Введение 4
Глава 1 Анализ внутреннего аудита информационной безопасности ТОО «KARCHER» 7
1.1 Анализ задач и структуры ТОО «KARCHER» 7
1.2 Анализ и технологии проведения внутреннего аудита информационной
безопасности ТОО «KARCHER» 14
1.3 Анализ угроз информационной безопасности ТОО «KARCHER»,
требующие решения 20
Глава 2 Пути решения выявленных угроз информационной безопасности 26
2.1 Анализ путей решения выявлен угроз информационной безопасности в
функционировании ТОО «KARCHER» 26
2.2 Возможности системы SIEM для аудита информационной безопасности
организации 32
2.3 Интеграция внутреннего аудита информационной безопасности в систему
программного обеспечения компании 42
Глава 3 Реализация разработанной технологии внутреннего аудита информационной безопасности компании ТОО «KARCHER» 45
3.1 Характеристика общей структуры системы аудита информационной
безопасности 45
3.2 Алгоритмы работы модулей корреляции и прогнозирования 46
3.3 Корреляция общей структуры системы аудита информационной
безопасности 50
Глава 4 Тестирование разработанной технологии внутреннего аудита информационной безопасности компании ТОО «KARCHER» и анализ результатов тестирования 58
4.1 Этапы работы SIEM системы 58
4.2 Имитационное моделирование обнаружения атак 60
4.3 Имитационное моделирование построения вектора уже обнаруженных
атак 63
4.4 Оценка эффективности SIEM-системы 65
Заключение 67
Список используемых источников 69
Приложение А Статистика роста целевых атак 73
Приложение Б Блок-схема алгоритма работы программы
Информационная безопасность компании, общественной организации или производственного предприятия - это комплекс мероприятий, направленных на предотвращение несанкционированного доступа к внутренней IT-инфраструктуре, незаконного завладения конфиденциальной информацией и внесения изменений в базы данных.
Учитывая важность информации в современном мире, защите от утечек конфиденциальной информации в адрес конкурентов необходимо уделять повышенное внимание. Возможный ущерб может быть намного большим, чем стоимость всех материальных активов предприятия.
Внутренний аудит можно рассматривать как регламентированную внутренними документами компании деятельность по контролированию системы управления и различных аспектов функционирования компании, исполняемую представителями особого контрольного органа в рамках помощи органам управления предприятию.
Главная цель внутреннего аудита заключается в предоставлении массы объективной и своевременной информации о управленческой деятельности организации для совета директоров (либо общего собрания) с целью достижения ряда общекорпоративных целей и соблюдения стандартов по ведению бизнеса.
Актуальность темы «Исследование методов проведения внутреннего аудита информационной безопасности транспортной компании» обуславливает тот факт, что с каждым годом угрозы взлома информационных систем и компрометации данных становятся все более и более актуальными, более того вектор угроз смещается от простых методов к серьезным, продуманным и нетривиальным атакам. По итогам третьего квартала 2019 года экспертами Positive Technologies был отмечен рост числа целенаправленных атак по сравнению с 2018 годом [АОК-1-01з] (см. приложение А).
Такие атаки называются APT-атаками(Advanced persistent threat) и направленны они на конкретную организацию или отрасль промышленности или бизнеса. По данным ФинЦЕРТ, за 2018 год было зафиксировано 687 атак на организации кредитно-финансовой отрасли. Из них 177 являлись целевыми.
Только от группировок Cobalt и Silence за 2018 год ущерб составил 58 млн. рублей. Одна такая атака может проводиться на протяжении нескольких месяцев, что существенно затрудняет ее обнаружение, так как администратор безопасности может и не заметить связи между несколькими событиями на отрезке в несколько недель, а специализированные системы обнаружения вторжений зачастую работают только с одним сегментом информационной системы, будь то сеть или управление контролем доступа. Такие СОВ не видят полной картины.
Для решения подобной задачи может потребоваться более комплексное программное обеспечение, способное не просто замечать признаки попыток нарушения конфиденциальности, целостности и доступности информационной системы и данных в ней, но и находить взаимосвязи между такими событиями.
Для всего этого подойдет система мониторинга и управления событиями информационной безопасности, такая система способна находить корреляции между различными событиями ИБ. В проекте, решается задача по разработке SIEM-системы, с добавлением к ней возможности сопоставления обнаруженных событий информационной безопасности признакам APT-атак.
Задача разработки собственной реализации системы мониторинга ставится, вследствие невозможности использовать представленные на рынке варианты SIEM-систем «из коробки». Для каждой такой системы необходима полноценная настройка, учитывающая специфику предприятия, необходимо создание дополнительных правил для обнаружения инцидентов информационной безопасности, месяцы накопления статистики и корректировка уже созданных правил обнаружения. Все это требует дополнительных расходов и привлечения группы специалистов.
Основное направление в проекте сделано на разработку SIEM-системы, опирающуюся на категорирование признаков APT-атак. Это позволит обнаружить целевую атаку на предприятие при минимальной настройке, что существенно сокращает время развертывания и финансовые издержки. В первом разделе будет проанализирована общая информация о предприятии, необходимая для развертывания системы мониторинга безопасности.
Целью данной работы является исследование методов проведения внутреннего аудита информационной безопасности транспортной компании на примере.
Задачи:
- проанализировать цель, методы и технологии проведения внутреннего аудита информационной безопасности ТОО «KARCHER»;
- выявить проблемы и угрозы информационной безопасности ТОО «KARCHER», требующие решения ;
- выбрать методологию решения поставленных проблем: методы аудита информационной безопасности организации , интеграцию внутреннего аудита информационной безопасности в систему программного обеспечения компании;
- разработать технологию внутреннего аудита информационной безопасности компании ТОО «KARCHER»;
- протестировать разработанную технологию внутреннего аудита информационной безопасности компании ТОО «KARCHER» и анализ результатов тестирования.
Объектом исследования в работе выступает транспортная компания ТОО «KARCHER».
Предметом исследования в работе является механизм проведения внутреннего аудита информационной безопасности.
Методы исследования. При проведении исследования настоящей темы использовались методы анализа и синтеза, логический, сравнительный, системно-структурный, метод описания и изложения.
Практическая значимость результатов исследования состоит в разработке направлений совершенствования системы внутреннего аудита информационной безопасности компании.
Структура работы представлена введением, тремя главами, заключением и списком используемых источников.
В качестве объекта исследования в работе выступает компания ТОО «KARCHER». Информационную систему компании включают, в основном, данные о перевозимых грузах, схемах перевозок, перевозимом товаре. Учет всей входной информации осуществляется с помощью ряда компонентов - программ.
Основной целью проведения внутреннего аудита информационной безопасности компании является определение перечня возможных угроз предприятия. Выделяют два типа нарушителей: внутренние и внешние. Для оценки угроз применяется система уровней защищенности.
В целях проведения аудита информационной безопасности сетевой инфраструктуры осуществляется сбор и анализ большого массива данных за определенный период времени. Так же требуется периодически осуществлять повторение процедур сбора и анализа сетевых данных для более полного представления о возможных проблемах в сети.
Наиболее распространенной системой внутреннего аудита выступает система типа SIEM (Security information and event management), которые позволяют осуществлять процедуры аудита сетевой инфраструктуры в процессе ее эксплуатации непрерывно. Целью данного типа аудита является определение того, на сколько сетевая инфраструктура соответствует предъявляемым к ней требованиям информационной безопасности (ИБ). Таким образом определяется так же уровень защищённости информационных сетевых компонентов корпоративной информационной системы (КИС) предприятия.
Формирование и применение при проведении аудита ИБ оценки соответствия для защитных мер и оценки возможности для процессов управления ИБ создаст наиболее адекватные информационные потребности для улучшения и совершенствования ИБ объекта.
Разработка и внедрение специализированной системы внутреннего аудита информационной безопасности может способствовать повышение общего уровня защищенности на предприятии, за счет обнаружения отдельных событий информационной безопасности и поиска взаимосвязей между ними.
Помимо этого, успешное решение задачи разработки SIEM-системы с учетом векторов кибератак позволяет помимо самого факта обнаружения взаимосвязей между событиями информационной безопасности, сопоставить эти события признакам целевых атак и спрогнозировать дальнейшее развитие таких атак. Такой подход существенно ускоряет ответные действия, направленные на локализацию ущерба от атаки и блокирование дальнейшего ее развития.
По результатам имитационного моделирования и оценки эффективности, можно сделать вывод об успешном выполнении SIEM-системой всех возложенных на нее функций. Более того, применяя разработанную SIEM- систему, можно существенно сократить потребление программных и аппаратных ресурсов на защиту информационной системы. Это позволит либо сократить расходы на потреблении ресурсов, либо внедрить дополнительный уровень защиты, повысив общий уровень защищенности всей информационной системы.
1. ГОСТ Р 50922-2006 Защита информации. Основные термины и определения
2. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 14.02.2008.
3. Методика определения угроз безопасности информации в информационных системах, проект 2015 г
4. Аджиева А.И., Тхагапсова С.К.Г. Роль внутреннего аудита в системе экономической безопасности предприятия // Естественно¬гуманитарные исследования. - 2020. - № 31 (5). - С. 322-325.
5. Афанасьев А.Д., Маринов А.А. Методика построение практического занятия в виде деловой игры для дисциплины «аудит информационной безопасности» // Современные проблемы профессионального образования: опыт и пути решения. - 2020. - С. 43-46.
6. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15.02.2008.
7. Баранова А.Е. Цифровизация аудита информационной безопасности бухгалтерии в страховом бизнесе // XQI МЕЖДУНАРОДНЫЕ НАУЧНЫЕ ЧТЕНИЯ (ПАМЯТИ П.П. ЛАЗАРЕВА). - 2020. С. 10-14.
8. Борубаев М.Ч., Омурзаков Т.У., Джапаров А.А. Применение метода тестирования при проведении внутреннего аудита информационной безопасности // Современные проблемы механики. - 2019. - № 38 (4). - С. 39-45.
9. Бойченко О.В. Аудит защищенности данных в политике информационной безопасности предприятия // Проблемы информационной безопасности. - 2020. - С. 3-6.
10. Вакуленко А.А. Аудит информационной безопасности предприятия
// Стратегии и инструменты управления экономикой: отраслевой и
региональный аспект. - 2019. - № 7. - С. 218-223.
11. Вакуленко А.А. Аудит информационной безопасности предприятия
// Стратегии и инструменты управления экономикой: отраслевой и
региональный аспект. - 2019. - № 8. - С. 218-223.
12. Великанова Л.О., Luis De.S.C. Методические подходы к оценке рисков информационной безопасности организации при проведении финансового аудита // Институциональные преобразования АПК России в условиях глобальных вызовов. - 2020. - С. 58-59.
13. Глеске Д.О. Понятие аудита информационной безопасности // Вестник научных конференций. - 2020. - № 11-4 (63). - С. 26-27.
14. Гулак М.Л., Рытов М.Ю., Голембиовская О.М. Аудит информационной безопасности. Прикладная статистика: учебное пособие / Москва, 2020. - 455 с.
15. Еломанов И.Д. Научно-методическое обеспечение аудита информационной безопасности информационных систем // Радиоэлектроника, электротехника и энергетика. Тезисы докладов. - 2020. - С. 319.
16. Ермаков А.С. Концепция аудита сложных сигналов при проведении мероприятий по аттестации информационных систем по требованиям безопасности информации // Фундаментальные проблемы информационной безопасности в условиях цифровой трансформации. - 2020. - С. 149-154.
17. Курбатов А.М. Методы и средства аудита сетевой безопасности корпоративных информационных систем малых и средних производственных предприятий // Радиоэлектроника, электротехника и энергетика. Тезисы докладов. - 2020. - С. 327.
18. Ложкова А.А. Аудит информационной безопасности на предприятии // МОЛОДЕЖЬ XXI ВЕКА: ШАГ В БУДУЩЕЕ. - 2020. - № 5. - С. 120-121.
19. Палканов И.С., Рачков В.Е. Внутренний аудит информационной безопасности как инструмент получения объективных оценок состояния информационной безопасности организации // Студенческая наука для развития информационного общества. - 2019. - № 7. - С. 153-161.
20. Петренко С.А., Курбатов В.А., Петренко А.С. Автоматизация
аудита информационной безопасности на основе sap etd // The 2019 Symposium on Cybersecurity of the Digital Economy - CDE'19. - 2019. - С. 228-234. 2
21. Погудин А.А., Салита Д.С. Аудит информационной безопасности предприятия и его основные этапы // Проблемы правовой и технической защиты информации. - 2020. - №9. - С. 31-33.
22. Подтопельный В.В. Сравнительный анализ технологий аудита информационной безопасности сетевой инфраструктуры диспетчерского уровня АСУТП // Балтийский морской форум. - 2020. - № 7. - С. 306-311.
23. Самарин А. Аудит информационной безопасности ico проекта // Системный администратор. - 2019. - № 5 (198). - С. 42-47.
24. Смирнов Г.Е., Макаренко С.И. Актуальные вопросы развития теории и практики аудита информационной безопасности // Фундаментальные проблемы информационной безопасности в условиях цифровой трансформации- 2020. - № 7. - С. 192-197.
25. Стандарт Банка России СТО БР ИББС-1.3-2016 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств” (принят и введен в действие приказом ЦБР от 30 ноября 2016 г. № ОД-4234).
26. Сучалкина Е.А. Роль аудита в системе экономической безопасности предприятия // Актуальные проблемы менеджмента, экономики и экономической безопасности. - 2020. - №8. - С. 228-231.
27. Финтисов М.И. Аудит информационной безопасности в организации // Новые направления научной мысли. - 2017. - С. 58-60.
28. Хубиева З.Б. Аудит информационной безопасности - основа эффективной защиты предприятия // Актуальные проблемы развития аудита и финансового консалтинга в России. - 2017. - С. 121-125.
29. Чекулаева Е.Н., Кубашева Е.С. Методика аудита информационной безопасности предприятия с использованием причинно-следственной диаграммы // Вестник Поволжского государственного технологического университета. - 2020. - № 1 (45). - С. 58-68.
30. Шин С.А. Взаимосвязь информационной безопасности и
внутреннего аудита компании: региональное исследование // Вестник Атырауского Университета имени Х.Досмухамедова. - 2019. - № 4. - С. 158¬167.
31. Шистко Н.Е., Великанова Л.О. Оценка рисков информационной безопасности организации при проведении финансового аудита // Цифровизация экономики: направления, методы, инструменты. - 2020. С. 92-96.
32. 802.3.2-2019 - IEEE Standard for Ethernet - YANG Data Model Definitions. - URL: http://www.ieee802.org/3/(дата обращения 16.02.2021).
33. About the BSIMM. [Электронный ресурс] URL:
https://www.bsimm.com/about.html(дата обращения 01.12.2020).
34. Andrew Hay, Daniel Cid OSSEC Host-Based Intrusion Detection Guide/
Hay A. URL: http://index-of.co.uk/Hacking-Coleccion/OSSEC%20Host-
Based%20Intrusion%20Detection%20Guide.pdf (Дата обращения: 5.02.2021).
35. Neomatica [Электронный ресурс]. - URL:
https://www.neomatica.com/
36. OWASP. [Электронный ресурс] URL:
https://ru.wikipedia.org/wiki/OWASP(дата обращения: 01.12.2020).
37. Scikit-learn: Библиотека машинного обучения для языка
программирования Python [Элек-тронный ресурс]. - 2020. - URL: https://scikit- learn.org/stable/user_guide.html(дата обращения 17.02.2021).
38. Software Assurance Maturity Model. [Электронный ресурс] URL: https://www.opensamm.org/(дата обращения 01.12.2020).
39. T. Hastie; R. Tibshirani; J. Friedman. The Elements of Statistical Learning - Stanford: Springer, 2018. - 764 c.
40. Годовой отчет ТОО «KARCHER» за 2020 год