Аудит системы мониторинга информационных систем

Мониторинг информационных систем представляет собой совокупность применяемых мер, средств и методов постоянного наблюдения и анализа событий в организации с целью выявления нарушений, угроз безопасности информации и уязвимостей в информационных системах.
Системы мониторинга информационных систем собирают колоссальный объем данных в структурированном виде и реализуют функцию хранения таких данных. Она позволяет предотвратить возникновение нештатной ситуации, определив по собранным данным угрозу работоспособности ИТ-системы организации либо отдельных её сегментов. Благодаря системе мониторинга ИС выявленные проблемы можно решить быстрее, чем они повлекут нарушения безопасности ИС.

Проведение аудита может осуществляться согласно следующим нормативным документам:

1. ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования
2. ГОСТ Р ИСО/МЭК ТО 18044-2007 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности
3. Международный стандарт ISO/IEC 17799 «Информационные технологии. Управление информационной безопасностью»
   либо иным, по желанию Заказчика.”

Программы для проведения мониторинга информационных систем

Ключевой задачей систем мониторинга ИТ является получение, сохранение и анализ информации о состоянии подконтрольных элементов ИТ структуры компании. Специальная программа позволяет оперативно отреагировать на возникшую проблему в работе ИТ сервисов, а также эффективно предотвращать возникновение неполадок.
Рассмотрим мониторинг информационных систем на платформе двух систем Zabbix и Microsoft System Center Operations Manager.

Системы мониторинга, построенные на базе платформы Zabbix, имеют распределенную трехуровневую архитектуру — уровни сбора, обработки и представления данных, обеспечивающую поэтапное развитие и расширение функциональных возможностей и позволяющую удовлетворять самым жестким отраслевым требованиям по информационной безопасности, благодаря гибкому управлению потоками данных и независимости компонентов.

Трехуровневая архитектура системы мониторинга

Решение Microsoft System Center Operations Manager – это комплексное средство мониторинга работы ИТ-инфраструктуры, начиная от оборудования и заканчивая критически важными сервисами. Благодаря глубокой интеграции с операционными системами и приложениями, а также системе анализа и прогнозирования, использование Operations Manager позволяет получить единую централизованную службу мониторинга и предупреждения инцидентов, что является особенно важным в организации.

Наиболее распространенной программой этого класса систем являются электронные таблицы MS Excel. Также используется универсальное аудиторское программное обеспечение, которое специально разработано для целей проведения аудиторских проверок. Существуют специализированные программные комплексы, позволяющие автоматизировать процесс анализа исходных данных и расчета значений рисков при аудите безопасности. Примеры таких комплексов – “Гриф” и “Кондор” компании Digital Security, а также “АванГард”, разработанный в Институте системного анализа РАН.

Для чего нужен аудит системы мониторинга информационных систем

В первую очередь аудит системы мониторинга информационной системы предназначен для получения объективной и независимой оценки степени ее защищенности, как от внешних, так и от внутренних злоумышленников, а также формирование организационно распорядительной документации, описывающей полномочия и ответственность сотрудников организации, имеющих доступ к информационной системе.

Основная цель аудита – проверка, анализ и оценка эффективности реализации мероприятий системы мониторинга в информационных системах, операционной системе, средствах защиты информации, сегментах вычислительных сетей.

В настоящее время в практике аудита используют программное обеспечение, которое позволяет удобно автоматизировать процессы получения данных из различных источников и сводить их в единый формат для анализа состояния системы мониторинга.

Анализ событий информационной безопасности должен проводиться для всех событий, подлежащих регистрации, с периодичностью, установленной во внутренней нормативной документации и информационных системах, и обеспечивать своевременное выявление признаков нарушений безопасности информации (например, не назначен ответственный, неосведомленность в использовании средств системы мониторинга, нарушения и сбои в формировании и сборе данных о событиях, несанкционированный доступ к данным о событиях защиты информации и т.д.)

Аудит позволяет выявить слабые стороны системы мониторинга информационных систем, тем самым повысить безопасность и оптимизировать систему мониторинга ИС.

Аудит системы мониторинга информационных систем нужен для:

• получения объективной и независимой оценки степени защищенности ИС.
• анализа текущего состояния системы мониторинга и её частей, насколько действенны и надежны средства, используемые в информационных и операционных системах, средствах защиты информации, сегментов вычислительной сети.
• модернизации системы мониторинга организации и приведение к такому состоянию, которое требуется в соответствии с документацией, принятой в организации и государственными нормативными актами.
• определение основных направлений совершенствования системы мониторинга организации.

Аудит позволяет:

• Оптимизировать штат персонала, за счет, например, регламентирования мониторинга и составления периодического календаря работ.
• Повысить эффективность применяемых технических решений за счет их настройки и/или размещения (например, сканеры уязвимостей можно переносить в сегменты сети с максимальным числом критичных хостов, а серверы SIEM кластеризовать между арендованным в ЦОД оборудованием и собственными вычислительными мощностями).
• Минимизировать затраты на систему мониторинга за счет диверсификации или, напротив, сепарации облачных и локальных решений.
• Повысить общий уровень информационной безопасности и операционной надежности за счет грамотного анализа элементарных результатов мониторинга, таких как повышение сетевой нагрузки и изменение числа установленных приложений.
• Выработать рекомендации по внедрению новых и повышению эффективности существующих механизмов безопасности информационных систем.
• Получить оценку выполнения требований законодательства, нормативных документов, корпоративных стандартов, общепризнанных рекомендаций и стандартов.
• Защитить сегменты сети или отдельные хосты от несанкционированных действий.
• Выявить правильность проводимых мероприятий в целях защиты информации, которые должны соответствовать предъявленным требованиям к ИС безопасности информации.

Как проходит аудит

При осуществлении аудита мониторинга информационной безопасности в информационных системах, должна обеспечиваться возможность получения информации о зарегистрированных событиях безопасности и иных данных от различных источников, таких как: средства защиты информации, общесистемное и прикладное программное обеспечение, специальное программное обеспечение и программы-сервисы, иные источники данных.

Перед началом проведения аудита эксперты RTM Group проводят проверку сведений об организации системы мониторинга. В зависимости от архитектуры системы (технически – при помощи SIEM- или организационно – посредством выделения сотрудника для осуществления мониторинга) проводится построение этапов аудита.

Компетентные выводы относительно положения дел в компании с информационной безопасностью могут быть сделаны аудитором только при условии наличия всех необходимых исходных данных для анализа. Аудиторское обследование начинается с получения информации об организационной структуре пользователей ИС и обслуживающих подразделений. Назначение и принципы функционирования ИС во многом определяют существующие риски и требования безопасности, предъявляемые к системе. Далее, аудитору требуется более детальная информация о структуре ИС. Это позволит уяснить, каким образом осуществляется распределение механизмов безопасности по структурным элементам и уровням функционирования ИС.

Основные этапы проведения аудита

Этапы проведения аудита системы мониторинга информационных систем:

1. Интервью с ответственным сотрудником за мониторинг информационных систем и анализ имеющейся документации. На данном этапе, как правило, уточняются требования к результатам, согласовывается перечень рисков, которые необходимо рассмотреть и оценить. Также определяются границы аудита, то есть список бизнес-процессов и подразделений, которые будут исследоваться (3 недели)
2. Формирование рабочей группы. В состав рабочей группы должны входить специалисты компании исполнителя (компании проводящей аудит) и сотрудники компании заказчика. Сотрудники заказчика обеспечивают представление всей необходимой информации, контролируют процессы проведения обследования, а также участвуют в согласовании его результатов (промежуточных и конечных). Специалисты исполнителя отвечают за квалифицированное проведение работ по обследованию предметных областей в соответствии с определенными целями и задачами проекта, согласуют процессы и результаты проведения обследования (1 неделя)
3. Сбор первичной информации и ее анализ (приказы, акты контроля, журналы инцидентов и т.д.) и предоставленных данных по уровням мониторинга информационной безопасности (8 недель):
   • • уровень источников данных (средства защиты информации; программное обеспечение; программно-технические средства; информационные сервисы и приложения; операционные системы, СУБД).
     • уровень сбора данных (сбор исходных данных (логи) в объеме, необходимом для проведения анализа и различного рода оценок состояния информационной безопасности.
     • уровень хранения и обработки данных (какие функции и меры реализованы для хранения, обработки данных мониторинга; сроки и формат хранения данных о событиях информационной инфраструктуры проверяемой организации.
     • уровень представления информации данных мониторинга (результаты событий в ИС: данные от различных источников в ИС; корреляция данных (логов); контроль, учёт и статистический анализ собираемых данных; выявление и поиск инцидентов информационной безопасности; получение данных о новых угрозах. (анализ инцидентов).
4. Проведение тестирования системы мониторинга ИС (2 недели).
5. Выявление необходимости внесения изменений в систему мониторинга информационной системы (2 недели)
6. Проведение итоговой оценки соответствия нормативным и законодательным актам в соответствии с полученными и обработанными свидетельствами (Помимо стандартных рекомендаций по устранению выявленных в ходе аудита несоответствий (замечаний), результаты аудита могут быть использованы для разработки ключевых рекомендаций по тактике и стратегии совершенствования системы IT-управления в целом и отдельных IT-процессов, а также для формирования методической основы систем внутреннего контроля и аудита за информационными технологиями организации.) (2 недели).

Результаты аудита

Проведение аудита позволяет оптимальным образом модернизировать систему мониторинга с целью не только приведения ее в соответствие тем или иным требованиям, но и повышения практической эффективности работы системы мониторинга.

В результате выполненных мероприятий подготавливается отчёт о ходе и результатах аудита.

В отчет включается:

• Результаты анализа внутренней нормативной документации
• Результаты анализа предоставленных данных по уровням мониторинга информационной безопасности
• Результаты тестирования системы мониторинга ИС
• Отчёт об оценке системы мониторинга информационных систем
• Перечень рисков, имеющихся в действующей системе
• Качественная оценка соответствия выбранным нормативным актам или стандартам
• Используемые методы проведения аудита
• Рекомендации по устранению выявленных недостатков

Почему RTM Group?

• Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
• Аудиты проводятся экспертами обладающими большим опытом проведения оценки соответствия по 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П и ГОСТ 57580.1
• Мы обладаем лицензиями:
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты