Добавить в корзинуПозвонить
Найти в Дзене
О чем говорит Кибер КИТ
11 подписчиков

Аудит ИБ за 7 дней: пошаговый план для вузов

3
10 мин
Современные высшие учебные заведения ежедневно обрабатывают значительные объемы информации: персональные данные (далее – ПДн) студентов и сотрудников, результаты научных исследований, финансовую документацию, материалы образовательных программ и другие чувствительные данные. Одновременно с этим важно сохранить необходимый уровень информационной безопасности (далее – ИБ), который обеспечит защиту данных от утечки, а также поможет обеспечить необходимый уровень ИБ для внутренних сервисов и систем. Основная часть угроз ИБ возникает не только из-за несвоевременного реагирования на них, но и из-за отсутствия постоянного контроля. Одной из форм такого контроля является аудит. Проведение аудита ИБ позволяет своевременно выявить слабые места в защите инфраструктуры вуза, оценить соответствие нормативным требованиям законодательства Российской Федерации и определить приоритетные направления для дальнейшего повышения уровня безопасности. Формы проведения аудита могут быть разные: как внешние, та
Оглавление

Современные высшие учебные заведения ежедневно обрабатывают значительные объемы информации: персональные данные (далее – ПДн) студентов и сотрудников, результаты научных исследований, финансовую документацию, материалы образовательных программ и другие чувствительные данные. Одновременно с этим важно сохранить необходимый уровень информационной безопасности (далее – ИБ), который обеспечит защиту данных от утечки, а также поможет обеспечить необходимый уровень ИБ для внутренних сервисов и систем.

Основная часть угроз ИБ возникает не только из-за несвоевременного реагирования на них, но и из-за отсутствия постоянного контроля. Одной из форм такого контроля является аудит. Проведение аудита ИБ позволяет своевременно выявить слабые места в защите инфраструктуры вуза, оценить соответствие нормативным требованиям законодательства Российской Федерации и определить приоритетные направления для дальнейшего повышения уровня безопасности. Формы проведения аудита могут быть разные: как внешние, так и внутренние. Внешние аудиты требуют привлечение специализированных сторонних организаций, а также значительных временных и финансовых затрат. В этих условиях особенно востребован внутренний аудит, который можно организовать в течение одной недели без остановки образовательных процессов и дополнительных затрат.

Основная часть: подход к аудиту

1 день: определение границ аудита и сбор информации

На начальном этапе важно определить приоритетные цели аудита. Правильно поставленные цели помогут понять планируемую глубину аудита, а также состав работ. Для формирования наиболее полноценного подхода к аудиту важно выделить цели, затрагивающие как организационные, так и технические аспекты ИБ. Примерами таких целей могут быть:

  • подготовка к проверкам регулятора;
  • выявление уязвимостей в информационной инфраструктуре;
  • проверка соблюдения требований законодательства;
  • выявление недостатков в процессах обработки и хранения информации;
  • минимизация вероятности возникновения инцидентов ИБ;
  • оценка текущего уровня ИБ.

После определения целей важно понять границы планируемого аудита:

1) Какой перечень объектов следует рассматривать?

В зависимости от целей аудита, в качестве объектов можно рассматривать:

  • информационные системы;
  • системы дистанционного обучения;
  • корпоративную почту;
  • веб-сайты и внутренние порталы;
  • сервисы для сдачи отчетности или передачи информации.

2) Какие типы информации обрабатываются в рассматриваемых объектах?
Важно понять, какая информация обрабатывается в рассматриваемых объектах.

Тип информации напрямую влияет на перечень требований по ИБ, установленных действующим законодательством. В частности, можно выделить следующие типы информации:

  • ПДн;
  • информация, составляющая коммерческую тайну;
  • информация, предназначенная для служебного пользования;
  • информация, относящаяся к государственной тайне.

Результаты определения границы аудита рекомендуется оформить в виде отдельного документа, сопоставив объекты, подлежащие аудиту, с типом обрабатываемой в них информации.

После определения целей аудита, перечня объектов и категорий обрабатываемой информации следует выполнить сбор исходных данных, относящихся к рассматриваемой области аудита. В качестве такой информации можно рассматривать:

  • внутренние политики, положения, регламенты и инструкции по обеспечению ИБ;
  • внутренние документы, определяющие процессы получения, передачи, хранения и уничтожения информации;
  • схемы сети;
  • данные о пользователях и их правах;
  • документы на информационные системы.
Сведения, полученные на данном этапе позволяют сформировать общее представление об области аудита и являются основой для поведения последующих этапов работ. По результатам выполнения данного этапа можно сопоставить выявленные объекты аудита с требованиями действующего законодательства, а также выделить приоритетные направления обеспечения ИБ и наиболее критичные объекты, требующие дополнительного контроля и защиты.

2 день: инвентаризация и анализ процессов обработки информации

На данном этапе необходимо провести инвентаризацию объектов, попадающих в область аудита, а также определить основные процессы обработки информации.

Инвентаризация позволяет получить полное представление о составе используемых информационных ресурсов, технических средств и программного обеспечения, а также помогает выявить критически важные объекты, нарушение работы которых может привести к сбоям в деятельности ВУЗа или утечке информации.

В рамках данного этапа рекомендуется определить перечень:

  • серверов, рабочих станций и мобильных устройств;
  • используемое сетевое оборудование;
  • используемые базы данных;
  • используемые средства защиты информации;
  • каналы передачи данных и точки удаленного доступа;
  • облачные сервисы и используемые внешние информационные ресурсы.

Особое внимание следует уделить анализу процессов обработки информации. На данном этапе определяются:

  • источники поступления информации;
  • порядок ее хранения, передачи и удаления;
  • маршруты движения данных между подразделениями и информационными системами;
  • пользователи, имеющие доступ к информации.

Для вузов к основным процессам обработки информации могут относиться:

  • обработка персональных данных студентов и сотрудников;
  • ведение электронного документооборота;
  • работа систем дистанционного обучения;
  • хранение результатов научных исследований;
  • функционирование корпоративной электронной почты;
  • обработка финансовой и кадровой информации.
Результаты выполнения первого и второго этапа должны дать четкое понимание об области аудита, применяемых технических средствах обработки информации, реализованных процессах обработки информации, а также о перечне требований законодательства в зависимости от типа обрабатываемой информации.

3 день: анализ прав доступа

Особенность инфраструктуры вузов заключается в большом количестве различных категорий пользователей, среди которых:

  • студенты;
  • преподаватели;
  • административный персонал;
  • системные администраторы;
  • внешние пользователи и подрядчики.

Каждая из указанных категорий должна иметь доступ только к тем информационным ресурсам, которые необходимы для выполнения служебных или учебных задач.

Основная задача данного этапа заключается в проверке корректности предоставления доступа к информационным ресурсам, выявлении избыточных привилегий и снижении риска несанкционированного доступа к данным:

  • проверка корректности формирования и разделения на отдельные группы пользователей;
  • анализ установленных настроек для групповых политик;
  • проверка учетных записей;
  • анализ прав пользователей;
  • выявление неиспользуемых учетных записей;
  • проверка разграничения доступа в зависимости от типа субъекта доступа, например: студент, преподаватель, администратор.

Особое внимание следует уделить:

  • учетным записям с повышенными привилегиями;
  • удаленному доступу;
  • требованиям к сложности паролей.

По итогам выполнения данного этапа необходимо сформировать перечень выявленных нарушений и рекомендаций, среди которых могут быть:

  • удаление неактуальных учетных записей;
  • пересмотр прав доступа;
  • пересмотр требований к парольной политике ВУЗа;
  • внедрение периодических контрольных мероприятий по анализу учетных записей и прав доступа.

4 день: анализ сетевой безопасности

Основной задачей данного этапа является анализ защищенности сетевой инфраструктуры вуза и выявление уязвимостей. Данный этап является не менее важным, так как образовательные организации имеют большую и сложную сетевую структуру, включающую отдельные корпуса, большое количество пользователей и удаленных подключений.

На начальном этапе рекомендуется выполнить анализ структуры сети и схемы взаимодействия между сегментами инфраструктуры, проверить наличие разделения сети на отдельные сегменты, например:

  • административный сегмент;
  • сегмент, выделенный для организации демилитаризованной зоны;
  • учебный сегмент;
  • сегмент серверного оборудования;
  • отдельные сегменты для корпусов;
  • гостевой сегмент.

Особое внимание следует уделить проверке сетевого оборудования: маршрутизаторов, коммутаторов, межсетевых экранов, VPN-шлюзов, точек беспроводного доступа.

В отношении сетевого оборудования рекомендуется проверить:

  • корректность настроек оборудования;
  • отсутствие данных, заданных по умолчанию;
  • актуальность версий прошивок;
  • настройка журналирования событий.

Дополнительно необходимо провести анализ правил межсетевого экранирования, проверить перечень настроенных правил фильтрации входящего и исходящего трафика, а также проанализировать используемые протоколы передачи информации.

На данном этапе также важно выполнить сканирование сети для выявления:

  • активных узлов;
  • открытых портов;
  • устаревшего программного обеспечения;
  • уязвимостей.
По результатам анализа сетевой безопасности необходимо сформировать перечень выявленных недостатков и уязвимостей, а также описать рекомендации по их устранению.

5 день: Проверка соответствия требованиям законодательства

Основной целью данного этапа является выявление нарушений требований законодательства, регулирующего защиту информации, а также определение уровня готовности организации к проверкам со стороны контролирующих органов.

В ходе аудита необходимо провести оценку соответствия требования законодательства в отношении:

  • локальных нормативных документов;
  • организационных мер защиты информации;
  • технических средств защиты;
  • процессов обработки ПДн;
  • порядка хранения и передачи информации.

Для этого необходимо понять:

  • все ли необходимые документы разработаны, отвечают ли они текущим процессам обеспечения ИБ и требованиям законодательства;
  • все ли технические и организационные меры применяются, соответствуют ли они требованиям законодательства.

Отдельные внимание следует уделить процессам обработки ПДн:

  • определена ли политика обработки ПДн и обеспечена ли доступность данной политики для субъектов ПДн;
  • все ли процессы обработки ПДн можно считать законными, берутся ли необходимые согласия на обработку ПДн;
  • осуществляется ли передача ПДн третьим лицам;
  • назначены ли ответственные лица за обеспечения безопасности ПДн и организацию процессов обработки ПДн;
  • актуальны ли разработанные документы, касающиеся процессов обработки ПДн;
  • где и сколько хранятся ПДн, а также каким образом они уничтожаются.

Дополнительно рекомендуется провести анализ соответствия информационных систем установленным требованиям безопасности и проверить:

  • наличие классификации информационных систем;
  • наличие модели угроз безопасности информации;
  • применение средств защиты;
  • выполнение мер по резервному копированию.
По результатам данного этапа необходимо сформировать перечень необходимых требований законодательства по обеспечению безопасности, описать применяемые способы реализации данных требований, выявленные недостатки, а также рекомендации по их устранению.

6 день: Анализ деятельности работников

Данный этап заключается в оценке того, насколько эффективно выстроены внутренние процессы управления ИБ, а также насколько персонал знает правила и регламенты по обеспечению ИБ.

На данном этапе важно оценить:

  • назначены ли ответственные за обеспечение ИБ;
  • определены ли зоны ответственности подразделений и ответственных лиц;
  • закреплены ли обязанности по администрированию систем и средств защиты за конкретными сотрудниками или подразделениями;
  • осуществляется ли информирование работников вуза о правилах работы с информацией.

Для выполнения работ необходимо:

1) Проверить наличие и актуальность приказов по назначению ответственных лиц, а также должностных инструкций. Дополнительно следует оценить, охватывают ли действующие документы все необходимые области обеспечения ИБ и администрирования.

2) Оценить актуальность инструкций для пользователей и иных документов по ИБ, предназначенных для ознакомления сотрудников, а также проверить их на актуальность и соответствие текущим процессам ИБ.

3) Проанализировать даты проведения последних инструктажей, рассылок и иных мероприятий по повышению осведомленности сотрудников в области ИБ, а также регулярность их проведения.

По результатам этапа необходимо:

  • сформировать перечень ответственных лиц и подразделений, а также определить, все ли необходимые области обеспечения ИБ охвачены должностными обязанностями;
  • оценить доводятся ли до сотрудников необходимые требования по ИБ;
  • сформировать перечень выявленных недостатков и рекомендаций по их устранению.

7 день: формирование отчета и подведение итогов аудита

Результаты выполнения всех этапов рекомендуется объединить в единый отчет, который будет отражать текущий уровень обеспечения ИБ, а также выявленные недостатки и уязвимости. Такой документ позволяет получить целостное представление о состоянии ИБ.

На основе сформированного отчета может быть разработана единая дорожная карта по повышению уровня ИБ, презентация или стратегия дальнейшего развития ИБ. При формировании выводов и дальнейших планов по повышению уровня ИБ, можно выделить приоритетные меры по устранению выявленных недостатков, модернизации технических и организационных мер защиты, совершенствованию внутренней документации

Последовательное проведение аудита, включающего отдельные этапы, позволяет сформировать наиболее полное и структурированное представление о существующих процессах обеспечения ИБ. Такой подход особенно важен для образовательных организаций, поскольку они характеризуются большим количеством процессов обработки информации и сложной информационной инфраструктурой.