессов.
6.
Аудит ИБ в КыргызстанеВ Кыргызстане тема важна, но развивается относительно
недавно — через закон «О кибербезопасности Кыргызской
Республики» и смежные подзаконные акты.
•В 2025 году Государственный комитет национальной
безопасности (ГКНБ) подготовил проект постановления
правительства о порядке государственного аудита
кибербезопасности для объектов критической
информационной инфраструктуры и государственной
информационной инфраструктуры.
•ГКНБ и Министерство цифрового развития и
инновационных технологий получили полномочия по
проведению госаудита в зависимости от категории
объектов.
7.
Что входит в аудит (КР-практика)По проектным документам и публикациям в СМИ аудит в Кыргызстане
касается:
•оценки уязвимостей и слабых мест в информационных системах
(технические и конфигурационные проблемы);
•проверки соответствия установленным стандартам и требованиям
законодательства (в том числе требований к защите персональных
данных);
•оценки готовности к реагированию на инциденты и качества процессов
обработки инцидентов;
•требований к внутреннему аудиту — объекты КИИ должны проводить
аудит ИБ не реже один раз в год.
Независимый аудит и аккредитация
Проектами предусмотрено проведение независимого (внешнего)
аудита аккредитованными юрлицами, что повышает доверие и
объективность результатов.
•В Кыргызстане пока формируется рынок специализированных ИБ- и
аудит-организаций; пока заметны публичные работы в направлении
стандартизации и аккредитации, но полномасштабный частный рынок
аудиторских услуг ИБ требуется ещё развивать.
8.
АудитВнешний аудит –
это разовое
мероприятие,
проводимое по
инициативе
руководства
организации или
акционеров
Внутренний аудит
представляет собой
непрерывную
деятельность, которая
осуществляется на
основании «Положения о
внутреннем аудите» и в
соответствии с планом,
подготовка которого
осуществляется
подразделением
внутреннего аудита и
утверждается
руководством
организации
9. Целями проведения аудита безопасности являются:
анализ рисков, связанных с возможностьюосуществления угроз безопасности в
отношении ресурсов ИС
оценка текущего уровня защищенности ИС;
локализация узких мест в системе защиты ИС;
оценка соответствия ИС существующим
стандартам в области информационной
безопасности;
выработка рекомендаций по внедрению новых
и повышению эффективности существующих
механизмов безопасности ИС.
10. Виды ущерба:
Данные были раскрыты, изменены,удалены или стали недоступны;
Аппаратура была повреждена или
разрушена;
Нарушена целостность программного
обеспечения.
11. Угрозы безопасности:
локальные и удаленные атаки наресурсы ИС;
стихийные бедствия;
ошибки, либо умышленные действия
персонала ИС;
сбои в работе ИС, вызванные
ошибками в программном
обеспечении или неисправностями
аппаратуры.
12.
Администрирование безопасности и защитные меры13.
Основные принципы безопасности14.
Определения безопасности15.
Организационная модель безопасности16.
Стандарты в области безопасности17.
Управление безопасностью на стратегическом уровнеКомпания "А"
Компания "Б"
Сотрудники несут ответственность за Политики и стандарты разработаны,
любые нарушения безопасности, но не исполняются или не
произошедшие
по
их
вине осуществляется контроль, т.к. он не
умышленно или случайно.
был предусмотрен или внедрен.
Средства безопасности и различные Средства безопасности и различные
услуги покупаются и внедряются
услуги покупаются и внедряются без
эффективными способами. Их
каких-либо исследований, подготовки
применение постоянно
показателей эффективности,
анализируется, чтобы убедиться, что позволяющих определить отдачу от
они остаются экономически
инвестиций и эффективность.
целесообразными.
18.
Разработка программы безопасности19.
Идентификация угрозКак было сказано ранее, риск – это вероятность того, что источник угрозы
воспользуется уязвимостью, что приведет к негативному воздействию на
бизнес. Существует множество видов источников угрозы, которые могут
использовать разные типы уязвимостей, что может привести к
определенным угрозам.
Источник угрозы
Вирус
Хакер
Пользователи
Пожар
Сотрудник
Подрядчик
Атакующий
Нарушитель
Может использовать эту уязвимость
Отсутствие антивирусного
программного обеспечения
Большое количество служб,
запущенных на сервере
Неверно настроенный параметр
операционной системы
Отсутствие огнетушителей
В результате возникнет угроза
Заражение вирусом
Несанкционированный доступ к
конфиденциальной информации
Неисправность системы
Здание и компьютеры повреждены,
возможны человеческие жертвы
Отсутствие обучения или требований Общий доступ к критичной
Отсутствие контроля
информации Внесение изменений во
вводимую информацию и выводимую
из приложений обработки данных
Слабые механизмы контроля доступа Утечка конфиденциальной
информации
Плохо написанное приложение
Проведение атаки "переполнение
Нестрогие настройки межсетевого
буфера" Проведение DoS-атаки
экрана
Отсутствие охраны
Похищение компьютеров и других
20.
Анализ сбоев и дефектов21.
Шаги процесса анализа рисковШаг 1: Определить ценность активов. Для каждого актива
необходимо ответить на следующие вопросы для определения его
ценности:
•В чем заключается ценность данного актива для компании?
•Сколько стоит его поддержка?
•Какую прибыль он приносит компании?
•Сколько за него готовы заплатить конкуренты?
•Сколько будет стоить его повторное создание или восстановление?
•Сколько стоило его получить или разработать?
•Какова мера ответственности в случае компрометации данного
актива?
22.
Шаги процесса анализа рисковШаг 2: Оценить потенциальные потери от угрозы. Для оценки
потенциальных потерь, необходимо ответить на следующие
вопросы:
•К каким физическим повреждениям может привести угроза и
сколько это будет стоить?
•Какую потерю продуктивности может вызвать угроза и сколько это
будет стоить?
•Какие потери понесет компания в случае разглашения
конфиденциальной информации?
•Какова стоимость восстановления после воздействия угрозы?
•Какова стоимость потерь в случае неисправности критичных
устройств?
•Каков ожидаемый ущерб от единичного инцидента (SLE – Single
Loss Expectancy) для каждого актива и каждой угрозы?
23.
Шаги процесса анализа рисковШаг 3: Выполнить анализ угроз. Для анализа угроз нужно выполнить
следующие действия:
•Собрать информацию о вероятности каждой угрозы, опросив
сотрудников каждого подразделения, проанализировав произведенные
ранее записи, а также официальные источники по безопасности, которые
предоставляют такую информацию.
•Рассчитать среднегодовую частоту возникновения инцидентов (ARO –
Annualized Rate of Occurrence), которая показывает сколько инцидентов
может произойти за год.
Шаг 4: Определить общие годовые потери на угрозу. Для этого нужно
выполнить следующее:
•Объединить потенциальные потери и вероятность.
•Рассчитать ожидаемый среднегодовой ущерб (ALE – Annualized Loss
Expectancy) на угрозу, используя информацию, собранную на первых трех
шагах.
•Выбрать контрмеры для противодействия каждой угрозе.
•Выполнить анализ затрат/выгод выбранных контрмер.
24.
Шаги процесса анализа рисковШаг 5: Уменьшить, перенести, избежать или принять риск. Для каждого риска
необходимо выбрать меры по его снижению, переносу, либо принять его.
Методы снижения риска:
o Внедрить защитные меры и средства управления;
o Усовершенствовать процедуры;
o Изменить окружение;
o Внедрить методы раннего обнаружения для своевременного выявления
факторов воздействия угрозы и снижения возможных последствий;
o Разработать план действий в непредвиденных ситуациях, позволяющий
продолжить работу в случае воздействия определенных угроз и снизить
последствия от угрозы;
o Создать препятствия для реализации угрозы;
o Провести тренинг по вопросам безопасности.
Перенос риска – например, застраховать некоторые риски.
Избежание риска – прекратить деятельность, вызывающую риск.
Принятие риска – смириться с риском и не тратить деньги на защиту от него (это
целесообразно, если стоимость защитных мер превышает величину возможного
ущерба). Однако при этом нужно учитывать, что реализация риска может вести к
дополнительным последствиям (например, потере репутации).
25.
Шаги процесса анализа рисковТаким образом, если SLE для хранилища данных компании при
пожаре равно $37,500, а пожары в аналогичных условия случаются
примерно раз в 10 лет (ARO равно 0,1), величина ALE будет равна
$3,750 ($37,500 х 0,1 = $3,750).
Значение ALE используется при оценке целесообразности
внедрения тех или иных мер защиты соответствующего актива от
соответствующей угрозы – годовая стоимость защитных мер,
обеспечивающих необходимый уровень безопасности актива, не
должна превышать значение ALE. Применение более дорогих
защитных мер не будет эффективным и целесообразным.
Рассмотрим пример результатов анализа рисков. Используя
полученные данные компания может принять обоснованное
решение о том, какие угрозы необходимо рассматривать в первую
очередь, основываясь на их последствиях и вероятности
реализации. Также компания может оценить целесообразный
уровень затрат на защиту от каждой угрозы.
26.
Шаги процесса анализа рисковАктив
Угроза
SLE
ARO
ALE
Здание
Пожар
$230,000
0,1
$23,000
Коммерческая тайна
Хищение
$40,000
0,01
$400
Файловый сервер
Неисправность $11,500
0,1
$1,150
Данные
Вирус
$6,500
1,0
$6,500
Информация о
кредитной карте
клиента
Хищение
$300,000
3,0
$900,000
27.
Результаты анализа рисковГруппа анализа рисков должна иметь четко определенные цели.
Следующий список показывает что в основном можно ожидать от
результатов анализа рисков
•Ценность активов в денежном выражении;
•Полный список всех возможных и существенных угроз;
•Вероятная частота возникновения каждой угрозы;
•Потенциальные потери компании от угроз, которые она может
понести в 12-ти месячный срок;
•Рекомендуемые меры безопасности, контрмеры и действия.
Хотя данный список следует по возможности детализировать,
следует сделать краткое резюме для руководства, на основании
которого можно быстро сделать выводы о результатах анализа.
28.
Выбор защитных мерПреимущества внедряемых защитных механизмов должны
превышать затраты на них, только в этом случае они будут
эффективными. Для проведения такой оценки используется анализ
затрат/выгод. Обычно это считают следующим образом:
(ALE до ввода защитных мер) – (ALE после ввода защитных мер) –
(годовая стоимость защитных мер) = ценность защитных мер
Например, ALE угрозы выведения веб-сервера из строя хакерами
составляет $12,000 до внедрения соответствующих защитных мер, а
после их внедрения ALE снижается до $3,000. При этом годовая
стоимость функционирования и поддержки этих защитных мер $650. В этом случае ценность защитных мер составляет $8,350 в
год.
29.
Выбор защитных мерСтоимость контрмер – это не просто цена их покупки. Нужно
учитывать следующие элементы при расчете полной стоимости
контрмер:
•Стоимость продукта
•Стоимость проектирования / планирования
•Стоимость внедрения
•Необходимость внесения изменений в окружение
•Совместимость с другими контрмерами
•Эксплуатационные требования
•Тестирование
•Стоимость восстановления, замены и обновления
•Стоимость эксплуатации и поддержки
•Влияние на производительность
•Стоимость подписки
•Работа сотрудников в нерабочее время и по выходным дням для
мониторинга и реакции на сообщения об инцидентах
30.
Общий риск и остаточный рискОбщий риск (total risk) – это риск, перед лицом которого стоит
компания, не внедрившая никаких защитных мер. Если его уровень
не приемлем для компании (вероятный ущерб от реализации риска
превышает стоимость защитных мер), она внедряет защитные меры
чтобы снизить общий риск до приемлемого уровня. Однако систем
или сред, защищенных на 100%, не существует – всегда есть
некоторый остаточный риск (residual risk). Необходимо обеспечить,
чтобы уровень остаточного риска был приемлем для компании.
Общий риск = угроза х уязвимость х ценность актива
Остаточный риск = (угроза х уязвимость х ценность актива) х
недостаток контроля
31.
Обработка риска32. Подготовка отчетных документов
Аудиторский отчет являетсяосновным результатом проведения
аудита. Структура отчета может
существенно различаться в
зависимости от характера и целей
проводимого аудита.
33.
Основные пункты:описание целей проведения аудита;
характеристику обследуемой ИС;
указание границ проведения аудита и
используемых методов;
результаты анализа данных аудита;
выводы, обобщающие эти результаты и
содержащие оценку уровня защищенности ИС
или соответствие ее требованиям стандартов;
рекомендации аудитора по устранению
существующих недостатков и
совершенствованию системы защиты.
Информатика