newsletter strona główna

Usługi » Audyty bezpieczeństwa

Audyt bezpieczeństwa sieci

Coraz większe zagrożenie dla firm stanowi ich własna sieć komputerowa. Dzieje się tak dlatego, że firmy uzależniły swoją działalność od krytycznych usług informatycznych i nagły ich brak prowadzi do bardzo wymiernych strat wynikających z jej braku ciągłości „działania”. Każda firma podłączona do Internetu stanowi potencjalny cel ataku hackerów, crackerów, złodziei informacji czy też niezadowolonych pracowników. Ataki mogą zatem być przeprowadzane z zewnątrz bądź wewnątrz sieci, dotyczyć urządzeń sieciowych lub systemów operacyjnych stanowisk roboczych i serwerów.

Z racji specjalizacji w problematyce security zajmujemy się wieloma elementami związanymi z bezpieczeństwem m.in. firewall’e jako klasyczne bramy filtrujące i weryfikujące pożądany ruch sieciowy, IDS/IPS – System detekcji i prewencji włamań, rozwiązania VPN na bazie technologii IPSec, SSL. Istotne jest również systematyczne podejście do zagadnień związanych z projektowaniem bezpiecznych sieci. Wzorujemy się na sprawdzonych najlepszych praktykach zgodnych z SAFE opracowanych i zebranych przez firmę CISCO. Aktualny stan implementacji różnych elementów bezpieczeństwa weryfikujemy poddając go audytowi bezpieczeństwa. Typowa procedura przewiduje następujące działania:

Analiza usług

Dokonana zostanie analiza usług udostępnianych zdalnie, jak również lokalnie, na systemach poddanych audytowi. W raporcie przedstwiamy następujące informacje:

• pożądana funkcjonalność systemu
• usługi wymagane dla zapewnienia pożądanej funkcjonalności
• usługi uruchomione nadmiarowo,
• usługi nie stwarzające realnego niebezpieczeństwa ataku
• usługi stwarzające realne niebezpieczeństwo ataku

Analiza topologii sieci

Dokonujemy analizy logicznej topologii sieci oraz reguł kontroli dostępu na routerach i firewallach. W raporcie przedstawiamy następujące informacje:

• potencjalne cele ataku
• potencjalne źródła ataku
• ocena topologii pod kątem możliwości przeprowadzenia ataku zdalnego
• wskazówki dotyczące zwiększenia poziomu bezpieczeństwa systemu poprzez modyfikację topologii sieci

Analiza bezpieczeństwa systemów operacyjnych oraz aplikacji

Przy pomocy narzędzi (IBM ISS Internet Scanner, NeWT Security Scanner dawniej Nessus, NMap) wykonujemy audyt systemu, analizujący poziom zabezpieczeń „od wewnątrz”. Na podstawie raportu wygenerowanego przez skanery oraz wniosków z analizy usług i analizy topologii przygotowujemy raport zawierający m.in.:

• nieprawidłowości w konfiguracji bezpieczeństwa systemu
• wskazówki dotyczące sposobu usunięcia nieprawidłowości

Przy audycie bezpieczeństwa systemów operacyjnych oraz aplikacji na systemie Windows NT/2000/XP/Vista wykonywane są m. in. testy badające:

• obecność tylnych wejść („backdoors”, „rootkit’s”)
• zabezpieczenia przeglądarek internetowych
• obecność luk w zabezpieczeniach systemu operacyjnego ogłaszanych przez Microsoft
• poziom patchy systemu operacyjnego
• obecność aplikacji zdalnego dostępu
• zabezpieczenia systemu plików
• obecność podejrzanych zdarzeń w logach
• uprawnienia użytkowników
• uprawnienia grup
• zabezpieczenia aplikacji Internet Information Server
• odporność na ataki typu Denial-Of-Service
• i wiele innych.

Przy audycie bezpieczeństwa systemów operacyjnych oraz aplikacji na systemach unixowych wykonujemy m.in. testy badające:

• obecność tylnych wejść („backdoors”, „rootkit’s”)
• dostęp do usługi FTP
• zabezpieczenia systemu NFS
• możliwość ataku wykorzystującego przepełnienie bufora
• ustawienia crontab
• zabezpieczenia systemu plików
• uprawnienia użytkowników
• uprawnienia grup
• zabezpieczenia przeglądarek internetowych
• możliwość wykorzystania mechanizmów at, cron, batch do przeprowadzenia ataku
• zabezpieczenia systemu NIS
• zabezpieczenia systemu haseł
• i wiele innych

Analiza penetracyjna

Przy pomocy narzędzi testujemy podatność na znane ataki, analizujący odporność systemu „z zewnątrz” i „wewnątrz”. Na podstawie raportu wygenerowanego przez skanery oraz wniosków z analizy usług i analizy topologii przygotowujemy raport zawierający:

• nieprawidłowości w konfiguracji bezpieczeństwa systemu
• wskazówki dotyczące sposobu usunięcia nieprawidłowości

Weryfikacja pouadytowa

Po wykonaniu audytu bezpieczeństwa sieci oraz przekazaniu raportu poaudytowego ustalony zostaje okres naprawczy w trakcie, którego klient powinien wykonać niezbędne czynności w celu wyeliminowania nieprawidłowości wskazanych w raporcie. Po upływie tego okresu następuje kolejna weryfikacja (tzw. audyt kontrolny), na bazie której zostaje przygotowany raport końcowy. Zawiera on informacje o przeprowadzonych przez klienta czynnościach naprawczych wskazanych w raporcie poaudytowym w celu zminimalizowania zagrożeń mających wpływ na bezpieczeństwo sieci.
Raport końcowy zawiera m.in.:

• informacje dotyczące wdrożonych rozwiązań mających na celu ograniczenie lub wyeliminowanie usług stwarzających realne niebezpieczeństwo ataku
• informacje dotyczące wdrożonych rozwiązań zabezpieczających sieć przed potencjalnymi atakami oraz zastosowanymi modyfikacjami topologii sieci w celu podniesienia jej bezpieczeństwa
• informacje o przeprowadzonych zmianach w konfiguracji bezpieczeństwa systemu
• informacje na temat wdrożonych niezbędnych zabezpieczeń i modyfikacji systemów

Audyt bezpieczeństwa informacji

Postępujący rozwój technologii w zakresie informatyki i telekomunikacji doprowadził do sytuacji, że informacja jest jednym z njważniejszych, a często najważniejszym aktywem każdej organizacji. Utrata danych w wyniku zdarzeń losowych lub też zaplanowanych ataków powoduje bardzo poważne konsekwencje w działalności każdego przedsiębiorstwa.

Firmy, które zdają sobie sprawę ze skutków utraty informacji coraz częściej decydują się na sprawdzenie bezpieczeństwa informacji wewnątrz swojej organizacji. W tym celu przeprowadzane są audyty bezpieczeństwa informacji, które stanowią podstawę do nowego podejścia w działalności przedsiębiorstwa – do ochrony informacji. Przprowadzenie audytu pozwala zorientować się kierownictwu w aktualnym poziomie bezpieczeństwa informacji oraz zaplanować działania mające na celu ograniczenie ryzyka utraty informacji.

Ofertowany przez ITNS Polska Sp. z o.o. audyt bezpieczeństwa informacji jest przeprowadzany na podstawie polskich i międzynarodowych standardów dotyczących tej tematyki, m.in. normy PN-ISO/IEC 27001:2007 oraz PN-ISO/IEC 17799. Standardy te przedstawiają zbiór praktycznych wymagań dotyczących zarządzania bezpieczeństwem informacji w organizacjach.

Istotną cechą normy PN-ISO/IEC 17799 jest powiązanie potencjalnych zagrożeń zewnętrznych, powszechnie uznawanych za najbardziej niebezpieczne z analizą zagrożeń wewnętrznych. Oznacza to, że w rozumieniu normy nie tylko partnerzy rynkowi, dostawcy i odbiorcy mogą stanowić potencjalne zagrożenie dla informacji gospodarczych, równie istotne są zagrożenia wewnętrzne, związane z pracownikami.

Z normy wynika, że struktura zagrożeń organizacji oparta jest na czterech podstawowych elementach: (pracownikach, procesach biznesowych, stosowanych technologiach, strukturze organizacyjnej, która określa odpowiedzialność i uprawnienia). Każdy z przedstawionych elementów może stanowić dla nas potencjalne źródło zagrożeń wewnętrznych. Systemy, informacyjne w tym, np. teleinformatyczne przez swoją specyfikę oraz możliwość łączenia się bez względu na odległość i porę dnia muszą być traktowane w kategorii zagrożeń wewnętrznych oraz zewnętrznych - każda organizacja musi indywidualnie zdecydować ostatecznie, jaka rola zostanie im przypisana.

Norma PN-ISO/IEC 17799 definiuje poszczególne elementy kontroli i sterowania bezpieczeństwem informacji, podporządkowanych 10 grupom wymagań, co pozwala organizacji na zidentyfikowanie najlepszych zabezpieczeń w kontekście jej specyfiki działalności, otoczenia rynkowego oraz potrzeb w powyższym zakresie. Norma dotyczy wszystkich form informacji, w tym także ustnych i graficznych, powstających z wykorzystaniem telefonów komórkowych i faksów. Standard uwzględnia najnowsze formy działalności gospodarczej oraz możliwości komunikacji w dzisiejszym rozwiniętym technologicznie biznesie. Poniżej krótko opisano poszczególne rozdziały normy.

• Polityka bezpieczeństwa. Polityka jest najważniejszym dokumentem w systemie zarządzania bezpieczeństwem informacji. Tworzy wytyczne i ramy dla pozostałych zasad.
• Organizacja bezpieczeństwa. Stworzenie zasad zabezpieczania informacji nie gwarantuje jeszcze stworzenia systemu. Konieczne jest powołanie odpowiednich struktur zarządzania wewnątrz organizacji. Ważne jest również zidentyfikowanie firm i osób zewnętrznych mających dostęp do informacji i wyznaczenie odpowiednich metod nadzoru nad nimi
• Klasyfikacja i kontrola aktywów. Konieczna jest weryfikacja informacji przetwarzanych i składowanych w organizacji. Efektem klasyfikacji informacji jest stworzenie grup informacji o różnych stopniach poufności oraz opisanie zasad postępowania ze zidentyfikowanymi informacjami.
• Bezpieczeństwo osobowe. Najsłabszym elementem każdego systemu są ludzie. Norma wymaga, aby sprawować nadzór nad poszczególnymi grupami pracowników: potencjalnych kandydatów, praktykantów, nowych pracowników, pracowników przewidzianych do awansu. Konieczne jest stworzenie systemu szkoleń i uświadamiania pracowników odnośnie zagrożeń.
• Bezpieczeństwo fizyczne i środowiskowe. Punkt opisuje wymagania dotyczące fizycznego zabezpieczania budynków, pomieszczeń użytkowych, serwerowni. Niezbędne jest również opisanie zasad związanych z konserwacją urządzeń, w tym komputerów oraz ustalenia wymaganej kultury pracy np. zasada czystych biurek.
• Zarządzanie systemami i sieciami. Wiele błędów związanych z bezpieczeństwem informacji jest związane z niewłaściwym użytkowaniem urządzeń. Dlatego konieczne jest opracowanie zasad korzystania z funkcjonujących urządzeń, w tym również będącymi własnością firm zewnętrznych. Aby uniknąć utraty cennych danych elektronicznych konieczne jest opracowanie zasad tworzenia i zarządzania kopiami zapasowymi. Bardzo ważnym elementem jest bezpieczne postępowanie z przenośnymi nośnikami danych oraz ustalenie zasad wymiany informacji ze stronami trzecimi.
• Kontrola dostępu do systemów. Systemy informatyczne zawierają ogromne ilości danych. Niezbędne jest kontrolowanie dostępu do danych poprzez jasne ustalenie grup użytkowników oraz zdefiniowanie uprawnień do edycji i odczytu. Dotyczy to zarówno informacji dostępnych w sieciach wewnętrznych jak i sieciach zewnętrznych. Kontrola dostępu powinna rozpoczynać się już na poziomie systemów operacyjnych.
• Rozwój i utrzymywanie systemów. Podczas rozbudowy systemów informatycznych należy również pamiętać o zabezpieczeniach. Każda zmiana musi być autoryzowana przez odpowiednie osoby oraz przed zastosowaniem przetestowana w wydzielonym środowisku testowym. Punkt ten opisuje również, w jaki sposób bezpiecznie stosować metody kryptograficzne.
• Zarządzanie ciągłością biznesu. Każda organizacja powinna poczynić odpowiednie kroki w celu zapewnienia ciągłości najważniejszych działań biznesowych. Obejmuje to analizę najbardziej prawdopodobnych i najdotkliwszych w skutkach awarii oraz opracowanie planów mających na celu jak najszybsze przywrócenie organizacji do poprawnego funkcjonowania. Dodatkowo wszystkie stworzone plany muszą być okresowo testowane pod kątem przydatności w momencie materializacji zagrożeń.
• Zgodność z prawem i własnymi wymaganiami. Podstawowym warunkiem certyfikowania systemu bezpieczeństwa informacji jest pełna zgodność z obowiązującymi przepisami prawnymi. Aby spełnić przedstawiane w normie wymagania należy przeanalizować akty normatywne w zakresie bezpieczeństwa informacji i wprowadzić rozwiązania gwarantujące spełnienie wymagań prawnych. Dodatkowo konieczne jest wprowadzenie pewnych instrumentów takich jak audyty wewnętrzne, przeglądy kierownictwa, zapewniające doskonalenie systemu bezpieczeństwa informacji.

Audyt bezpieczeństwa informacji - metodyka

Audyt bezpieczeństwa informacji składa się z dwóch części, organizacyjnej oraz informatycznej. Ze względu na fakt wykorzystania przez przedsiębiorstwa technologii w codziennej działalności część informatyczna jest zazwyczaj kilka razy bardziej praco i czasochłonna od części organizacyjnej.

CZĘŚĆ ORGANIZACYJNA

Część ta jest przeprowadzana w oparciu o listę punktów bezpieczeństwa. Konsultanci ITNS na podstawie listy stosują następujące techniki audytu:

• prowadzą rozmowy z pracownikami,
• sprawdzają zabezpieczenia fizyczne urządzeń i informacji,
• sprawdzają ochronę budynków i pomieszczeń zawierających informację,
• weryfikują stosowane procedury na zgodność z obowiązującym prawem,
• dokonują przeglądu zapisów,
• sprawdzają bezpieczeństwo przetwarzania danych,
• wydruki danych,
• niszczenie danych,
• przechowywanie danych,
• transport danych

Podczas audytu badaniu zostaną poddane w szczególności następujące obszary organizacji:

• struktura zarządzania i odpowiedzialności związane z bezpieczeństwem informacji,
• nadzór nad firmami zewnętrznymi mającymi dostęp do informacji będącej własnością firmy,
• nadzór nad studentami i praktykantami,
• postępowanie z nośnikami danych,
• zgłaszanie i postępowanie z incydentami bezpieczeństwa,
• rozmieszczenie i zabezpieczenie stref bezpieczeństwa,
• procedury ciągłości działania,
• zgodność z prawodawstwem polskim.

Proces audytu zostaje poprzedzony wizytą konsultantów w organizacji klienta. Podczas wizyty analizie jest poddawana funkcjonująca dokumentacja oraz ramowy plan przeprowadzenia audytu.

CZĘŚĆ INFORMATYCZNA

Część informatyczna została dokładnie omówiona pod adresem (link do Audyt bezpieczeństwa sieci) ponieważ bezpieczeństwo sieciowe jest jednym ze składników bezpieczeństwa informacji.

WERYFIKACJA POUADYTOWA

Efektem przeprowadzonego audytu jest raport poaudytowy zawierający:

• przeanalizowanie funkcjonującego systemu bezpieczeństwa informacji
• identyfikacja i opis potencjalnych zagrożeń
• wskazanie działań doskonalących bezpieczeństwo informacji
• propozycje działań doskonalących i niezbędnych czynności naprawczych
• szczegółowe dane z zakresu i wyników przeprowadzonej części informatycznej

Po wykonaniu audytu bezpieczeństwa informacji oraz przekazaniu raportu poaudytowego ustalony zostaje okres naprawczy w trakcie, którego klient powinien wykonać niezbędne czynności w celu wyeliminowania nieprawidłowości wskazanych w raporcie. Po upływie tego okresu następuje kolejna weryfikacja (tzw. audyt kontrolny), na bazie której zostaje przygotowany raport końcowy. Zawiera on informacje o przeprowadzonych przez klienta czynnościach naprawczych wskazanych w raporcie poaudytowym w celu zminimalizowania zagrożeń mających wpływ na bezpieczeństwo informacji.

Klient po otrzymaniu raportu ma możliwość wykorzystania go do dalszych prac nad minimalizacją ryzyka utraty informacji oraz wykorzystania go do dalszych prac nad wdrażaniem polityki bezpieczeństwa informatycznego lub systemu zarządzania bezpieczeństwem informacji.

Audyty legalności oprogramowania

Zarządzanie oprogramowaniem jest to proces zapewniający pełną kontrolę nad licencjami, dający pewność, iż są one wykorzystywane w sposób zgodny z prawem i przynoszą maksimum korzyści.
Podstawą efektywnego zarządzania zasobami informatycznymi jest wiedza o tym, jakie stacje robocze, serwery, systemy operacyjne i aplikacje wchodzą w ich skład. Sposobem uzyskania wyczerpujących i aktualnych informacji o zainstalowanym oprogramowaniu, posiadanych licencjach oraz zasobach sprzętowych jest audyt oprogramowania. Pozwala on zoptymalizować zakupy i umożliwia administratorom szybsze i bardziej precyzyjne reagowanie - zwłaszcza w sytuacjach awaryjnych.
ITNS Polska jako Microsoft Certified Partner wdraża zasady i procedury zarządzania oprogramowaniem na terenie całego kraju. W ramach usług audytowych zapewniamy:

• poufność informacji w ramach umowy między partnerami,
• niezależność firmy jako audytora zewnętrznego,
• pełny zakres obsługi technicznej i szkoleniowej,
• profesjonalizm w zakresie wykonywanych prac potwierdzony międzynarodowymi kompetencjami Microsoft oraz referencjami klientów.

Po co mi audyt oprogramowania?

Jest to częste pytanie naszych klientów, którzy wahają się przed podjęciem decyzji zlecenia audytu oprogramowania. Wystarczy odpowiedzieć na n/w pytania aby uświadomić sobie, iż zarządzanie oprogramowaniem w mojej firmie jest niezbędne:

• Czy wiesz, ile komputerów, notebooków i serwerów używanych jest obecnie w Twojej firmie?
• Czy wiesz, jakie programy znajdują się na komputerach, notebookach i serwerach?
• Czy masz wykupioną licencję na wszystkie programy zainstalowane na komputerach, notebookach i serwerach?
• Czy używane oprogramowanie występuje w wystarczającej ilości?
• Czy używane oprogramowanie nie straciło ważności lub jest niepotrzebne?
• Czy jesteś pewien, że nikt z pracowników nie sporządził nieautoryzowanych kopii oprogramowania lub nie ściągnął plików multimedialnych?
• Czy każdy z pracowników ma zablokowaną możliwość zmian w konfiguracji?
• Czy pracownicy zostali odpowiednio przeszkoleni?
• Czy oprogramowanie zainstalowane na Twoich komputerach, notebookach i serwerach kupowane było u renomowanych dostawców?
• Czy Twoja firma ma opracowane na piśmie zasady używania oprogramowania i zakupu licencji na oprogramowanie?

Jeśli odpowiedziałeś „nie” na którekolwiek z tych pytań lub, jeśli nie jesteś pewien jak na nie odpowiedzieć powinieneś przeprowadzić audyt oprogramowania a następnie wdrożyć system zarządzania oprogramowaniem.

copyright © 2002-2012 ITNS Sp. z o.o.::projekt i wykonanie: netprofi