Для чего предназначены программы протоколирования и аудита

Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе предприятия. У каждого сервиса свой набор возможных событий, но в любом случае их можно подразделить на внешние (вызванные действиями других сервисов), внутренние (вызванные действиями самого сервиса) и клиентские (вызванные действиями пользователей и администраторов). К числу регистрируемых событий относятся:

— выход из системы;

— обращение к удаленным системам;

— операции с файлами;

— смена привилегий или иных атрибутов безопасности.

Полный перечень событий, потенциально подлежащих регистрации, зависит от специфики системы и избранной политики безопасности.

Перечислим информацию, которую нужно регистрировать:

— тип события (вход, выход);

— результат действия (успех или неудача);

— имена затронутых объектов;

— запись изменений в БД защиты;

Аудит — это анализ накопленной информации, проводимый оперативно, (почти) в реальном времени, или периодически (например, раз в день).

Разработка программы внутренних аудитов. Что необходимо учитывать?

Реализация протоколирования и аудита преследует следующие главные цели:

1. Обеспечение подотчетности пользователей и администраторов. Обеспечение подотчетности важно в первую очередь как средство сдерживания. Если пользователи и администраторы знают, что все их действия фиксируются, они, возможно, воздержатся от незаконных операций.

Очевидно, если есть основания подозревать какого-либо пользователя в нечестности, можно регистрировать его действия особенно детально, вплоть до каждого нажатия клавиши. При этом обеспечивается не только возможность расследования случаев нарушения режима безопасности, но и откат некорректных изменений (если в протоколе присутствуют данные до и после модификации). Тем самым защищается целостность информации.

2. Обеспечение возможности реконструкции последовательности событий. Реконструкция последовательности событий позволяет выявить слабости в защите сервисов, найти виновника вторжения, оценить масштабы причиненного ущерба и вернуться к нормальной работе.

3. Обнаружение попыток нарушений информационной безопасности. Обнаружение попыток нарушений информационной безопасности — тема сложная, требующая, вообще говоря, привлечения методов искусственного интеллекта. Как выявлять подозрительные события?

Иногда это легко (что может быть подозрительнее последовательности неудачных входов в систему?), иногда сложно (некто больше обычного пользуется модемом, чтобы передать за пределы организации конфиденциальную информацию). В любом случае, организуя оперативный или периодический аудит, следует сформулировать для себя или для программы критерии отбора записей, требующих детального анализа. При правильной постановке подобная деятельность может существенно усилить защиту.

4. Предоставление информации для выявления и анализа проблем. Выявление и анализ проблем могут помочь улучшить такой параметр безопасности, как доступность. Обнаружив узкие места, можно попытаться переконфигурировать или перенастроить систему, снова измерить производительность и т.д.

Что такое аудит? Какие виды аудита существуют? Зачем нужен аудит информационной безопасности?

Пожалуй, протоколирование, как никакое другое средство безопасности, требует для своей реализации здравого смысла. Какие события регистрировать? С какой степенью детализации? На подобные вопросы невозможно дать универсальные ответы.

Необходимо следить за тем, чтобы, с одной стороны, достигались перечисленные выше цели, а, с другой стороны, расход ресурсов не выходил за разумные рамки. Слишком обширное или детальное протоколирование не только снижает производительность сервисов (что отрицательно сказывается на доступности), но и затрудняет аудит, то есть не увеличивает, а уменьшает информационную безопасность.

Еще одна особенность протоколирования и аудита — зависимость от других средств безопасности. Идентификация и аутентификация служит отправной точкой подотчетности пользователей, логическое управление доступом защищает конфиденциальность и целостность регистрационной информации. Возможно, для защиты привлекаются и криптографические методы.

Трудной проблемой является организация согласованного протоколирования и аудита в распределенной разнородной системе.

Во-первых, некоторые компоненты, важные для безопасности (например, маршрутизаторы), могут не обладать своими ресурсами протоколирования; в таком случае их нужно экранировать другими сервисами, которые возьмут протоколирование на себя.

Во-вторых, необходимо увязывать между собой события в разных сервисах. Без импорта регистрационной информации в базу данных и применения SQL-средств это не представляется возможным.

Источник: studopedia.su

Лекция №9: Протоколирование и аудит

Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе. У каждого сервиса свой набор возможных событий, но в любом случае их можно разделить на внешние (вызванные действиями других сервисов), внутренние (вызванные действиями самого сервиса) и клиентские (вызванные действиями пользователей и администраторов).

Аудит – это анализ накопленной информации, проводимый оперативно, в реальном времени или периодически (например, раз в день). Оперативный аудит с автоматическим реагированием на выявленные нештатные ситуации называется активным.

Реализация протоколирования и аудита решает следующие задачи:

• обеспечение подотчетности пользователей и администраторов;
• обеспечение возможности реконструкции последовательности событий;
• обнаружение попыток нарушений информационной безопасности;
• предоставление информации для выявления и анализа проблем.

Протоколирование требует для своей реализации здравого смысла. Какие события регистрировать? С какой степенью детализации? На подобные вопросы невозможно дать универсальные ответы. Необходимо следить за тем, чтобы, с одной стороны, достигались перечисленные выше цели, а, с другой, расход ресурсов оставался в пределах допустимого.

Слишком обширное или подробное протоколирование не только снижает производительность сервисов (что отрицательно сказывается на доступности), но и затрудняет аудит, то есть не увеличивает, а уменьшает информационную безопасность.

Разумный подход к упомянутым вопросам применительно к операционным системам предлагается в «Оранжевой книге», где выделены следующие события:

• вход в систему (успешный или нет);
• выход из системы;
• обращение к удаленной системе;
• операции с файлами (открыть, закрыть, переименовать, удалить);
• смена привилегий или иных атрибутов безопасности (режима доступа, уровня благонадежности пользователя и т.п.).

При протоколировании события рекомендуется записывать, по крайней мере, следующую информацию:

• дата и время события;
• уникальный идентификатор пользователя – инициатора действия;
• тип события;
• результат действия (успех или неудача);
• источник запроса (например, имя терминала);
• имена затронутых объектов (например, открываемых или удаляемых файлов);
• описание изменений, внесенных в базы данных защиты (например, новая метка безопасности объекта).

Еще одно важное понятие, фигурирующее в «Оранжевой книге», – выборочное протоколирование, как в отношении пользователей (внимательно следить только за подозрительными), так и в отношении событий.

Характерная особенность протоколирования и аудита – зависимость от других средств безопасности. Идентификация и аутентификация служат отправной точкой подотчетности пользователей, логическое управление доступом защищает конфиденциальность и целостность регистрационной информации. Возможно, для защиты привлекаются и криптографические методы.

Возвращаясь к целям протоколирования и аудита, отметим, что обеспечение подотчетности важно в первую очередь как сдерживающее средство. Если пользователи и администраторы знают, что все их действия фиксируются, они, возможно, воздержатся от незаконных операций. Очевидно, если есть основания подозревать какого-либо пользователя в нечестности, можно регистрировать все его действия, вплоть до каждого нажатия клавиши. При этом обеспечивается не только возможность расследования случаев нарушения режима безопасности, но и откат некорректных изменений (если в протоколе присутствуют данные до и после модификации). Тем самым защищается целостность информации.

Реконструкция последовательности событий позволяет выявить слабости в защите сервисов, найти виновника вторжения, оценить масштабы причиненного ущерба и вернуться к нормальной работе.

Активный аудит

Основные понятия

Под подозрительной активностью понимается поведение пользователя или компонента информационной системы, являющееся злоумышленным (в соответствии с заранее определенной политикой безопасности) или нетипичным (согласно принятым критериям).

Задача активного аудита – оперативно выявлять подозрительную активность и предоставлять средства для автоматического реагирования на нее.

Активность, не соответствующую политике безопасности, целесообразно разделить на атаки, направленные на незаконное получение полномочий, и на действия, выполняемые в рамках имеющихся полномочий, но нарушающие политику безопасности.

Действия, выполняемые в рамках имеющихся полномочий, но нарушающие политику безопасности, мы будем называть злоупотреблением полномочиями. Злоупотребления полномочиями возможны из-за неадекватности средств разграничения доступа выбранной политике безопасности. Простейшим примером злоупотреблений является неэтичное поведение суперпользователя, просматривающего личные файлы других пользователей. Анализируя регистрационную информацию, можно обнаружить подобные события и сообщить о них администратору безопасности, хотя для этого необходимы соответствующие средства выражения политики безопасности.

Средства активного аудита могут располагаться на всех линиях обороны информационной системы. На границе контролируемой зоны они могут обнаруживать подозрительную активность в точках подключения к внешним сетям (не только попытки нелегального проникновения, но и действия по «прощупыванию» сервисов безопасности). В корпоративной сети, в рамках информационных сервисов и сервисов безопасности, активный аудит в состоянии обнаружить и пресечь подозрительную активность внешних и внутренних пользователей, выявить проблемы в работе сервисов, вызванные как нарушениями безопасности, так и аппаратно-программными ошибками. Важно отметить, что активный аудит, в принципе, способен обеспечить защиту от атак на доступность.

Средства активного аудита строятся в архитектуре менеджер/агент. Основными агентскими компонентами являются сенсоры. Анализ, принятие решений – функции менеджеров. Очевидно, между менеджерами и агентами должны быть сформированы доверенные каналы.

Источник: megaobuchalka.ru

Автоматизация внутреннего аудита и аудита внешнего поставщика

Автоматизация аудита систем менеджмента с помощью программного решения позволяет повысить эффективность и качество этого процесса. Рассмотрим необходимость автоматизации аудитов систем менеджмента и преимущества использования программного решения для проведения аудитов.

Аудит – это систематический, независимый и документированный процесс получения свидетельств аудита и их объективного оценивания для определения степени соответствия критериям аудита (ISO 19011:2018 / ГОСТ Р ИСО 19011-2021).

Цель аудита состоит в сборе объективных свидетельств, которые позволят выявить несоответствия в процессах, продуктах (услугах) и др. Информация, которая получена в рамках аудита, является основой для улучшения системы менеджмента.

Необходимость проведения аудитов обусловлена тем, что важно получать непредвзятую информацию от незаинтересованных лиц о различных элементах бизнеса, о выполнении запланированных мероприятий, о соответствии установленным требованиям.

Сегодня автоматизация бизнес-процессов охватила многие отрасли и сферы деятельности, однако процесс проведения аудитов в большинстве компаний не автоматизирован. Как правило, планирование, проведение аудитов и контроль за выполнением корректирующих действий осуществляется с помощью документов Word или Excel. Осуществление аудитов без использования программных решений требует большого количества времени и других ресурсов, а также часто приводит к ошибкам в работе: системным (например, ошибки в алгоритме проведения аудита, ошибки при формулировке вопросов, ошибки в справочной базе) и случайным (например, потеря данных при заведении, технический сбой, ошибки в расчетах). Автоматизация процесса проведения аудита позволяет повысить эффективность и качество этого процесса. Но самостоятельно предприятиям автоматизировать процесс проведения аудитов довольно сложно по следующим причинам:

• трудности при формализации процесса проведения аудита (сложности алгоритмизации процесса);
• отсутствие единого подхода к планированию и проведению аудита в разных компаниях;
• сложности систематизации результатов, полученных при подготовке и проведении аудита;
• сложности анализа большого количества требований, которые могут быть критериями аудита (требования международных стандартов, требования законодательства и др.);
• наличие особенностей у разных отраслей, которые нужно учесть при разработке ПО.

Этот перечень не является исчерпывающим. Хочется отметить, что перечень проблем, которые встают на пути цифровизации, всё время пополняется, но есть готовые решения, автоматизирующие проведение любых аудитов систем менеджмента и постоянно адаптирующиеся к современным условиям.

Мы, команда ИнтерКонсалт, в результате многолетнего опыта работы с малыми и крупными предприятиями выявили потребность создания цифровых решений для внедрения систем менеджмента на основе международных стандартов, в частности, потребность в автоматизации аудитов. Всё это привело к тому, что мы выделили IT-отдел в отдельную компанию ООО «Грэйт», которая непосредственно занимается разработкой цифровых решений и имеет статус (аккредитацию Минцифры РФ) IT-компании. Грэйт – дочерняя компания ИнтерКонсалт.

Облачное программное решение GRAIT Audit, автоматизирующее проведение любых аудитов систем менеджмента

Существенным преимуществом разработки IT-продуктов ИнтерКонсалт является объединение научно-практического опыта работы консультантов на проектах по разработке и внедрению систем менеджмента, IT-образования и навыков в разработке программного обеспечения. Это в комплексе представляет синергию и позволяет агрегировать и реализовать в продуктах накопленный научно-практический опыт.

Общие сведения о GRAIT Audit

Облачное программное решение GRAIT Audit – это продукт, который был создан с учётом лучших практик и передового опыта проведения аудитов.

ПО GRAIT Audit создано для проведения аудитов первой стороны (внутренний аудит) и аудитов второй стороны (аудит внешнего поставщика и / или другой внешней заинтересованной стороны).

Для каких организаций предназначено ПО

Данное IT-решение для автоматизации аудита систем менеджмента предназначено для:

• организаций любого размера, любой отрасли, которые хотят оптимизировать процесс проведения внутренних аудитов у себя в компании;
• консалтинговых и сертифицирующих компаний, призванных помочь бизнесу успешно развиваться путем корректного выявления и устранения несоответствий в существующей системе на любой стадии жизненного цикла компании;
• сетевого ритейла для проведения аудита любого участника цепочки поставок;
• частных аудиторов, которые хотят сократить время на планирование, проведение аудита и составление отчета по результатам аудита с рекомендациями.

Цели использования ПО

Программное решение помогает:

• оптимизировать работу и организовать процесс проведения аудитов в любой компании в соответствии с международным стандартом ISO 19011;
• быстро и грамотно провести любой аудит, сформировать понятный и грамотный отчет;
• определить степень соответствия требованиям международных стандартов систем менеджмента (аудит систем менеджмента);
• определить слабые и сильные стороны, конкретные узкие места для принятия решений по формированию стратегии бизнеса и оптимизации бизнес-процессов компании (внутренний аудит);
• ускорить обучение новых аудиторов и проводить аудиты специалистами с любым уровнем подготовки без потери качества.

Особенно важно отметить, что программное решение GRAIT Audit содержит примеры готовых чек-листов, примеры формулировок несоответствий и рекомендаций по каждому требованию многих международных стандартов, подготовленных профессионалами.

В рамках внедрения систем менеджмента на малых и крупных предприятиях консультантами ИнтерКонсалт было выявлено, что у лиц, которые только начинают проводить аудиты систем менеджмента в своей компании, часто возникают вопросы, связанные с подготовкой чек-листов, формулировкой несоответствий и разработкой рекомендаций. Всё это было учтено при разработке ПО GRAIT Audit.

Это решение содержит готовые примеры, которые можно адаптировать для разных отраслей. Также программное решение GRAIT Audit содержит шаблоны, которые уже учитывают особенности некоторых отраслей. Так, например, в ПО есть примеры для молочной, кондитерской и мясной отраслей. Ценность данного цифрового решения состоит в том, что предустановленные шаблоны чек-листов постоянно актуализируются с учётом происходящих изменений и база дополняется новыми шаблонами.

При помощи программного обеспечения для автоматизации аудита систем менеджмента можно сделать следующее:

• создать неограниченное количество шаблонов своих чек-листов для проверки;
• воспользоваться уже готовым (предустановленным) набором чек-листов со стандартными вариантами формулировок несоответствий и рекомендаций, составленных на основе опыта проведения аудитов;
• разработать детальный план аудита с возможностью распределения вопросов между разными аудиторами, выгрузить краткий и подробный план аудита;
• каждому аудитору до начала аудита изучить план и сформировать заметки по каждому критерию чек-листа;
• при проведении аудита использовать готовые варианты формулировок несоответствий и рекомендаций с возможностью их правки;
• контролировать руководителям процесс проведения аудита;
• во время аудита сразу в качестве доказательств прикреплять по каждому критерию фото или скан документа;
• быстро сформировать общий отчет по результатам аудита с количественной оценкой степени соответствия критериям аудита, с общими и детальными выводами и рекомендациями (рисунок 4);
• сформировать файл со всеми несоответствиями для формирования плана корректирующих действий и их исполнения.

Для планирования, проведения и подготовки заключений по результатам аудита разработан интуитивно понятный интерфейс, который визуально разделен на удобные блоки (рисунки 1, 2, 3, 4).

Рисунок 1 – Интерфейс «Главная страница»

Рисунок 2 – Интерфейс «Планирование аудита. Гибкая настройка»

Рисунок 3 – Интерфейс «Ответ на чек-лист»Ответ на чек-лист

Рисунок 4 – Отчет в Excel

Рисунок 5 – Сводные результаты аудита по всем объектам аудита в Word

Выгоды от использования GRAIT Audit

Выгоды от использования ПО «GRAIT Audit» представлены на рис. 6. Использование ПО GRAIT Audit позволяет:

• повысить качество процесса за счет минимизации ошибок при работе с ПО, грамотного планирования проведения аудитов, автоматического расчета оценок аудита, понятного интерфейса отчетов, осуществления контроля в режиме онлайн;
• минимизировать издержки за счет оптимизации расходов на привлечение сторонних аудиторов (до 80%), сокращения времени на подготовку чек-листов (до 90%) и формирование отчета (до 70%), оптимизации прочих затрат (от 30% до 99%);
• сэкономить время на планирование аудита (>60%), проведение аудита (>75%), подготовку отчета (>90%), выгрузку отчета (до 99%).

Рисунок 6 – Выгоды от использования ПО GRAIT Audit

Источник: www.iksystems.ru