Аудит безопасности Intranet

Петренко С. А., Петренко А. А.

АУДИТ БЕЗОПАСНОСТИ

INTRANET

Москва

Информационные технологии для инженеров

УДК 004.056.5
ББК
32.973.202
П30

Петренко С. А., Петренко А. А.

П30
Аудит безопасности Intranet. – М.: ДМК Пресс. –
6 с.: ил.

(Информационные технологии для инженеров).

ISBN 5940741835

Все права защищены. Любая часть этой книги не может быть воспроизведена в какой бы то ни было

форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав.

Материал, изложенный в данной книге, многократно проверен. Но поскольку вероятность технических ошибок все равно существует, издательство не может гарантировать абсолютную точность
и правильность приводимых сведений. В связи с этим издательство не несет ответственности за возможные ошибки, связанные с использованием книги.

© Компания АйТи

ISBN 5940741835
© ДМК Пресс

В книге содержится комплексное описание всех основных вопросов аудита безопасности корпоративных систем Internet/Intranet в соответствии с требованиями международных стандартов ISO 15408, ISO 17799 (BS 7799), BSI и COBIT.
Наряду с рассмотрением основных принципов, формальных методов и подходов
в книге содержатся примеры проведения конкретных аудиторских проверок информационной безопасности различных государственных и коммерческих организаций и структур.

В первую очередь книга предназначена менеджерам высшего эшелона управления компанией (TOPменеджерам), руководителям служб автоматизации (CIO)
и информационной безопасности (CISO), а также специалистам, разработчикам
и аудиторам в области защиты информации.

Она может использоваться также в качестве учебного пособия для студентов

и аспирантов соответствующих технических специальностей.

38

СОДЕРЖАНИЕ

Предисловие
Предисловие
Предисловие
Предисловие
Предисловие............................................................................................................................. 7
Введение
Введение
Введение
Введение
Введение ................................................................................................................................... 14

ЧАСТЬ I
ЧАСТЬ I
ЧАСТЬ I
ЧАСТЬ I
ЧАСТЬ I
Анализ состояния информационной
Анализ состояния информационной
Анализ состояния информационной
Анализ состояния информационной
Анализ состояния информационной
безопасности российских компаний
безопасности российских компаний
безопасности российских компаний
безопасности российских компаний
безопасности российских компаний ............................................................ 19

Глава 1
Глава 1
Глава 1
Глава 1
Глава 1
Актуальность аудита безопасности
Актуальность аудита безопасности
Актуальность аудита безопасности
Актуальность аудита безопасности
Актуальность аудита безопасности
для корпоративных пользователей
для корпоративных пользователей
для корпоративных пользователей
для корпоративных пользователей
для корпоративных пользователей ....................................................................... 21

1.1. Безопасность электронной почты ............................................................... 21

1.1.1. Что подстерегает корпоративных пользователей.................................... 22
1.1.2. Администраторы на страже ........................................................................... 25
1.1.3. Мой сервер – моя крепость ........................................................................... 30
1.1.4. Открытые ретрансляторы и борьба со спамом ........................................ 31
1.1.5. Электронная почта и брандмауэры ............................................................. 33

1.2. Безопасность WWW ........................................................................................... 35

1.2.1. Экскурс в технологию WWW ......................................................................... 36
1.2.2. Посторонним вход воспрещен?.................................................................... 38
1.2.3. Пользователи сети вновь под ударом ......................................................... 43
1.2.4. Возможное решение – SSL ............................................................................. 48
1.2.5. Атаки на HTTPсерверы................................................................................... 49
1.2.6. Проксисервер – контролер и защитник .................................................... 49

1.3. Безопасность DNS................................................................................................ 51

1.3.1. Методы и задачи злоумышленника .............................................................. 51
1.3.2. Технология подлога .......................................................................................... 52
1.3.3. Технологии защиты ........................................................................................... 57
1.3.4. Открытость данных зоны................................................................................. 64
1.3.5. DNS и брандмауэры......................................................................................... 66

1.4. Возможности аудита безопасности ........................................................... 69

1.4.1. Фильтрация на маршрутизаторе ................................................................. 69
1.4.2. Анализ сетевого трафика ............................................................................... 70
1.4.3. Защита маршрутизатора ............................................................................... 70
1.4.4. Защита хоста ..................................................................................................... 71
1.4.5. Превентивное сканирование ........................................................................ 72

Аудит безопасности Intranet

Глава 2
Глава 2
Глава 2
Глава 2
Глава 2
Практика аудита безопасности корпоративных
Практика аудита безопасности корпоративных
Практика аудита безопасности корпоративных
Практика аудита безопасности корпоративных
Практика аудита безопасности корпоративных
систем Internet/Intranet
систем Internet/Intranet
систем Internet/Intranet
систем Internet/Intranet
систем Internet/Intranet .................................................................................................. 73

2.1. Оценка информационной безопасности российcких компаний .......73

2.1.1. Пример 1. Корпоративная информационная система
финансовой группы «БалтЭксперт» ............................................................ 74
2.1.2. Пример 2. Корпоративная информационная система
информационного агенства «ИнформЭкспресс Новости» .................. 78
2.1.3. Пример 3. Корпоративная информационная система
коммерческого банка «РосБалт» .................................................................. 80
2.1.4. Общие проблемы представителей отечественного бизнеса................ 83

2.2. Выработка рекомендаций по результатам аудита безопасности ....84

2.2.1. Эволюция взглядов на обеспечение
информационной безопасности компании ............................................... 87
2.2.2. Облик корпоративной системы защиты ..................................................... 91
2.2.3. Централизованное управление
информационной безопасностью компании............................................. 93

2.3. Межсетевое экранирование .......................................................................... 95

2.3.1. Специфика Internet/Intranetтехнологий ..................................................... 95
2.3.2. Защита периметра корпоративной сети .................................................... 96
2.3.3. Межсетевые экраны ......................................................................................... 99
2.3.4. Возможные варианты защиты сети ............................................................ 102
2.3.5. Примеры защиты периметра сети .............................................................. 104
2.3.6. Защита внутренних корпоративных информационных ресурсов ...... 110
2.3.7. Возможные варианты защиты корпоративных серверов ..................... 110
2.3.8. Особенности распределенных экранов ................................................... 111
2.3.9. Возможные решения на основе распределенных экранов ................. 113

2.4. Антивирусная защита предприятия .......................................................... 114

2.4.1. Состояние антивирусной защиты в российских компаниях ................. 115
2.4.2. Возможные решения антивирусной защиты ............................................ 119
2.4.3. Методика построения корпоративных систем антивирусной защиты ... 124
2.4.4. Примеры возможных решений антивирусной защиты .......................... 125

2.5. Проектирование виртуальных частных сетей..................................... 134

2.5.1. Построение безопасной корпоративной сети ....................................... 135
2.5.2. Построение корпоративных VPN в российских условиях .................... 139
2.5.3. Возможные рекомендации по выбору VPNрешений ........................... 146
2.5.4. Примеры возможных VPNрешений .......................................................... 148

Содержание

ЧАСТЬ II
ЧАСТЬ II
ЧАСТЬ II
ЧАСТЬ II
ЧАСТЬ II
Аудит безопасности:
Аудит безопасности:
Аудит безопасности:
Аудит безопасности:
Аудит безопасности:
рекомендации международных стандартов
рекомендации международных стандартов
рекомендации международных стандартов
рекомендации международных стандартов
рекомендации международных стандартов......................................... 159

Глава 3
Глава 3
Глава 3
Глава 3
Глава 3
Методологические основы аудита безопасности
Методологические основы аудита безопасности
Методологические основы аудита безопасности
Методологические основы аудита безопасности
Методологические основы аудита безопасности .................................... 161

3.1. Влияние аудита безопасности на развитие компании ................. 161

3.1.1. Как оценить уровень безопасности корпоративной
системы Internet/Intranet?.............................................................................. 161
3.1.2. Новые возможности развития компании .................................................. 162
3.1.3. Практические шаги аудита безопасности ............................................... 163

3.2. Новое поколение стандартов информационной безопасности .... 167

3.2.1. Стандарты BS ISO/IEC 17799:2000 (BS 77991:2000)
и BS 77992:2000 ............................................................................................ 168
3.2.2. Стандарт COBIT 3rd Edition ......................................................................... 175

3.3. Планирование аудита информационной безопасности
компании................................................................................................................... 184
3.4. Управление аудитом информационной безопасности
компании................................................................................................................... 189
3.5. Соотношение отечественной и международной
терминологии аудита ........................................................................................ 196

Глава 4
Глава 4
Глава 4
Глава 4
Глава 4
Возможный алгоритм аудита безопасности компании
Возможный алгоритм аудита безопасности компании
Возможный алгоритм аудита безопасности компании
Возможный алгоритм аудита безопасности компании
Возможный алгоритм аудита безопасности компании ........................ 203

4.1. Аудит безопасности в российских условиях ........................................ 203

4.1.1. Анализ требований информационной безопасности .......................... 204
4.1.2. Инструментальные проверки уровня безопасности компании .......... 208
4.1.3. Анализ информационных рисков компании ............................................ 213

4.2. Методы оценивания информационных рисков компании ........... 216

4.2.1. Табличные методы оценки рисков .............................................................. 217
4.2.2. Перспективные методы оценивания информационных
рисков компании ............................................................................................. 221

4.3. Возможная методика совершенствования корпоративной
системы информационной безопасности ............................................ 231
4.3.1. Уточнение основных целей и задач обеспечения безопасности........ 231
4.3.2. Модель построения системы информационной безопасности .......... 232

Аудит безопасности Intranet

4.3.3. Каркас методики проведения аналитических работ ............................. 234
4.3.4. Методология анализа информационных рисков компании ................ 235
4.3.5. Проектирование системы обеспечения информационной
безопасности предприятия........................................................................... 236
4.3.6. Возможный алгоритм аудита безопасности компании ......................... 240
4.3.7. Состав информации, необходимой для аудита безопасности ........... 246

Приложение 1
Приложение 1
Приложение 1
Приложение 1
Приложение 1
Оценка безопасности информационных технологий:
Оценка безопасности информационных технологий:
Оценка безопасности информационных технологий:
Оценка безопасности информационных технологий:
Оценка безопасности информационных технологий:
рекомендации стандарта ИСО/МЭК 15408–99
рекомендации стандарта ИСО/МЭК 15408–99
рекомендации стандарта ИСО/МЭК 15408–99
рекомендации стандарта ИСО/МЭК 15408–99
рекомендации стандарта ИСО/МЭК 15408–99 ..................................... 252

Приложение 2
Приложение 2
Приложение 2
Приложение 2
Приложение 2
Пример активного аудита безопасности 
Пример активного аудита безопасности 
Пример активного аудита безопасности 
Пример активного аудита безопасности 
Пример активного аудита безопасности корпоративной
корпоративной
корпоративной
корпоративной
корпоративной
системы Internet/Intranet
системы Internet/Intranet
системы Internet/Intranet
системы Internet/Intranet
системы Internet/Intranet ............................................................................................. 273

Приложение 3
Приложение 3
Приложение 3
Приложение 3
Приложение 3
Пример автоматизации аудита и управления
Пример автоматизации аудита и управления
Пример автоматизации аудита и управления
Пример автоматизации аудита и управления
Пример автоматизации аудита и управления
информационной безопасностью компании
информационной безопасностью компании
информационной безопасностью компании
информационной безопасностью компании
информационной безопасностью компании ............................................... 286

Приложение 4
Приложение 4
Приложение 4
Приложение 4
Приложение 4
Пример разработки Концепции безопасности компании
Пример разработки Концепции безопасности компании
Пример разработки Концепции безопасности компании
Пример разработки Концепции безопасности компании
Пример разработки Концепции безопасности компании ................. 333
Заключение
Заключение
Заключение
Заключение
Заключение .......................................................................................................................... 359
Список литературы
Список литературы
Список литературы
Список литературы
Список литературы ......................................................................................................... 361

ПРЕДИСЛОВИЕ

Понятие аудит информационной безопасности компании появилось сравнительно недавно и сегодня вызывает постоянный интерес специалистов в области
менеджмента и безопасности корпоративных систем Internet/Intranet. Примерно
с 1995 года в ряде высокотехнологичных стран мира, главным образом в США,
Великобритании, Германии и Канаде, проводятся ежегодные слушания и совещания специально созданных комитетов и комиссий по вопросам аудита информационной безопасности корпоративных систем. Подготовлено более десятка различных стандартов и спецификаций, посвященных аудиту информационной
безопасности, среди которых наибольшую известность приобрели международные стандарты ISO 17799 (BS 7799), BSI и COBIT.
В настоящее время аудит информационной безопасности корпоративных систем Internet/Intranet представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области безопасности корпоративных систем Internet/Intranet. Его основная
задача – объективно оценить текущее состояние информационной безопасности
компании, а также ее адекватность поставленным целям и задачам бизнеса с целью увеличения эффективности и рентабельности экономической деятельности
компании. Поэтому под термином аудит информационной безопасности корпоративной системы Internet/Intranet обычно понимается системный процесс получения объективных качественных и количественных оценок о текущем состоянии
информационной безопасности компании в соответствии с определенными критериями и показателями безопасности. Считается, что результаты качественно
выполненного аудита информационной безопасности компании позволяют построить оптимальную по эффективности и затратам корпоративную систему защиты, адекватную ее текущим задачам и целям бизнеса.
Насколько аудит безопасности может быть полезен для вашей компании? Давайте посмотрим вместе. Не секрет, что сегодня наблюдается повсеместное усиление
зависимости успешной бизнесдеятельности компании от корпоративной системы
защиты информации. Объясняется это увеличением объема жизненно важных для
компании конфиденциальных данных, обрабатываемых в корпоративной информационной системе Internet/Intranet. Этим же объясняются и дополнительные капиталовложения в информационные системы компании. В связи с этим актуальность аудита информационной безопасности резко возрастает. Более того, практика
внедрения новых корпоративных информационных систем свидетельствует о том,
что компании не всегда получают полную отдачу капиталовложений. Прежде всего, изза усложнения современных корпоративных систем Internet/Intranet и роста их уязвимости. Можно выделить две основные причины роста уязвимости
корпоративных систем Internet/Intranet. Вопервых, повысилась уязвимость собственно корпоративных информационных систем за счет обоснованного усложнения аппаратнопрограммных элементов этих систем, увеличения структурной

Аудит безопасности Intranet

и функциональной сложности системного и прикладного программного обеспечения, применения новых технологий обработки, передачи и хранения данных.
А вовторых, расширился спектр угроз корпоративным информационным системам изза передачи информации по открытым каналам сетей общего назначения,
«информационных войн и электронных диверсий» конкурирующих организаций,
активного промышленного шпионажа с привлечением профессионалов в области
ITsecurity и пр.
Сегодня современный рынок безопасности насыщен средствами обеспечения
информационной безопасности. Постоянно изучая существующие предложения
рынка безопасности, многие компании видят неадекватность ранее вложенных
средств в системы информационной безопасности, например, по причине морального старения оборудования и программного обеспечения. Поэтому они ищут
варианты решения этой проблемы. Таких вариантов может быть два: с одной стороны — это полная замена системы корпоративной защиты информации, что потребует больших капиталовложений, а с другой — модернизация существующих
систем безопасности. Последний вариант решения этой проблемы является наименее затратным, но несет новые проблемы, например, требует ответа на следующие вопросы: как обеспечить совместимость старых, оставляемых из имеющихся
аппаратнопрограммных средств безопасности, и новых элементов системы защиты информации; как обеспечить централизованное управление разнородными
средствами обеспечения безопасности; как оценить, а при необходимости и переоценить информационные риски компании. Более существенная причина необходимости проведения аудита безопасности состоит в том, что при модернизации
и внедрении новых технологий защиты информации их потенциал полностью не
реализуется. Здесь аудит позволяет оценить текущую безопасность функционирования корпоративной информационной системы, оценить и прогнозировать
риски, управлять их влиянием на бизнеспроцессы компании, корректно и обоснованно подойти к вопросу обеспечения безопасности ее информационных активов: стратегических планов развития, маркетинговых программ, финансовых
и бухгалтерских ведомостей, содержимого корпоративных баз данных. В конечном счете грамотно проведенный аудит безопасности корпоративной информационной системы позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание систем безопасности.
А для практики исключительно важным является то, что аудит информационной безопасности ориентирован как на специалистов в области безопасности корпоративных систем Internet/Intranet, так и на специалистов в области менеджмента. Такой подход устраняет cуществующее недопонимание специалистов
в области информационной безопасности TOPменеджерами компании. В данном
случае они объединяются в единую команду, ориентированную на повышение
экономической эффективности и рентабельности бизнесдеятельности компании.
Еще один существенный плюс подобного подхода – поддержка полного жизненного цикла корпоративной системы защиты информации, начиная с анализа требований и заканчивая этапами эксплуатации и сопровождения системы. Примечательно,

Предисловие

что использование структурных и объектноориентированных CASEсредств анализа и управления рисками позволяет наглядно и эффективно представлять компоненты информационной инфраструктуры компании, выделять наиболее критичные из них, а также оценивать информационные риски компании. Компоненты
представляются в удобной графической форме, с выделением существенных с точки зрения управления компанией компонентов ее информационной инфраструктуры и связей по управлению и данными между ними. Такая общая визуализация
бизнеспроцессов и информационной безопасности компании позволяет оперативно генерировать различные варианты защиты, сравнивать их между собой
с точки зрения экономической эффективности и в результате выбирать оптимальный вариант построения или модификации защиты корпоративной системы Internet/Intranet.
В настоящее время многие поставщики средств защиты информации декларируют поставку полного, законченного решения в области безопасности корпоративных систем Internet/Intranet. К сожалению, в лучшем случае все сводится
к проектированию и поставке соответствующего оборудования и программного
обеспечения. Построение корпоративной системы безопасности «остается в тени»
и к решению не прилагается. Поэтому у корпоративных заказчиков все чаще
и чаще к поставщикам соответствующих решений возникают следующие вопросы:

• соответствует ли наша корпоративная система информационной безопасности целям и задачам бизнеса компании;
• насколько адекватна принятая в компании политика безопасности ее задачам
и целям бизнеса;
• как корректно контролировать реализацию и выполнение политики безопасности в компании;
• когда необходимо провести модернизацию системы безопасности; как обосновать необходимость модернизации и затрат;
• как быстро окупятся инвестиции в корпоративную систему безопасности; где
здесь точка безубыточности;
• насколько правильно и корректно сконфигурированы и настроены штатные
средства обеспечения информационной безопасности компании;
• как убедиться в том, что существующие в компании средства защиты – межсетевые экраны (firewalls), системы обнаружения вторжений (IDS), антивирусные шлюзы, VPNшлюзы – эффективно справляются со своими задачами;
• как решаются вопросы обеспечения конфиденциальности, доступности и целостности;
• подрядные организации и компании провели проектирование, поставку, монтаж, пусконаладку средств безопасности. Как оценить их работу? Есть ли
недостатки и, если есть, то какие;
• как обеспечить такую необходимую для практики «вертикаль власти» для
централизованного управления безопасностью компании;
• как контролировать состояние информационной безопасности компании; какие методы и средства здесь необходимо использовать;

Аудит безопасности Intranet

• корпоративная система обеспечения безопасности построена, что делать дальше? (Наличие стратегического и тактических Планов защиты компании,
Планов работы при возникновении чрезвычайных ситуаций);
• есть ли необходимость постоянно обучать сотрудников службы информационной безопасности компании и какие бюджетные средства для этого
нужны;
• как управлять информационными рисками компании; какие инструментальные средства для этого необходимо задействовать;
• удовлетворяет ли организация информационной безопасности компании
требованиям международных стандартов оценки и управления безопасностью, например ISO 15408, ISO 17799 (BS 7799), BSI.

Очевидно, что на перечисленные вопросы нельзя мгновенно дать однозначный
ответ. Только объективный и независимый аудит безопасности корпоративной системы Internet/Intranet позволит вам получить достоверную и обоснованную информацию. Такой аудит, который позволит комплексно проверить все основные
уровни обеспечения информационной безопасности компании: нормативноправовой, организационный, технологический и аппаратнопрограммный. А для того, чтобы вы были готовы к проведению аудита и смогли грамотно воспользоваться его
результами, и была задумана данная книга.
По мнению авторов, книга является первым полным русскоязычным практическим руководством по вопросам аудита информационной безопасности компаний и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные вопросы аудита
информационной безопасности: идеи, принципы, методология, формальные модели и методы, анализ выполнения конкретных аудиторских проверок информационной безопасности различных государственных и коммерческих организаций и структур.
Книга ориентирована на следующие основные группы читателей:

• менеджеров высшего эшелона управления компанией (ТОРменеджеров), которые хотят получить ответы на следующие вопросы: что такое аудит информационной безопасности; в чем его суть; зачем и кому он нужен; насколько он
актуален для компании и ее бизнесдеятельности; какова его стоимость и последующие затраты; каковы последствия для компании; какую роль играют
инструментальные CASEсредства анализа и управления рисками; кто и как
его осуществляет; какие существуют ограничения законодательного характера; какие отечественные и западные методики и технологии аудита предпочтительно использовать; как эффективно управлять информационной безопасностью компании в интересах бизнеса; как подготовить свою компанию
к аудиту и аккредитации в соответствии с требованиями международных
стандартов ISO 17799 (BS 7799), BSI и COBIT.
Ответы на эти вопросы даются в главах 1–4;