Аудит политик безопасности

XI Международная студенческая научная конференция Студенческий научный форум — 2019

АУДИТ И ПОЛИТИКА БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ

В современном мире, когда информационные технологии развиваются очень стремительно, появляются не только новые возможности, но и растут риски утечки информации. Информация является одним из самых важных критических ресурсов и требует максимальной защиты. Необходимо адекватно оценивать уровень рисков как для всей информационной инфраструктуры в целом, так и для отдельных ее частей. Для этого необходимо регулярно проводить аудит информационной безопасности предприятия и поддерживать в актуальном состоянии Политику информационной безопасности. По статистике, проведенной компанией Gemalto, в 2016 году было скомпрометировано около 1,4 млрд. записей данных вследствие хакерских атак, из которых 59% ‒ это хищение персональных данных.

У термина «аудит» существует большое количество определений. Мы будем рассматривать его как способность успешного противостояния угрозам информационной безопасности, а также как независимую экспертизу (контроль) соответствия установленным нормам отдельных областей организации. Существует два вида аудита: внешний и внутренний. Внешний аудит подразумевает под собой разовое мероприятие. Внутренний аудит – это процесс, непрерывная деятельность, осуществляемая в соответствии с планом, утвержденным в организации. Аудит информационной безопасности организации является в настоящее время очень актуальным направлением [3]. На протяжении последних нескольких лет, как в зарубежных странах, так и в России, число информационных атак растет в геометрической прогрессии, и многие из них ведут к крупным потерям. Чтобы организация могла эффективно защититься от многих видов атак, необходимо реально оценить текущий уровень безопасности информационной системы.В этом случае анализ защищенности оценивается с точки зрения потенциального злоумышленника. Аудитор при помощи специализированного программного обеспечения собирает необходимую информацию, например, конфигурацию сетевого оборудования, настройку межсетевых экранов, одним словом все то, что поможет потенциальному хакеру получить доступ к сети предприятия и нанести ущерб.

Большой популярностью пользуются специализированные программные средства для анализа безопасности информационной инфраструктуры. Рассмотрим некоторые из таких продуктов.

1. Программа «КОНДОР+» российского производства представляет анкету из большого количества вопросов, в результате ответа на которые будет сформулирована оценка уровня рисков на основании ISO 17799. 12

2. XSpider производства российской компании «PositiveTechnologies» в результате сканирования позволяет получить достоверную картину защищенности, выполнить проверку на нестандартные DDoS-атаки, провести анализ парольной политики, выявить уязвимость серверов.

3. Программное обеспечение RiskWatch одноименного разработчика ориентировано на конкретные цифры от возможных угроз безопасности системы. Метод анализа рисков с помощью программы RiskWatch включает в себя четыре этапа:

— определение предмета анализа в общих чертах;

— подробное описание характеристик, возникающие угрозы и потери от них;

— расчет рисков и меры обеспечение информационной безопасности в соответствии с этими рисками;

4. NetRecon – это сетевой сканер от компании Symantec, в его базе данных содержится большое число уязвимостей. NetRecon поможет найти уязвимости в сетевой среде, проанализировать уровень защищенности и устойчивость всех сетевых сервисов с помощью моделирования действий злоумышленника. В основе NetRecon лежит запатентованная технология UltraScan.

В соответствии с Законом «Об аудиторской деятельности» предметом аудиторской деятельности является выражение мнения о мере точности данных бухгалтерской отчетности и мере соответствия законодательству при ведении бухгалтерского учета. Следовательно, качество аудита есть тождественность мнения аудитора о достоверности бухгалтерской (финансовой) отчетности и меры ее фактических искажений. То есть, если аудитор дал заключение, что отчетность достоверна (недостоверна), и никто не доказал иного, значит, аудит проведен качественно. Иначе говоря, качество аудита можно определить, как степень необходимого и достаточного уровня доверия к мнению аудитора со стороны пользователей в отношении достоверности информации в финансовой (бухгалтерской) отчетности клиента. И здесь возникает весьма парадоксальная ситуация, при которой некоторые покупатели аудиторских услуг могут быть даже очень довольны недобросовестным аудитом. Проблема еще и в том, что аудиторы анализируют ту отчетность, которая им представлена, а она часто сфальсифицирована, и это не всегда можно выявить [1].

Очень часто в крупных организациях используется специализированное программное обеспечение, разработанное специально для решения конкретных задач. Так как такое программное обеспечение уникально в своем роде, то и стандартного средства защиты для него не существует, поэтому для оценки уровня защищенности необходимо провести специальное исследование данного программного обеспечения.

По итогам проведения процедуры аудита информационной безопасности организации формируется аудиторский отчет, он содержит в себе следующее[3]:

оценку состояния защищенности информационной инфраструктуры организации;

модель угроз и модель нарушителя;

рекомендации по минимизации рисков.

Целью проведения аудита информационной безопасности в компании является анализ соответствия используемых технологий обеспечения безопасности к допустимым уровням риска. Все проверки и оценки, связанные с защитой системы, проводятся ответственными сотрудниками и администратором безопасности.

В ходе проведения аудита могут быть выявлены ряд следующих недостатков в обеспечении безопасности информации [5]:

1. Отсутствие Политики информационной безопасности и документации, регламентирующей порядок обеспечения безопасности персональных данных.

2. Низкая осведомленность персонала в области защиты информации.

3. Ненадлежащая эксплуатация серверного оборудования.

4. Отсутствие источников бесперебойного питания.

5. Слабая парольная защита рабочих станций, а также несоблюдение правил использования паролей.

6. Отсутствие должного контроля за правами учетных записей сотрудников.

7. Отсутствие контроля над устанавливаемым и используемым сотрудниками программными обеспечениями.

8. Возможность сотрудников неконтролируемо распространять конфиденциальную информацию и персональные данные.

Политика информационной безопасности является основополагающим документом организационных мер защиты информации. Во многом успех мероприятий по защите информации зависит от эффективности Политики информационной безопасности. Политика описывает основные принципы обеспечения безопасности важных информационных ресурсов в Компании, регламентирует вопросы обеспечения конфиденциальности, целостности и доступности обрабатываемой информации в автоматизированной системе, описывает возможные действия над системой и ответственность пользователей, имеющих доступ к системе.

Также рекомендацией по обеспечению безопасности является применение базового набора мер, гарантирующих конфиденциальностьперсональных данных в соответствии с приказом № 21, утвержденным Федеральной службой по техническому и экспортному контролю РФ[2].

В ходе проведения аудита могут быть выявлены и классифицированы возможные угрозы информационной безопасности персональных данных в информационной системе персональных данных и потенциальные нарушители в соответствии с «Базовой моделью угроз безопасности персональных данных при их обработке в Информационной системе персональных данных», утвержденнойФедеральная служба по техническому и экспортному контролюРоссийской Федерации.

Таким образом, на основе полученных сведений в результате аудита информационной безопасности любая организация может разработать свою политику информационной безопасности, а также комплекс методических документов, регламентирующих порядок обеспечения безопасности в каждойинформационной системе персональных данных. Также аудит позволит оценить текущую безопасность функционирования информационной системы компании, оценить и спрогнозировать риски, управлять их влиянием на бизнес-процессы организации, корректно и обоснованно подойти к вопросу обеспечения безопасности её информационных активов, стратегических планов развития, маркетинговых программ, финансовых и бухгалтерских ведомостей, содержимого корпоративных баз данных. В конечном счете, грамотно проведенный аудит безопасности информационной системы позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание системы безопасности организации.

Список используемых источников

1.О персональных данных[Электронный ресурс]: закон РФ от 27.07.2006 № 152 (ред. от 31.12.2017)// СПС Консультант Плюс. – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_61801/

2. Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных[Электронный ресурс]:приказ ФСТЭК РФ от 18.02.2013 N 21(ред. от 23.03.2017)// СПС Консультант Плюс. – Режим доступа:http://www.consultant.ru/document/cons_doc_LAW_146520/

3.Блинов, А.М. Информационная безопасность[Текст]: учеб. Пособие / А.М. Блинов. –Санкт Петербург, 2010. – 96 с.

4. Нестеров, С.А. Основы информационной безопасности[Текст]: учеб. Пособие / С.А. Нестеров. –Москва, 2017. – 324 с.

5. Карзаева,Н. Н.Основы экономической безопасности аудита компании[Текст]: учеб. Пособие / Н.Н. Нестеров. – Москва, 2017 – 279 с.

Локальная политика безопасности. Часть 3: Политика аудита

Введение

Как я говорил ранее, в наше время стоит заботиться о безопасности пользовательских учетных записей и конфиденциальности информации вашего предприятия. Из предыдущих статей по локальным политикам безопасности вы узнали о методах использования локальных политик безопасности и о политиках учетных записей, при помощи которых вы смогли значительно повысить безопасность учетных записей пользователей. Теперь, после того как политики безопасности учетных записей у вас правильно настроены, злоумышленникам будет намного сложнее получить доступ к пользовательским учетным записям. Но не стоит забывать о том, что на этом ваша работа по обеспечению безопасности сетевой инфраструктуры не заканчивается. Все попытки вторжения и неудачную аутентификацию ваших пользователей необходимо фиксировать для того чтобы знать, нужно ли предпринимать дополнительные меры по обеспечению безопасности. Проверка такой информации с целью определения активности на предприятии называется аудитом.

Читать еще: Небезопасный модуль для образа safeseh

В процессе аудита используются три средства управления: политика аудита, параметры аудита в объектах, а также журнал «Безопасность», куда заносятся события, связанные с безопасностью, такие как вход/выход из системы, использование привилегий и обращение к ресурсам. В этой статье мы рассмотрим именно политики аудита и последующий анализ событий в журнале «Безопасность».

Политика аудита

Политика аудита настраивает в системе определенного пользователя и группы аудит активности. Для того чтобы отконфигурировать политики аудита, в редакторе управления групповыми политиками вы должны открыть узел Конфигурация компьютера/Конфигурация Windows/Параметры безопасности/Локальные политики/Политика аудита. Необходимо помнить, что по умолчанию параметр политики аудита, для рабочих станций установлен на «Не определено». В общей сложности, вы можете настраивать девять политик аудита, которые изображены на следующей иллюстрации:

Рис. 1. Узел «Политика аудита»

Так же, как и с остальными политиками безопасности, для настройки аудита вам нужно определить параметр политики. После двойного нажатия левой кнопкой мыши на любом из параметров, установите флажок на опции «Определить следующие параметры политики» и укажите параметры ведения аудита успеха, отказа или обоих типов событий.

Рис. 2. Свойства политики аудита «Аудит доступа к службе каталогов»

После настройки политики аудита события будут заноситься в журнал безопасности. Просмотреть эти события можно в журнале безопасности. Рассмотрим подробно каждую политику аудита:

Аудит входа в систему. Текущая политика определяет, будет ли операционная система пользователя, для компьютера которого применяется данная политика аудита, выполнять аудит каждой попытки входа пользователя в систему или выхода из нее. Например, при удачном входе пользователя на компьютер генерируется событие входа учетной записи. События выхода из системы создаются каждый раз, когда завершается сеанс вошедшей в систему учетной записи пользователя. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа в систему.

Аудит доступа к объектам. Данная политика безопасности выполняет аудит попыток доступа пользователей к объектам, которые не имеют отношения к Active Directory. К таким объектам можно отнести файлы, папки, принтеры, разделы системного реестра, которые задаются собственными списками в системном списке управления доступом (SACL). Аудит создается только для объектов, для которых указаны списки управления доступом, при условии, что запрашиваемый тип доступа и учетная запись, выполняющая запрос, соответствуют параметрам в данных списках.

Аудит доступа к службе каталогов. При помощи этой политики безопасности вы можете определить, будет ли выполняться аудит событий, указанных в системном списке контроля доступа (SACL), который можно редактировать в диалоговом окне «Дополнительные параметры безопасности» свойств объекта Active Directory. Аудит создается только для объектов, для которых указан системный список управления доступом, при условии, что запрашиваемый тип доступа и учетная запись, выполняющая запрос, соответствуют параметрам в данном списке. Данная политика в какой-то степени похожа на политику «Аудит доступа к объектам». Аудит успехов означает создание записи аудита при каждом успешном доступе пользователя к объекту Active Directory, для которого определена таблица SACL. Аудит отказов означает создание записи аудита при каждой неудачной попытке доступа пользователя к объекту Active Directory, для которого определена таблица SACL.

Аудит изменения политики. Эта политика аудита указывает, будет ли операционная система выполнять аудит каждой попытки изменения политики назначения прав пользователям, аудита, учетной записи или доверия. Аудит успехов означает создание записи аудита при каждом успешном изменении политик назначения прав пользователей, политик аудита или политик доверительных отношений. Аудит отказов означает создание записи аудита при каждой неудачной попытке изменения политик назначения прав пользователей, политик аудита или политик доверительных отношений.

Аудит изменения привилегий. Используя эту политику безопасности, вы можете определить, будет ли выполняться аудит использования привилегий и прав пользователей. Аудит успехов означает создание записи аудита для каждого успешного применения права пользователя. Аудит отказов означает создание записи аудита для каждого неудачного применения права пользователя.

Аудит отслеживания процессов. Текущая политика аудита определяет, будет ли операционная система выполнять аудит событий, связанных с процессами, такими как создание и завершение процессов, а также активация программ и непрямой доступ к объектам. Аудит успехов означает создание записи аудита для каждого успешного события, связанного с отслеживаемым процессом. Аудит отказов означает создание записи аудита для каждого неудачного события, связанного с отслеживаемым процессом.

Аудит системных событий. Данная политика безопасности имеет особую ценность, так как именно при помощи этой политики вы можете узнать, перегружался ли у пользователя компьютер, превысил ли размер журнала безопасности пороговое значение предупреждений, была ли потеря отслеженных событий из-за сбоя системы аудита и даже вносились ли изменения, которые могли повлиять на безопасность системы или журнала безопасности вплоть до изменения системного времени. Аудит успехов означает создание записи аудита для каждого успешного системного события. Аудит отказов означает создание записи аудита для каждого неудачного завершения системного события.

Аудит событий входа в систему. При помощи этой политики аудита вы можете указать, будет ли операционная система выполнять аудит каждый раз при проверке данным компьютером учетных данных. При использовании этой политики создается событие для локального и удаленного входа пользователя в систему. Члены домена и компьютеры, не входящие в домен, являются доверенными для своих локальных учетных записей. Когда пользователь пытается подключиться к общей папке на сервере, в журнал безопасности записывается событие удаленного входа, причем события выхода из системы не записываются. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа в систему.

Аудит управления учетными записями. Эта последняя политика тоже считается очень важной, так как именно при помощи нее вы можете определить, необходимо ли выполнять аудит каждого события управления учетными записями на компьютере. В журнал безопасности будут записываться такие действия как создание, перемещение и отключение учетных записей, а также изменение паролей и групп. Аудит успехов означает создание записи аудита для каждого успешного события управления учетными записями. Аудит отказов означает создание записи аудита для каждого неудачного события управления учетными записями

Как видите, все политики аудита в какой-то степени очень похожи и если вы для каждого пользователя свой организации установите аудит всех политик, то рано или поздно вы просто запутаетесь в них. Поэтому необходимо вначале определить, что именно необходимо для аудита. Например, чтобы удостовериться в том, что к одной из ваших учетных записей постоянно пытаются получить несанкционированный доступ методом подбора пароля, вы можете указать аудит неудачных попыток входа. В следующем разделе мы рассмотрим простейший пример использования данных политик.

Пример использования политики аудита

Допустим, у нас есть домен testdomain.com, в котором есть пользователь с учетной записью DImaN.Vista. в данном примере мы применим для этого пользователя политику «Аудит событий входа в систему» и увидим, какие события записываются в журнал безопасности при попытке несанкционированного доступа в систему. Для воспроизведения подобной ситуации выполните следующие действия:

На контроллере домена создайте пользовательскую учетную запись и поместите ее в группу безопасности «Vista», которая расположена в подразделении «Группы»;
Откройте консоль «Управление групповой политикой», где выберите контейнер «Объекты групповой политики» и нажмите на этом контейнере правой кнопкой мыши для отображения контекстного меню;
В контекстном меню выберите команду «Создать» и в отобразившемся диалоговом окне «Новый объект групповой политики» введите «Политика аудита», после чего нажмите кнопку «ОК»;

Рис. 3. Создание нового объекта групповой политики

Выберите данный объект групповой политики и из контекстного меню выберите команду «Изменить»;

В появившемся окне «Редактор управления групповыми политиками» разверните узел Конфигурация компьютера/Политика/Конфигурация Windows/Параметры безопасности/Локальные политики/Политика аудита и откройте параметр политики «Аудит событий входа в систему»;

Установите флажки возле опций «Определить следующие параметры политики» и «отказ», как показано на следующей иллюстрации и нажмите на «ОК»;

Рис. 4. Изменение политики аудита

Закройте редактор управления групповыми политиками;

Свяжите объект «Политики аудита» с подразделением «Группы». Для этого щелкните правой кнопкой мыши на подразделение «Группы» и из контекстного меню выберите команду «Связать существующий объект групповой политики»;

Рис. 5. Связка объекта групповой политики с подразделением

В диалоговом окне «Выбор объекта групповой политики» выберите объект «Политика аудита» и нажмите на кнопку «ОК»;

Разверните подразделение «Группы» и в области «Фильтры безопасности» удалите фильтр «Прошедшие проверку». После этого нажмите на кнопку «Добавить» и выберите группу «Vista», которую мы создавали ранее;

Рис. 6. Установка фильтра безопасности

Перейдите на клиентскую машину и обновите групповые политики при помощи команды gpupdate;

Заблокируйте компьютер и попробуйте войти в систему, используя заведомо неправильный пароль;

На контроллере домена откройте оснастку «Просмотр событий» и перейдите в журнал «Безопасность»;

Рис. 7. Просмотр журнала безопасности

Как видите на предыдущей иллюстрации, сгенерировалось сообщение аудита отказа, соответственно, сгенерировался EventID 4771.

Читать еще: Не удается безопасно подключиться

Заключение

В данной статье мы продолжили изучение политик безопасности, а именно, рассмотрели параметры политик аудита, при помощи которых вы можете исследовать попытки вторжения и неудачную аутентификацию ваших пользователей. Рассмотрены все девять политик безопасности, отвечающих за ведение аудита. Также на примере вы узнали, как работают политики аудита при помощи политики «Аудит событий входа в систему». Была эмулирована ситуация несанкционированного проникновения на пользовательский компьютер с последующим аудитом системного журнала безопасности.

Аудит и журналы безопасности

Аудит

Обеспечив правильную настройку и безопасность файлов журнала, вы теперь имеете необходимую инфраструктуру с высокой степенью доверия , которая позволит осуществлять аудит веб-сайта. Аудит в Windows 2000 и IIS обеспечивает информацией журналы, чтобы впоследствии можно было восстановить цепь событий, источник атаки , цели злоумышленника, а также

Настройка политики аудита

Политики аудита определяют, какие категории сообщений о событиях отслеживаются и сохраняются в журналах Windows 2000 и IIS. Параметры событий аудита подчиняются стандартным правилам применения групповой политики. Политики аудита в Windows 2000 организованы в следующую иерархию.

Параметры политики домена.
Параметры политики сайта.
Параметры локальной политики.

Иногда достаточно применить локальную политику на отдельном сервере. Однако если веб-сервер находится в домене интранет-сети, и имеется политика более высокого уровня иерархии, эта политика будет игнорировать локальные настройки. Следовательно, при работе учитывайте контекст сервера. Если сервер является частью Active Directory, то понадобится настройка политики на уровне группы, а не на локальном уровне.

Политики аудита устанавливаются локально с помощью консоли MMC Local Security Policy (Локальная политика безопасности). Просматривать и изменять политику аудита в системе можно следующим образом.

Откройте консоль MMC Local Security Policy (Локальная политика безопасности) в окне StartAdministrative Tools (ПускАдминистрирование) (см. рисунок).
В области слева щелкните на папке Local Policies (Локальные политики) для отображения вложенных папок. Щелкните на папке Audit Policy (Политика аудита), чтобы отобразить отдельные параметры политики аудита в правой области консоли.
В правой области щелкните правой кнопкой мыши на политике, которую требуется изменить, и в появившемся меню выберите команду Security (Безопасность) (либо просто дважды щелкните на политике), чтобы открыть диалоговое окно.
Каждая из настроек политики аудита содержит одни и те же параметры – Success (Успех) (фиксируемая успешная попытка доступа) и Failure (Неудача) (фиксируемая неудачная попытка доступа), которые можно настраивать. Отметьте опции Success и Failure в соответствии со своей политикой аудита.

Совет. Если одни и те же параметры аудита применяются к нескольким серверам, то эффективнее использовать шаблон политики безопасности Security Policy Template. Использование оснасток Security Configuration (Настройка безопасности) и Security Templates (Шаблоны безопасности) обсуждалось в «Учетные записи, аутентификация и политика безопасности» .

Таблица 5.4 содержит параметры конфигурации политики аудита, используемые при выполнении программы IIS Lockdown или шаблона High Security Template (hisecweb.inf) (см. лекции «Подготовка и укрепление веб-сервера» , «Учетные записи, аутентификация и политика безопасности» ).

Совет. Данный материал соответствует рекомендациям Microsoft по настройке политики аудита в Windows 2000. Если вы не хотите придерживаться этих рекомендаций, то в приложении C содержится более подробный перечень параметров.

Аудит объектов и ресурсов Windows 2000

Аудит в Windows 2000 осуществляет сбор информации об использовании ресурсов файловой системы, учетных записей пользователей, ключей реестра, системных ресурсов. Аудит объектов по умолчанию не включен, его нужно активировать и настроить в окне Properties (Свойства) ресурса, аудит которого выполняется.

Аудит осуществляется отдельно для каждого объекта. Нужно указать, какие объекты и действия подлежат аудиту. Аудит объектов полезен при идентификации несанкционированных попыток использования файлов. Имейте в виду, что Microsoft рекомендует отключить политику аудита успешного доступа к объектам (см. табл. 5.4) для сервера с IIS 5. В общем случае следуйте данной рекомендации, поскольку аудит IIS и так достаточно детализирован. Тем не менее, иногда необходимо отслеживать доступ администраторов к системной папке загрузочного системного диска с помощью основных утилит операционной системы. В обычной ситуации таких данных окажется немного, поэтому журнал не будет перегружен информацией, кроме того, эта информация покажет, осуществлялся ли доступ в эту папку другими авторизованными (или неавторизованными) администраторами.

Совет. Для аудита каталогов или системных объектов включите разрешение списка ACL для учетной записи в свойствах безопасности объекта, иначе при настройке параметров аудита

Имеет смысл осуществлять аудит доступа администраторов к системным папкам по умолчанию, а также при настройке параметров аудита объектов файловой системы, если полномочиями администратора обладают несколько пользователей. Эти параметры настраиваются средствами локального управления сервером. Удобно применять шаблон безопасности при повторении настройки параметров безопасности для нескольких серверов (параметры на всех серверах будут одинаковы).

Совет. Чтобы применить шаблон безопасности для установки параметров аудита объекта файловой системы, откройте консоль MMC, в которую уже добавлены надстройки Security Analysis and Configuration (Анализ и настройка безопасности) и Security Templates (Шаблоны безопасности). Найдите файл шаблона безопасности, в котором нужно выполнить настройку политики, откройте его, затем откройте вложенную папку File System (Файловая система). Щелкните правой кнопкой мыши на папке и выберите команду Add File (Добавить файл). После этого продолжите работу с шага 2 следующей процедуры.

Ниже приведена процедура настройки аудита системной папки Windows 2000 с помощью локальных средств управления.

Аудит безопасности в Windows

Что такое аудит безопасности в Windows?

Аудит безопасности Windows — это технические средства и мероприятия, направленные на регистрацию и систематический регулярный анализ событий, влияющих на безопасность информационных систем предприятия. Технически, аудит безопасности в Windows реализуется через настройку политик аудита и настройку аудита объектов. Политика аудита определяет какие события и для каких объектов будут генерироваться в журнал событий Безопасность. Регулярный анализ данных журнала безопасности относится к организационным мерам, для поддержки которых может применяться различное программное обеспечение. В самом простом случае можно обходиться приложением Просмотр событий. Для автоматизации задач анализа событий безопасности могут применяться более продвинутые программы и системы управления событиями безопасности (SIEM), обеспечивающие постоянный контроль журналов безопасности, обнаружение новых событий, их классификацию, оповещение специалистов при обнаружении критических событий. Наша программа Event Log Explorer также содержит набор функций для автоматизации мониторинга событий для любых журналов событий.

Как установить и настроить аудит безопасности в Windows?

Аудит безопасности Windows включается через Групповую политику (Group Policy) в Active Directory или Локальную политику безопасности. Чтобы настроить аудит на отдельном компьютере, без Active Directory, выполните следующие шаги:

Откройте Панель управления Windows, выберите Администрирование (Administrative Tools), и затем запустите Локальная политика безопасности (Local Security Policy)
Откройте ветвь Локальные политики и выберите Политика Аудита
В правой панели окна Локальная политика безопасности (Local Security Policy) вы увидите список политик аудита. Двойным кликом на интересующей вас политике откройте параметры и установите флажки Аудит успехов или Аудит отказов (Success or Failure).

Читать еще: Безопасные операционные системы

Так настраиваются базовые политики аудита.

Начиная с Windows 2008 R2/Windows 7, вы можете использовать Расширенные политики (Advanced Security Audit Policy):
Local Security Policy -> Advanced Audit Policy Configuration -> System Audit Policies.
Подробная информация про расширенные политики (Advanced Security Audit Policy) доступна тут https://technet.microsoft.com/en-us/library/dn319056.aspx

Как контролировать события входа в Windows?

Аудит безопасности Windows позволяет контроллировать события входа в систему и обнаруживать неудачные попытки входа. Система Windows генерирует такие события не только при непосредственной попытке входа в систему, но и при удаленном доступе с другого компьютера к ресурсам с общим доступом. Аудит событий входа помогает обнаруживать подозрительную активность или потенциальные атаки при администрировании и расследовании инцидентов

Для отдельного компьютера (без Active Directory) аудит событий входа настраивается так:

Откройте ветвь Локальные политики (Local Policies) в Локальная политика безопасности (Local Security Policy)
Выберите Audit Policy.
Двойным кликом откройте Аудит событий входа (Audit logon events) и включите опции аудита успехов и отказов (Success и Failure).

После этого все попытки входа — успешные и неудачные будут протоколироваться в журнал событий Безопасность

Список кодов важных событий входа в систему

Аудит безопасности объекта

В настоящее время практически каждый коммерческий или промышленный объект оснащен охранными системами. В ходе эксплуатации оборудование изнашивается и требует определенных изменений. В сфере обеспечения безопасности постоянно появляются инновационные технологии, которые отвечают современным требованиям. Поэтому в случае возникновения потребности, каждый руководитель объекта любого типа может усовершенствовать установленную защитную линию.

Для оценки состояния оборудования и эффективности его работы необходимо проводить аудит системы безопасности.

Аудит представляет собой проведение комплексных мероприятий, направленных на определение состояния линии безопасности и контроля. Любой охранный комплекс призван обеспечивать надлежащий уровень безопасности подконтрольного объекта и сохранность материальных активов. Специалисты рекомендуют проводить аудиторские мероприятия с привлечением сторонней организации. Независимые эксперты дадут оценку эффективности концепции и деятельности комплекса, а также рабочему режиму фирмы. При необходимости специализированная компания может оценить работу сотрудников охранного подразделения и внести свои предложения по поводу улучшения качества их работы.

Какие цели проведения аудиторских мероприятий на объекте

Аудит комплексов безопасности и контроля может быть внутренним и внешним. Внутренние аудиторские действия проводятся руководителями или назначенными работниками этой организации. Внешний аудит проводится сотрудниками независимой фирмы, с которой был заключен договор на предоставление такого рода услуг. Принято выделять общие цели проведения аудиторских проверок:

— Анализ имеющихся рисков, которые связаны с возможными угрозами уровню безопасности на объекте (либо относительно конкретных ресурсов);

— Оценку текущего состояния охранного комплекса и уровня защищенности;

— Локализацию специализированных мест в системе;

— Оценку оборудования на соответствие техническим требованиям и установленным стандартам в конкретной области;

— Разработку рекомендаций по внедрению новых технологий и улучшению качества работы охранной линии в целом или каждого механизма в отдельности.

Помимо вышеперечисленных целей, перед аудиторской проверкой устанавливается ряд дополнительных задач:

— Разработка политики безопасности на объекте, которая закрепляется в специальных документальных актах;

— Постановка задач и контроль над их выполнением со стороны ответственных сотрудников (например, службы охраны);

— Обучение пользователей охранных систем;

— Участие в проведении расследований в случае возникновения инцидентов и др.

Этапы предоставления аудиторских услуг относительно систем безопасности

Проведение оценки состояния системы безопасности объекта включает в себя несколько последовательных этапов:

— Инициирование проведения аудиторской проверки;

— Сбор необходимой информации и выполнение комплексных мероприятий, направленных на получение сведений, соответствующих действительности;

— Анализ полученных данных;

— Разработку и предоставление рекомендаций по улучшению качества работы системы безопасности, установленной на подконтрольной территории;

— Предоставление отчетной документации.

Инициирование проведения проверки текущего состояния системы безопасности осуществляет руководитель объекта или лицо, которое имеет необходимые полномочия. На сегодняшний день существует ряд специализированных фирм, предоставляющих такого рода услуги. Все виды работ осуществляются исключительно после составления договорной документации. Оплата за проведение аудита взимается согласно установленной ставке на конкретный вид услуг в этой фирме. Определить однозначную стоимость работ по Российской Федерации не представляется возможным, поскольку на установление цены влияет ряд индивидуальных факторов (тип объекта, объем работ, масштабность охранного комплекса и т. п.).

Что включает в себя экспертная проверка охранного комплекса

На сегодняшний день достаточно актуальным стал мониторинг системы внутреннего контроля. Выполнение мониторинговых и анализирующих действий позволяет получить информацию о состоянии охранного комплекса в настоящее время. Получив определенные сведения, руководитель может принять меры по улучшению качества работы защитной линии и повышению уровня охраны объекта.

Несмотря на то что многие фирмы имеют собственную службу безопасности, взгляд со стороны и проведение оценки состояния оборудования позволит выявить недостатки в работе механизмов и исправить их.

Аудит безопасности объекта, как правило, включает в себя выполнение ряда действий:

— Оценку качества работы и технических характеристик устройств, комплектующих охранную систему;

— Анализ качества технических линий;

— Оценку эффективности внутреннего распорядка, установленного на объекте;

— Проверку соблюдения всех установленных правил безопасности сотрудниками предприятия (организации или учреждения);

— Оценку эффективности и качества работы охранного подразделения или отделения вневедомственной охраны;

— Разработку концептуальных подходов к улучшению работы линии защиты;

— Предоставление консультаций и рекомендаций относительно личной или общественной безопасности субъектов;

— Составление отчета и передачу фактических документов руководителю или уполномоченному лицу.

Оценка состояния информационной защищенности

В настоящее время одним из основных направлений аудиторских проверок является оценка состояния защищенности информационных систем. В век электронных технологий информационные системы содержат множество персональных данных субъектов, а также конфиденциальную информацию. Поэтому в первую очередь необходимо позаботиться о защищенности информации на объекте. Для определения уровня защищенности информационных данных установлены определенные критерии и стандарты.

Контроль системы информационной безопасности должен осуществляться на высшем уровне и иметь достаточную степень защиты от утечки информации и последующего использования ее в незаконных целях. Выделяют несколько видов аудита линий информационной защиты:

— Соответствующий установленным стандартам и требованиям.

Активные аудиторские услуги являются самыми распространенными в сфере систем информационной безопасности. Все проверочные действия выполняются с точки зрения так называемого злоумышленника, который обладает достаточными знаниями в области компьютерных технологий. Для выполнения проверки используется специализированное программное обеспечение. Квалифицированные специалисты собирают информацию о текущем состоянии линии информационной защиты путем моделирования различных сетевых ситуаций. В случае обнаружения возможности утечки персонифицированной информации, аудитор предлагает различные решения по усовершенствованию существующего комплекса безопасности. Некоторые компании предоставляют программное обеспечение собственной разработки, которое позволяет установить необходимую степень информационной защиты.

Экспертные аудиторские действия заключаются в сравнении текущего состояния охранного комплекса и установленных стандартов.

Самым распространенным способом получения информации в ходе экспертной оценки является интервьюирование сотрудников и ответственных лиц. По результатам экспертной оценки в существующую систему безопасности могут вноситься изменения путем установки дополнительного оборудования или программного обеспечения. В случае ненадлежащего уровня информационной защиты, аудитор может предложить установку нового комплекса с учетом всех необходимых требований.

Аудиторские операции на соответствие стандартам заключаются в проведении проверки и оценки текущего состояния устройств и механизмов, их технической характеристики, эффективности работы. После сбора информации аудитор выполняет сверку полученных данных с установленными требованиями. В отчете содержатся обязательные ссылки на нормативные документы. Как правило, такой тип аудиторской проверки проводится при необходимости сертификации или лицензирования предприятия.

0 0 голоса

Рейтинг статьи