Как проводить аудит информационной безопасности. Аудит информационной безопасности предприятия: понятие, стандарты, пример. Аудит информационной безопасности: пример

Организация аудита информационной безопасности информационной системы

Андрушка Игорь Молдавская Экономическая Академия
TIE - 238

Введение

Современная информационная система организации представляет собой распределенную и неоднородную систему, использующую различные программно-аппаратные компоненты и имеющую точки выхода в сети общего пользования (например, Интернет) . В связи с этим значительно усложняется задача правильного и безопасного конфигурирования компонент и обеспечения защищенного взаимодействия между ними, и, как следствие, увеличивается количество уязвимых мест в системе.

Наличие уязвимостей в системе дает возможность потенциальному нарушителю провести успешную атаку и нанести ущерб деятельности организации. Появление «слабых мест» может быть обусловлено различными причинами, как объективного (например, недоработки в базовом программном обеспечении) , так и субъективного характера (например, неправильная настройка оборудования) .

Выявление и устранение уязвимостей, а также оценка общего уровня защищенности является чрезвычайно важной составляющей обеспечения безопасности, позволяющей существенно повысить уровень защищенности информационных и иных ресурсов системы.

Рис. 1 Роль аудита информационной безопасности

Цели и назначение аудита

К основным целям аудита информационной безопасности можно отнести следующие:

· Получение объективной и независимой оценки текущего состояния защищенности информационных ресурсов.

· Получение максимальной отдачи от средств, инвестируемых в создание системы информационной безопасности.

· Оценка возможного ущерба от несанкционированных действий.

· Разработка требований к построению системы защиты информации.

· Определение зон ответственности сотрудников подразделений.

· Расчет необходимых ресурсов.

· Разработка порядка и последовательности внедрения системы информационной безопасности.

Аудит может проводится в следующих вариантах:

· Комплексный аудит – перед созданием системы информационной безопасности

· Точечный – формирование требований к проведению модернизации системы защиты

· Периодичный – внешняя регламентная проверка уровня защищенности системы.

· Проверочный – экспертиза и оценка используемых, либо планируемых к использованию систем и решений.

Этапы аудита

Процесс аудита информационных систем можно представить в виде своеобразных весов (рис. 2) , где на одной чаше рассматриваются системы безопасности доступа, на другой - контроль бизнес-процессов, а в качестве опоры служит техническая инфраструктура, которая, в свою очередь, основана на принятых методах авторизации, конфигурации системы, а также на политиках и процедурах, принятых в организации.

Рис. 2 Процесс аудита информационных систем

Работы по аудиту безопасности ИС включают в себя ряд последовательных этапов (рис. 3), которые в целом соответствуют этапам проведения комплексного аудита ИС, который включает в себя следующее:

2. проведение оценки защищенности - включает работы по обнаружению уязвимостей технических средств, анализу технологической защищенности, а также адекватности организационных процедур. На основе выявленных недостатков проводиться оценка рисков, включающая основные способы преодоления системы защиты, степень критичности и возможность реализации;

3. аттестация системы - включает мероприятия по обследованию (оценки) существующих мер и мероприятий по защите информации, оценки их адекватности, а также соответствие требования ведущих стандартов;

4. по результатам Аудита разрабатывается План исправления выявленных недостатков. Задача планирования состоит в определении приоритетов исправления обнаруженных недостатков, разработки очередности и методологии их устранения. Дополнительно предусматривается разработка концептуальных и процедурных документов, таких как Концепция информационной безопасности, Общие требования и рекомендации по защите информации, Политики безопасности и др.

Рис 3. Этапы проведения аудита информационной безопасности

В зависимости от целей и способа проведения аудита информационной безопасности инициатором этого мероприятия, как уже было отмечено выше, является заинтересованная сторона. Наиболее часто инициатором аудита является организация в лице его руководства.

Как правило на этапе обследования решаются следующие организационные вопросы:

· права и обязанности аудитора четко определяются и документально закрепляются в его должностных инструкциях, а также в положении о внутреннем (внешнем) аудите;

· аудитором подготавливается и согласовывается с руководством план проведения аудита информационной безопасности.

На этапе обследования также определяются границы проведения обследования. Границы проведения обследования обычно определяются в следующих терминах:

· список обследуемых физических, программных и информационных ресурсов;

· площадки (помещения) , попадающие в границы обследования;

· основные виды угроз безопасности, рассматриваемые при проведении аудита;

· организационные (законодательные, административные и процедурные) , физические, программно-технические и прочие аспекты обеспечения безопасности, которые необходимо учесть в ходе проведения обследования, и их приоритеты (в каком объеме они должны быть учтены) .

Далее следует сбор информации аудита, который является наиболее сложным и длительным. Это, как правило, связано с отсутствием необходимой документации на информационную систему и с необходимостью плотного взаимодействия аудитора со многими должностными лицами организации.

Компетентные выводы относительно положения дел в компании с информационной безопасностью могут быть сделаны аудитором только при условии наличия всех необходимых исходных данных для анализа. Получение информации об организации, функционировании и текущем состоянии ИС осуществляется аудитором в ходе специально организованных интервью с ответственными лицами компании, путем изучения технической и организационно-распорядительной документации, а также исследования ИС с использованием специализированного программного инструментария.

Обеспечение информационной безопасности организации – это комплексный процесс, требующий четкой организации и дисциплины. Он должен начинаться с определения ролей и распределения ответственности среди должностных лиц, занимающихся информационной безопасностью. Поэтому первый пункт аудиторского обследования начинается с получения информации об организационной структуре пользователей ИС и обслуживающих подразделений. В связи с этим аудитору требуется документация, касающаяся схемы организационной структуры ИС. Обычно, в ходе интервью аудитор задает опрашиваемым вопросы, касающиеся использования информации, циркулирующей внутри ИС.

Назначение и принципы функционирования ИС во многом определяют существующие риски и требования безопасности, предъявляемые к системе. Поэтому на следующем этапе аудитора интересует информация о назначении и функционировании ИС. На данном этапе аудитор может использовать документацию, содержащую следующие данные:

· описание автоматизированных функций;

· схема информационных потоков;

· описание структуры комплекса технических средств информационной системы;

· описание структуры программного обеспечения;

· описание структуры информационного обеспечения;

· описание технических заданий используемых приложений;

Далее, аудитору требуется более детальная информация о структуре ИС. Это позволяет выяснить, каким образом осуществляется распределение механизмов безопасности по структурным элементам и уровням функционирования ИС.

Подготовка значительной части документации на ИС, обычно, осуществляется уже в процессе проведения аудита. Когда все необходимые данные по ИС, включая документацию, подготовлены, можно перейти к следующему этапу - их анализу

Используемые аудиторами методы анализа данных определяются выбранными подходами к проведению аудита, которые могут существенно различаться. Но в общем, можно выделить 3 подхода:

Первый подход , самый сложный, базируется на анализе рисков. Опираясь на методы анализа рисков, аудитор определяет для обследуемой ИС индивидуальный набор требований безопасности, в наибольшей степени учитывающий особенности данной ИС, среды ее функционирования и существующие в данной среде угрозы безопасности. Данный подход является наиболее трудоемким и требует наивысшей квалификации аудитора. На качество результатов аудита, в этом случае, сильно влияет используемая методология анализа и управления рисками и ее применимость к данному типу ИС.

На сегодняшний день автоматизированные системы (АС) играют ключевую роль в обеспечении эффективного выполнения бизнес-процессов как коммерческих, так и государственных предприятий. Вместе с тем повсеместное использование АС для хранения, обработки и передачи информации приводит к повышению актуальности проблем, связанных с их защитой. Подтверждением этому служит тот факт, что за последние несколько лет, как в России, так и в ведущих зарубежных странах имеет место тенденция увеличения числа информационных атак, приводящих к значительным финансовым и материальным потерям. Для того, чтобы гарантировать эффективную защиту от информационных атак злоумышленников компаниям необходимо иметь объективную оценку текущего уровня безопасности АС. Именно для этих целей и применяется аудит безопасности, различные аспекты которого рассматриваются в рамках настоящей статьи.

1. Что такое аудит безопасности?

Не смотря на то, что в настоящее время ещё не сформировалось устоявшегося определения аудита безопасности, в общем случае его можно представить в виде процесса сбора и анализа информации об АС, необходимой для последующего проведения качественной или количественной оценки уровня защиты от атак злоумышленников. Существует множество случаев, в которых целесообразно проводить аудит безопасности. Вот лишь некоторые из них:

• аудит АС с целью подготовки технического задания на проектирование и разработку системы защиты информации;
• аудит АС после внедрения системы безопасности для оценки уровня её эффективности;
• аудит, направленный на приведение действующей системы безопасности в соответствие требованиям российского или международного законодательства;
• аудит, предназначенный для систематизации и упорядочивания существующих мер защиты информации;
• аудит в целях расследования произошедшего инцидента, связанного с нарушением информационной безопасности.

Как правило, для проведения аудита привлекаются внешние компании, которые предоставляют консалтинговые услуги в области информационной безопасности. Инициатором процедуры аудита может являться руководство предприятия, служба автоматизации или служба информационной безопасности. В ряде случаев аудит также может проводиться по требованию страховых компаний или регулирующих органов. Аудит безопасности проводится группой экспертов, численность и состав которой зависит от целей и задач обследования, а также сложности объекта оценки.

2. Виды аудита безопасности

В настоящее время можно выделить следующие основные виды аудита информационной безопасности:

• экспертный аудит безопасности, в процессе которого выявляются недостатки в системе мер защиты информации на основе имеющегося опыта экспертов, участвующих в процедуре обследования;
• оценка соответствия рекомендациям Международного стандарта ISO 17799, а также требованиям руководящих документов ФСТЭК (Гостехкомиссии);
• инструментальный анализ защищённости АС, направленный на выявление и устранение уязвимостей программно-аппаратного обеспечения системы;
• комплексный аудит, включающий в себя все вышеперечисленные формы проведения обследования.

Каждый из вышеперечисленных видов аудита может проводиться по отдельности или в комплексе в зависимости от тех задач, которые необходимо решить предприятию. В качестве объекта аудита может выступать как АС компании в целом, так и её отдельные сегменты, в которых проводится обработка информации, подлежащей защите.

3. Состав работ по проведению аудита безопасности

В общем случае аудит безопасности, вне зависимости от формы его проведения, состоит из четырёх основных этапов, каждый из которых предусматривает выполнение определённого круга задач (рис. 1).

Рисунок 1: Основные этапы работ при проведении аудита безопасности

На первом этапе совместно с Заказчиком разрабатывается регламент, устанавливающий состав и порядок проведения работ. Основная задача регламента заключается в определении границ, в рамках которых будет проведено обследование. Регламент является тем документом, который позволяет избежать взаимных претензий по завершению аудита, поскольку чётко определяет обязанности сторон. Как правило, регламент содержит следующую основную информацию:

• состав рабочих групп от Исполнителя и Заказчика, участвующих в процессе проведения аудита;
• перечень информации, которая будет предоставлена Исполнителю для проведения аудита;
• список и местоположение объектов Заказчика, подлежащих аудиту;
• перечень ресурсов, которые рассматриваются в качестве объектов защиты (информационные ресурсы, программные ресурсы, физические ресурсы и т.д.);
• модель угроз информационной безопасности, на основе которой проводится аудит;
• категории пользователей, которые рассматриваются в качестве потенциальных нарушителей;
• порядок и время проведения инструментального обследования автоматизированной системы Заказчика.

На втором этапе, в соответствии с согласованным регламентом, осуществляется сбор исходной информации. Методы сбора информации включают интервьюирование сотрудников Заказчика, заполнение опросных листов, анализ предоставленной организационно-распорядительной и технической документации, использование специализированных инструментальных средств.

Третий этап работ предполагает проведение анализа собранной информации с целью оценки текущего уровня защищённости АС Заказчика. По результатам проведённого анализа на четвёртом этапе проводится разработка рекомендаций по повышению уровня защищённости АС от угроз информационной безопасности.

Ниже в более подробном варианте рассмотрены этапы аудита, связанные со сбором информации, её анализом и разработкой рекомендаций по повышению уровня защиты АС.

4. Сбор исходных данных для проведения аудита

Качество проводимого аудита безопасности во многом зависит от полноты и точности информации, которая была получена в процессе сбора исходных данных. Поэтому информация должна включать в себя: существующую организационно-распорядительную документацию, касающуюся вопросов информационной безопасности, сведения о программно-аппаратном обеспечении АС, информацию о средствах защиты, установленных в АС и т.д. Более подробный перечень исходных данных представлен в таблице 1.

Таблица 1: Перечень исходных данных, необходимых для проведения аудита безопасности

№ Тип информации Описание состава исходных данных 1 Организационно-распорядительная документация по вопросам информационной безопасности 1. политика информационной безопасности АС; 2. руководящие документы (приказы, распоряжения, инструкции) по вопросам хранения, порядка доступа и передачи информации; 3. регламенты работы пользователей с информационными ресурсами АС. 2 Информация об аппаратном обеспечении хостов 1. перечень серверов, рабочих станций и коммуникационного оборудования, установленного в АС; 2. информация об аппаратной конфигурации серверов и рабочих станций; 3. информация о периферийном оборудовании, установленном в АС. 3 Информация об общесистемном ПО 1. информация об операционных системах, установленных на рабочих станциях и серверах АС; 2. данные о СУБД, установленных в АС. 4 Информация о прикладном ПО 1. перечень прикладного ПО общего и специального назначения, установленного в АС; 2. описание функциональных задач, решаемых с помощью прикладного ПО, установленного в АС. 5 Информация о средствах защиты, установленных в АС 1. информация о производителе средства защиты; 2. конфигурационные настройки средства защиты; 3. схема установки средства защиты. 6 Информация о топологии АС 1. карта локальной вычислительной сети, включающей схему распределения серверов и рабочих станций по сегментам сети; 2. информация о типах каналов связи, используемых в АС; 3. информация об используемых в АС сетевых протоколах; 4. схема информационных потоков АС.

Как уже отмечалось выше, сбор исходных данных может осуществляться с использованием следующих методов:

• интервьюирование сотрудников Заказчика, обладающих необходимой информацией. При этом интервью, как правило, проводится как с техническими специалистами, так и с представителями руководящего звена компании. Перечень вопросов, которые планируется обсудить в процессе интервью, согласовывается заранее;
• предоставление опросных листов по определённой тематике, самостоятельно заполняемых сотрудниками Заказчика. В тех случаях, когда представленные материалы не полностью дают ответы на необходимые вопросы, проводится дополнительное интервьюирование;
• анализ существующей организационно-технической документации, используемой Заказчиком;
• использование специализированных программных средств, которые позволяют получить необходимую информацию о составе и настройках программно-аппаратного обеспечения автоматизированной системы Заказчика. Так, например, в процессе аудита могут использоваться системы анализа защищённости (Security Scanners), которые позволяют провести инвентаризацию имеющихся сетевых ресурсов и выявить имеющиеся в них уязвимости. Примерами таких систем являются Internet Scanner (компании ISS) и XSpider (компании Positive Technologies).

5. Оценка уровня безопасности АС

После сбора необходимой информации проводится её анализ с целью оценки текущего уровня защищённости системы. В процессе такого анализа определяются риски информационной безопасности, которым может быть подвержена компания. Фактически риск представляет собой интегральную оценку того, насколько эффективно существующие средства защиты способны противостоять информационным атакам.

Обычно выделяют две основные группы методов расчёта рисков безопасности. Первая группа позволяет установить уровень риска путём оценки степени соответствия определённому набору требований по обеспечению информационной безопасности. В качестве источников таких требований могут выступать (рис. 2):

• Нормативно-правовые документы предприятия, касающиеся вопросов информационной безопасности;
• Требования действующего российского законодательства – руководящие документы ФСТЭК (Гостехкомиссии), СТР-К, требования ФСБ РФ, ГОСТы и др.;
• Рекомендации международных стандартов – ISO 17799, OCTAVE, CoBIT и др.;
• Рекомендации компаний-производителей программного и аппаратного обеспечения – Microsoft, Oracle, Cisco и др.

Рисунок 2: Источники требований информационной безопасности, на основе которых может проводиться оценка рисков

Вторая группа методов оценки рисков информационной безопасности базируется на определении вероятности реализации атак, а также уровней их ущерба. В данном случае значение риска вычисляется отдельно для каждой атаки и в общем случае представляется как произведение вероятности проведения атаки на величину возможного ущерба от этой атаки. Значение ущерба определяется собственником информационного ресурса, а вероятность атаки вычисляется группой экспертов, проводящих процедуру аудита.

Методы первой и второй группы могут использовать количественные или качественные шкалы для определения величины риска информационной безопасности. В первом случае риск и все его параметры выражаются в числовых значениях. Так, например, при использовании количественных шкал вероятность проведения атаки может выражаться числом в интервале, а ущерб атаки может задаваться в виде денежного эквивалента материальных потерь, которые может понести организация в случае успешного проведения атаки. При использовании качественных шкал числовые значения заменяются на эквивалентные им понятийные уровни. Каждому понятийному уровню в этом случае будет соответствовать определённый интервал количественной шкалы оценки. Количество уровней может варьироваться в зависимости от применяемых методик оценки рисков. В таблицах 2 и 3 приведены примеры качественных шкал оценки рисков информационной безопасности, в которых для оценки уровней ущерба и вероятности атаки используется пять понятийных уровней.

Таблица 2: Качественная шкала оценки уровня ущерба

№ Уровень ущерба Описание 1 Малый ущерб Приводит к незначительным потерям материальных активов, которые быстро восстанавливаются, или к незначительному влиянию на репутацию компании 2 Умеренный ущерб Вызывает заметные потери материальных активов или к умеренному влиянию на репутацию компании 3 Ущерб средней тяжести Приводит к существенным потерям материальных активов или значительному урону репутации компании 4 Большой ущерб Вызывает большие потери материальных активов и наносит большой урон репутации компании 5 Критический ущерб Приводит к критическим потерям материальных активов или к полной потере репутации компании на рынке, что делает невозможным дальнейшую деятельность организации

Таблица 3: Качественная шкала оценки вероятности проведения атаки

№ Уровень вероятности атаки Описание 1 Очень низкая Атака практически никогда не будет проведена. Уровень соответствует числовому интервалу вероятности 5 Очень высокая Атака почти наверняка будет проведена. Уровень соответствует числовому интервалу вероятности (0.75, 1]

При использовании качественных шкал для вычисления уровня риска применяются специальные таблицы, в которых в первом столбце задаются понятийные уровни ущерба, а в первой строке – уровни вероятности атаки. Ячейки же таблицы, расположенные на пересечении первой строки и столбца, содержат уровень риска безопасности. Размерность таблицы зависит от количества концептуальных уровней вероятности атаки и ущерба. Пример таблицы, на основе которой можно определить уровень риска, приведён ниже.

Таблица 4: Пример таблицы определения уровня риска информационной безопасности

Вероятность атаки Очень низкая Низкая Средняя Высокая Очень высокая Ущерб Малый ущерб Низкий Риск Низкий риск Низкий риск Средний риск Средний риск Умеренный ущерб Низкий Риск Низкий риск Средний риск Средний риск Высокий риск Ущерб средней тяжести Низкий Риск Средний риск Средний риск Средний риск Высокий риск Большой ущерб Средний риск Средний риск Средний риск Средний риск Высокий риск Критический ущерб Средний риск Высокий риск Высокий риск Высокий риск Высокий риск

При расчете значений вероятности проведения атаки, а также уровня возможного ущерба могут использоваться статистические методы, методы экспертных оценок или элементы теории принятия решений. Статистические методы предполагают анализ уже накопленных данных о реально случавшихся инцидентах, связанных с нарушением информационной безопасности. На основе результатов такого анализа строятся предположения о вероятности проведения атак и уровнях ущерба от них в других АС. Однако применение статистических методов не всегда возможно из-за отсутствия в полном объёме статистических данных о ранее проведённых атаках на информационные ресурсы АС, аналогичной той, которая выступает в качестве объекта оценки.

При использовании аппарата экспертных оценок проводится анализ результатов работы группы экспертов, компетентных в области информационной безопасности, которые на основе имеющегося у них опыта определяют количественные или качественные уровни риска. Элементы теории принятия решений позволяют применять для вычисления значения риска безопасности более сложные алгоритмы обработки результатов работы группы экспертов.

В процессе проведения аудита безопасности могут использоваться специализированные программные комплексы, позволяющие автоматизировать процесс анализа исходных данных и расчёта значений рисков. Примерами таких комплексов являются «Гриф» и «Кондор» (компании «Digital Security»), а также «АванГард» (Института Системного Анализа РАН).

6. Результаты аудита безопасности

На последнем этапе проведения аудита информационной безопасности разрабатываются рекомендации по совершенствованию организационно-технического обеспечения предприятия. Такие рекомендации могут включать в себя следующие типы действий, направленных на минимизацию выявленных рисков:

• уменьшение риска за счёт использования дополнительных организационных и технических средств защиты, позволяющих снизить вероятность проведения атаки или уменьшить возможный ущерб от неё. Так, например, установка межсетевых экранов в точке подключения АС к сети Интернет позволяет существенно снизить вероятность проведения успешной атаки на общедоступные информационные ресурсы АС, такие как Web-серверы, почтовые серверы и т.д.;
• уклонение от риска путём изменения архитектуры или схемы информационных потоков АС, что позволяет исключить возможность проведения той или иной атаки. Так, например, физическое отключение от сети Интернет сегмента АС, в котором обрабатывается конфиденциальная информация, позволяет исключить атаки на конфиденциальную информацию из этой сети;
• изменение характера риска в результате принятия мер по страхованию. В качестве примеров такого изменения характера риска можно привести страхование оборудования АС от пожара или страхование информационных ресурсов от возможного нарушения их конфиденциальности, целостности или доступности. В настоящее время российских компаний уже предлагают услуги по страхованию информационных рисков;
• принятие риска в том случае, если он уменьшен до того уровня, на котором он не представляет опасности для АС.

Как правило, разработанные рекомендации направлены не на полное устранение всех выявленных рисков, а лишь на их уменьшение до приемлемого остаточного уровня. При выборе мер по повышению уровня защиты АС учитывается одно принципиальное ограничение – стоимость их реализации не должна превышать стоимость защищаемых информационных ресурсов.

В завершении процедуры аудита его результаты оформляются в виде отчётного документа, который предоставляется Заказчику. В общем случае этот документ состоит из следующих основных разделов:

• описание границ, в рамках которых был проведён аудит безопасности;
• описание структуры АС Заказчика;
• методы и средства, которые использовались в процессе проведения аудита;
• описание выявленных уязвимостей и недостатков, включая уровень их риска;
• рекомендации по совершенствованию комплексной системы обеспечения информационной безопасности;
• предложения по плану реализации первоочередных мер, направленных на минимизацию выявленных рисков.

7. Заключение

Аудит информационной безопасности является сегодня одним из наиболее эффективных инструментов для получения независимой и объективной оценки текущего уровня защищённости предприятия от угроз информационной безопасности. Кроме того, результаты аудита являются основой для формирования стратегии развития системы обеспечения информационной безопасности организации.

Однако, необходимо представлять, что аудит безопасности не является однократной процедурой, а должен проводиться на регулярной основе. Только в этом случае аудит будет приносить реальную отдачу и способствовать повышению уровня информационной безопасности компании.

8. Список литературы

1. Вихорев С.В., Кобцев Р.Ю., Как узнать – откуда напасть или откуда исходит угроза безопасности информации // Конфидент, №2, 2001.
2. Симонов С. Анализ рисков, управление рисками // Информационный бюллетень Jet Info № 1(68). 1999. с. 1-28.
3. ISO/IEC 17799, Information technology – Code of practice for information security management, 2000
4. Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) – security risk evaluation – www.cert.org/octave.
5. Risk Management Guide for information Technology Systems, NIST, Special Publication 800-30.

Информационные технологии на сегодняшний день играют ключевую роль в обеспечении эффективного выполнения бизнес-процессов различных коммерческих компаний. Вместе с тем повсеместное использование информационных технологий в деятельности компаний приводит к повышению актуальности проблем, связанных с защитой данных. За последние несколько лет, как в России, так и в зарубежных странах наблюдается увеличение числа атак на автоматизированные системы, приводящих к значительным финансовым и материальным потерям. Для объективной оценки текущего уровня безопасности автоматизированных систем применяется аудит безопасности, о котором и будет рассказано в рамках настоящей статьи.

В настоящее время специалистами используется несколько определений аудита, но наиболее часто применяется следующее: аудит информационной безопасности — процесс получения объективных качественных и количественных оценок текущего состояния информационной безопасности компании в соответствии с определенными критериями и показателями безопасности.

Виды аудита информационной безопасности

Можно выделить следующие основные виды аудита информационной безопасности:

Инструментальный анализ защищенности автоматизированной системы. Данный вид аудита направлен на выявление и устранение уязвимостей программного и аппаратного обеспечения системы.

Инструментальный анализ заключается в проведении специалистами по информационной безопасности атак на исследуемую автоматизированную систему. При этом могут применяться любые программные и аппаратные средства, доступные злоумышленникам. Основное назначение инструментального анализа - периодические проверки с целью выявления новых уязвимостей. Кроме того, данный вид аудита может применяться при обнаружении факта утечки информации ограниченного доступа с целью недопущения повторных утечек.

В общем случае инструментальный анализ состоит из двух частей:

1) исследование защищенности автоматизированной системы от удаленных атак - сканируются доступные хосты из сети заказчика, проводятся сетевые атаки с целью получения несанкционированного доступа к защищаемой информации или административным ресурсам.

2) выявление угроз информационной безопасности, исходящих от сотрудников компании или проникших в офис злоумышленников - проводится анализ способов аутентификации сотрудников компании, механизмов разделения прав доступа, определяется защищенность информации при передаче по локальной сети.

В ходе проведения инструментального анализа в основном выявляются уязвимости, связанные с устаревшими версиями программных продуктов и некорректной их настройкой, хотя и могут быть выявлены существенные недочеты в корпоративной политике безопасности.

Оценка автоматизированных систем на предмет соответствия рекомендациям международных стандартов и требованиям руководящих документов ФСТЭК, ГОСТов, отраслевых стандартов.

Данный вид аудита является исследованием системы защиты информации на предмет соответствия требованиям официальных документов, например российских — «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» (ГОСТ Р ИСО/МЭК 15408-2002) или зарубежных — «Информационные технологии. Управление информационной безопасностью» — ISO/IEC 17799, WebTrust и других.

Особенностью аудита на соответствие стандартам является его связь с другой услугой — сертификацией. В случае успешного прохождения аудита компания получит сертификат соответствия своей системы защиты информации. А это — серьезный плюс к имиджу любой публичной организации, особенно работающей с зарубежными партнерами. Следует отметить, что в государственных организациях, работающих с информацией, составляющей государственную тайну, сертификация системы защиты информации обязательна. Другой особенностью аудита на предмет соответствия стандартам является то, что право выдавать сертификаты имеют только организации, имеющие необходимые лицензии на право осуществления подобных видов деятельности или являющиеся специализированными аттестационными центрами.

Отчет о проведении такого вида аудита в общем случае содержит следующую информацию: степень соответствия проверяемой автоматизированной системы выбранным стандартам, количество и категории полученных несоответствий и замечаний, рекомендации по построению или модификации системы обеспечения информационной безопасности, которые позволят привести ее в соответствие с рассматриваемыми стандартами.

К результатам может добавиться также степень соответствия системы защиты информации внутренним требованиям руководства организации-заказчика.

Экспертный аудит защищенности автоматизированной системы. В процессе проведения данного вида аудита должны быть выявлены недостатки в системе защиты информации на основе имеющегося опыта экспертов, участвующих в процедуре обследования.

Экспертный аудит заключается в подробном исследовании системы защиты автоматизированной системы заказчика и в ее сравнении с некоторой идеальной моделью обеспечения информационной безопасности. Причем идеальная модель в каждом конкретном случае может меняться в зависимости от требований заказчика и собственного опыта компании-аудитора.

Результатом экспертного исследования является подготовка и предоставление клиентам отчета, в котором содержится информация о найденных уязвимостях системе защиты и недочетах в пакете организационно-распорядительных документов, а также предложения по их устранению. Кроме того, эксперты могут дать рекомендации по выбору и применению систем защиты информации и других дополнительных специальных технических средств.

Каждый из вышеперечисленных видов аудита может проводиться отдельно или в комплексе в зависимости от тех задач, которые необходимо решить в организации. В качестве объекта аудита может выступать как автоматизированная система компании в целом, так и её отдельные сегменты, в которых проводится обработка информации ограниченного доступа.

Состав работ по аудиту информационной безопасности

В общем случае аудит безопасности вне зависимости от формы его проведения состоит из четырёх основных этапов:

1. Разработка регламента проведения аудита
2. Сбор исходных данных
3. Анализ полученных данных
4. Разработка рекомендаций по повышению уровня защиты автоматизированной системы

На первом этапе совместно с заказчиком разрабатывается регламент, устанавливающий состав и порядок проведения работ. Основная задача регламента заключается в определении границ, в рамках которых будет проведено обследование. Регламент является тем документом, который позволяет избежать взаимных претензий по завершении аудита, поскольку чётко определяет обязанности сторон.

На втором этапе в соответствии с согласованным регламентом осуществляется сбор исходной информации. Методы сбора информации включают интервьюирование сотрудников заказчика, анализ предоставленной организационно-распорядительной и технической документации, использование специализированных инструментальных средств. На данном этапе собирается информация следующих типов:

• Организационно-распорядительная документация по вопросам информационной безопасности (политика информационной безопасности компании, руководящие документы, регламенты работы пользователей с информационными ресурсами)
• Информация об аппаратном обеспечении хостов (перечень серверов, рабочих станций, коммутационного оборудования автоматизированной системы; информация об аппаратной конфигурации серверов, данные о периферийном оборудовании)
• Информация об общесистемном ПО (информация об операционных системах и СУБД, используемых в исследуемой системе)
• Информация о прикладном ПО (перечень прикладного ПО общего и специального назначения; описание функциональных задач, решаемых с помощью прикладного ПО)
• Информация о средствах защиты, установленных в автоматизированной системе (информация о производителе средства защиты, сведения о конфигурации средств защиты, схема установки средств защиты)
• Информация о топологии автоматизированной системы (топология локальной сети, сведения о типах каналов связи и используемых в автоматизированной системе сетевых протоколах, схема информационных потоков)

Третий этап работ предполагает проведение анализа собранной информации с целью оценки текущего уровня защищённости автоматизированной системы заказчика.

В процессе анализа определяются риски информационной безопасности, которым может быть подвержена компания.

Фактически риск представляет собой интегральную оценку того, насколько эффективно существующие средства защиты способны противостоять атакам с использованием информационных технологий.

В зависимости от вида аудита используются две основные группы методов расчёта рисков безопасности. Первая группа методов позволяет установить уровень риска путём оценки степени соответствия определённому набору требований по обеспечению информационной безопасности.

В качестве источников таких требований могут выступать:

• Нормативно-правовые документы предприятия, касающиеся вопросов информационной безопасности;
• Требования действующего российского законодательства - руководящие документы ФСТЭК (Гостехкомиссии), СТР-К, требования ФСБ РФ, ГОСТы и др.;
• Рекомендации международных стандартов - ISO 17799, OCTAVE, CoBIT и др.;
• Рекомендации компаний-производителей программного и аппаратного обеспечения - Microsoft, Oracle, Cisco и др.

Данная группа методов используется при проведении оценки автоматизированных систем на предмет соответствия стандартам и руководящим документам.

Вторая группа методов оценки рисков информационной безопасности используется при проведении инструментального анализа защищенности и базируется на определении вероятности реализации атак, а также уровней их ущерба. В данном случае значение риска вычисляется отдельно для каждой атаки и в общем случае представляется как произведение вероятности проведения атаки на величину возможного ущерба от этой атаки. Значение ущерба определяется собственником информационного ресурса, а вероятность атаки вычисляется группой экспертов, проводящих процедуру аудита.

Методы первой и второй группы могут использовать количественные или качественные шкалы для определения величины риска информационной безопасности. В первом случае риск и все его параметры выражаются в числовых значениях. Так, например, при использовании количественных шкал вероятность проведения атаки может выражаться числом в определенном интервале, а ущерб атаки может задаваться в виде денежного эквивалента материальных потерь, которые может понести организация в случае успешного проведения атаки.

При использовании качественных шкал числовые значения заменяются на эквивалентные им понятийные уровни. Каждому понятийному уровню в этом случае будет соответствовать определённый интервал количественной шкалы оценки.

При расчете значений вероятности проведения атаки, а также уровня возможного ущерба могут использоваться статистические методы, методы экспертных оценок или элементы теории принятия решений.

По результатам проведённого анализа на четвёртом этапе проводится разработка рекомендаций по повышению уровня защищённости автоматизированной системы от угроз информационной безопасности.

• уменьшение риска за счёт использования дополнительных организационных и технических средств защиты, позволяющих снизить вероятность проведения атаки или уменьшить возможный ущерб от неё. Так, например, установка межсетевых экранов в точке подключения автоматизированной системы к сети Интернет позволяет существенно снизить вероятность проведения успешной атаки на общедоступные информационные ресурсы системы, такие как Web-серверы, почтовые серверы и т.д.;
• уклонение от риска путём изменения архитектуры или схемы информационных потоков автоматизированной системы, что позволяет исключить возможность проведения той или иной атаки. Так, например, физическое отключение от сети Интернет сегмента автоматизированной системы, в котором обрабатывается конфиденциальная информация, позволяет исключить атаки на конфиденциальную информацию из этой сети;
• изменение характера риска в результате принятия мер по страхованию. В качестве примеров такого изменения характера риска можно привести страхование оборудования автоматизированной системы от пожара или страхование информационных ресурсов от возможного нарушения их конфиденциальности, целостности или доступности;
• принятие риска в том случае, если он уменьшен до того уровня, на котором он не представляет опасности для автоматизированной системы.

Как правило, разработанные рекомендации направлены не на полное устранение всех выявленных рисков, а лишь на их уменьшение до приемлемого остаточного уровня. При выборе мер по повышению уровня защиты автоматизированной системы учитывается одно принципиальное ограничение - стоимость их реализации не должна превышать стоимость защищаемых информационных ресурсов.

В завершении процедуры аудита его результаты оформляются в виде отчётного документа, который предоставляется заказчику. В общем случае этот документ состоит из следующих основных разделов:

• описание границ, в рамках которых был проведён аудит безопасности;
• описание структуры автоматизированной системы заказчика;
• методы и средства, которые использовались в процессе проведения аудита;
• описание выявленных уязвимостей и недостатков, включая уровень их риска;
• рекомендации по совершенствованию комплексной системы обеспечения информационной безопасности;
• предложения по плану реализации первоочередных мер, направленных на минимизацию выявленных рисков.

Заключение

Аудит информационной безопасности является сегодня одним из наиболее эффективных инструментов для получения независимой и объективной оценки текущего уровня защищённости предприятия от угроз информационной безопасности. Кроме того, результаты аудита используются для формирования стратегии развития системы защиты информации в организации. Необходимо помнить, что аудит безопасности не является однократной процедурой, а должен проводиться на регулярной основе. Только в этом случае аудит будет приносить реальную пользу и способствовать повышению уровня информационной безопасности компании.

• 14.12.2017
  Пять способов найти злоумышленника в сети

  Мы все знаем, что атаки в конечном счете пресекаются, единственный вопрос, который остается, — как их найти быстро! Хорошая новость: атака в своем начале очень активна.Злоумышленник может быть идентифицирован и остановлен, если вы знаете, как выглядят некоторые ключевые моменты, которые помогут вам в его обнаружении.

· сбор информации аудита;

· анализ данных аудита;

Аудит проводится не по инициативе аудитора, а по инициативе руководства компании, которое в данном вопросе является основной заинтересованной стороной. Поддержка руководства компании является необходимым условием для проведения аудита.

На этапе инициирования процедуры аудита должны быть определены границы проведения обследования. Одни информационные подсистемы компании не являются достаточно критичными и их можно исключить из границ проведения обследования. Другие подсистемы могут оказаться недоступными для аудита из-за соображений конфиденциальности.

Сбор информации аудита

· Функциональные схемы;

· Какие точки входа имеются?

· Структурная схема ИС;

Анализ данных аудита

Второй подход, самый практичный, опирается на использование стандартов.

Стандарты определяют базовый набор требований для широкого класса ИС, который формируется в результате обобщения мировой практики. Стандарты могут определять разные наборы требований, в зависимости от уровня защищенности ИС, который требуется обеспечить, ее принадлежности (коммерческая организация, либо государственное учреждение), а также назначения (финансы, промышленности, связь и т.п.). От аудитора в данном случае требуется правильно определить набор требований стандарта, соответствие которым требуется обеспечить для данной ИС. Необходима также методика, позволяющая оценить это соответствие. Из-за своей простоты (стандартный набор требований для проведения аудита уже заранее определен стандартом) и надежности (стандарт — есть стандарт и его требования никто не попытается оспорить), описанный подход наиболее распространен на практике (особенно при проведении внешнего аудита).

Он позволяет при минимальных затратах ресурсов делать обоснованные выводы о состоянии ИС.

Третий подход, наиболее эффективный, предполагает комбинирование первых двух. Базовый набор требований, предъявляемых к ИС, определяется стандартом. Дополнительные требования, в максимальной степени учитывающие особенности функционирования данной ИС, формируются на основе анализа рисков. Этот подход является намного проще первого, т.к. большая часть требований уже определена стандартом, и, в то же время, он лишен недостатка второго подхода, заключающего в том, что требования стандарта могут не учитывать специфики обследуемой ИС.

Похожая информация:

Поиск на сайте:

Есть в наличии

Аудит информационных технологий

Учебник для вузов

Грекул В.И.

2015 г.

Тираж 500 экз.

Учебное издание

Формат 60х90/16 (145×215 мм)

Исполнение: в мягкой обложке

I SBN 978-5-9912-0528-3

ББК 32.973

УДК 004.05

Аннотация

Приведены базовые сведения о практиках и технологиях, применяемых в компаниях для организации и поддержки ИТ, рассмотрены процедуры проведения исследования и анализа применения информационных технологий и их влияния на деятельность организации. Приведено описание различных видов ИТ-аудита, соответствующих им целей и задач, требований к профессиональной подготовке аудиторов, методик проведения аудиторских проверок. В основу книги положен курс лекций, читаемых автором в Национальном исследовательском университете «Высшая школа экономики».

Для студентов вузов, обучающихся по направлению «Бизнес-информатика», будет полезен специалистам в области управления информационными системами и реинжиниринга бизнес-процессов, системным аналитикам, бизнес-аналитикам и консультантам по информационным технологиям.

Введение

1. Организация проекта аудита информационных технологий
1.1. Общая характеристика проектов аудита ИТ
1.2. Планирование проекта
1.2.1. Определение проекта
1.2.2. Анализ рисков
1.2.3. Процедуры внутреннего управления заказчика
1.2.4. План проверок
1.3. Исполнение проекта аудита
1.3.1. Уточнение плана проверок
1.3.2. Процедуры сбора данных при аудите
1.3.3. Проверка существования процедур управления
1.3.4. Проверка эффективности процедур управления
1.3.5. Использование результатов самопроверок
1.3.6. Анализ особых ситуаций
1.3.7. Формирование заключений
1.3.8. Документация проекта аудита
1.3.9. Подготовка итогового отчета по аудиту
1.4. Вопросы для самостоятельного контроля знаний

2. Оценка организации руководства информационными технологиями
2.1. Задачи аудита
2.2. Методики и практики руководства ИТ
2.2.1. Организация руководства ИТ
2.2.2. ИТ-стратегия
2.2.3. Политики, процедуры и стандарты
2.2.4. Управление рисками
2.2.5. Управление информационными технологиями
2.2.6. Организационная структура ИТ-службы
2.3. Вопросы для самостоятельного контроля знаний

3. Оценка управления жизненным циклом ИТ
3.1. Задачи аудита
3.2. Методики и практики управления жизненным циклом ИТ
3.2.1. Управление программами и портфелями проектов
3.2.2. Управление проектами
3.2.3. Оценка стоимости и сроков исполнения ИТ-проектов
3.2.4. Управление жизненным циклом программных продуктов и информационных систем
3.2.5. Управление созданием инфраструктуры
3.2.6. Управление жизненным циклом бизнес-процессов
3.3. Вопросы для самостоятельного контроля знаний

4. Оценка управления ИТ-сервисами
4.1. Задачи аудита
4.2. Методики и практики управления ИТ-сервисами
4.2.1. Организация эксплуатации информационных систем
4.2.2. Управление ИТ-сервисами
4.2.3. Организация функционирования инфраструктуры
4.3. Вопросы для самостоятельного контроля знаний

5. Оценка безопасности информационных ресурсов
5.1.

Задачи аудита
5.2. Методики и практики обеспечения безопасности информационных ресурсов
5.2.1. Основные принципы обеспечения информационной безопасности
5.2.2. Роли и распределение ответственности в обеспечении информационной безопасности
5.2.3. Инвентаризация и классификация активов
5.2.4. Управление доступом
5.2.5. Точки доступа и методы входа
5.2.6. Защита информации в хранилищах
5.2.7. Управление исправлениями
5.2.8. Обеспечение физической безопасности активов
5.3. Вопросы для самостоятельного контроля знаний

6. Оценка обеспечения непрерывности и аварийного восстановления бизнеса
6.1. Задачи аудита
6.2. Методики и практики обеспечения непрерывности и восстановления бизнеса
6.2.1. Типы аварий и катастроф
6.2.2. Процессы обеспечения непрерывности бизнеса
6.2.3. Основные показатели восстановления процессов и систем
6.2.4. Разработка стратегии восстановления
6.2.5. Технологии для восстановления систем
6.2.6. Планирование обеспечения непрерывности и восстановления бизнеса
6.3. Вопросы для самостоятельного контроля знаний

7. Таблица ключей: номера правильных ответов на вопросы самопроверки

Литература

ГЛАВА 2. ЭТАПНОСТЬ РАБОТ ПО ПРОВЕДЕНИЮ АУДИТА ИНФОРМАЦИОННЫХ СИСТЕМ ПРЕДПРИЯТИЯ

Основные этапы аудита информационных систем предприятия

Работы по аудиту ИС включают в себя ряд последовательных этапов, которые в целом соответствуют этапам проведения комплексного ИТ аудита АС, который включает в себя следующее:

· инициирование процедуры аудита;

· сбор информации аудита;

· анализ данных аудита;

· подготовка аудиторского отчета;

· инициирование процедуры аудита.

Аудит проводится не по инициативе аудитора, а по инициативе руководства компании, которое в данном вопросе является основной заинтересованной стороной.

Поддержка руководства компании является необходимым условием для проведения аудита.

Аудит представляет собой комплекс мероприятий, в которых помимо самого аудитора, оказываются задействованными представители большинства структурных подразделений компании. Действия всех участников этого процесса должны быть скоординированы. Поэтому на этапе инициирования процедуры аудита должны быть решены следующие организационные вопросы:

Ø права и обязанности аудитора должны быть четко определены и документально закреплены в его должностных инструкциях, а также в положении о внутреннем (внешнем) аудите;

Ø аудитором должен быть подготовлен и согласован с руководством план проведения аудита;

Ø в положении о внутреннем аудите должно быть закреплено, в частности, что сотрудники компании обязаны оказывать содействие аудитору и предоставлять всю необходимую для проведения аудита информацию.

Инициирование процедуры аудита

На этапе инициирования процедуры аудита должны быть определены границы проведения обследования. Одни информационные подсистемы компании не являются достаточно критичными и их можно исключить из границ проведения обследования.

Другие подсистемы могут оказаться недоступными для аудита из-за соображений конфиденциальности.

Границы проведения обследования определяются в следующих терминах:

· Список обследуемых физических, программных и информационных ресурсов;

· Площадки (помещения), попадающие в границы обследования;

· Основные виды угроз безопасности, рассматриваемые при проведении аудита;

Организационные (законодательные, административные и процедурные), физические, программно-технические и прочие аспекты обеспечения безопасности, которые необходимо учесть в ходе проведения обследования, и их приоритеты (в каком объеме они должны быть учтены).

План и границы проведения аудита обсуждается на рабочем собрании, в котором участвуют аудиторы, руководство компании и руководители структурных подразделений.

Сбор информации аудита

Этап сбора информации аудита, является наиболее сложным и длительным. Это связано с отсутствием необходимой документации на информационную систему и с необходимостью плотного взаимодействия аудитора со многими должностными лицами организации.

Компетентные выводы относительно положения дел в компании могут быть сделаны аудитором только при условии наличия всех необходимых исходных данных для анализа. Получение информации об организации, функционировании и текущем состоянии ИС осуществляется аудитором в ходе специально организованных интервью с ответственными лицами компании, путем изучения технической и организационно-распорядительной документации, а также исследования ИС с использованием специализированного программного инструментария. Остановимся на том, какая информация необходима аудитору для анализа.

Первый пункт аудиторского обследования начинается с получения информации об организационной структуре пользователей ИС и обслуживающих подразделений. В связи с этим аудитору требуется следующая документация:

· Схема организационной структуры пользователей;

· Схема организационной структуры обслуживающих подразделений.

На следующем этапе аудитора интересует информация о назначении и функционировании ИС. Аудитор задает опрашиваемым примерно следующие вопросы:

· Какие услуги и каким образом предоставляются конечным пользователям?

· Какие основные виды приложений, функционирует в ИС?

· Количество и виды пользователей, использующих эти приложения?

Ему понадобиться также следующая документация, конечно, если таковая вообще имеется в наличие (что, вообще говоря, случается нечасто):

· Функциональные схемы;

· Описание автоматизированных функций;

· Описание основных технических решений;

· Другая проектная и рабочая документация на информационную систему.

Далее, аудитору требуется более детальная информация о структуре ИС. Это позволит уяснить, каким образом осуществляется распределение механизмов по структурным элементам и уровням функционирования ИС. Типовые вопросы, которые обсуждаются в связи с этим во время интервью, включают в себя:

· Из каких компонентов (подсистем) состоит ИС?

· Функциональность отдельных компонент?

· Где проходят границы системы?

· Какие точки входа имеются?

· Как ИС взаимодействует с другими системами?

· Какие каналы связи используются для взаимодействия с другими ИС?

· Какие каналы связи используются для взаимодействия между компонентами системы?

· По каким протоколам осуществляется взаимодействие?

· Какие программно-технические платформы используются при построении системы?

На этом этапе аудитору необходимо запастись следующей документацией:

· Структурная схема ИС;

· Схема информационных потоков;

· Описание структуры комплекса технических средств информационной системы;

· Описание структуры программного обеспечения;

· Описание структуры информационного обеспечения;

· Размещение компонентов информационной системы.

Подготовка значительной части документации на ИС, обычно, осуществляется уже в процессе проведения аудита. Когда все необходимые данные по ИС, включая документацию, подготовлены, можно переходить к их анализу.

Анализ данных аудита

Используемые аудиторами методы анализа данных определяются выбранными подходами к проведению аудита, которые могут существенно различаться.

Первый подход, самый сложный, базируется на анализе рисков. Опираясь на методы анализа рисков, аудитор определяет для обследуемой ИС индивидуальный набор требований, в наибольшей степени учитывающий особенности данной ИС, среды ее функционирования. Данный подход является наиболее трудоемким и требует наивысшей квалификации аудитора. На качество результатов аудита, в этом случае, сильно влияет используемая методология анализа и управления рисками и ее применимость к данному типу ИС.

Второй подход, самый практичный, опирается на использование стандартов. Стандарты определяют базовый набор требований для широкого класса ИС, который формируется в результате обобщения мировой практики. Стандарты могут определять разные наборы требований, в зависимости от уровня защищенности ИС, который требуется обеспечить, ее принадлежности (коммерческая организация, либо государственное учреждение), а также назначения (финансы, промышленности, связь и т.п.).

От аудитора в данном случае требуется правильно определить набор требований стандарта, соответствие которым требуется обеспечить для данной ИС. Необходима также методика, позволяющая оценить это соответствие. Из-за своей простоты (стандартный набор требований для проведения аудита уже заранее определен стандартом) и надежности (стандарт — есть стандарт и его требования никто не попытается оспорить), описанный подход наиболее распространен на практике (особенно при проведении внешнего аудита). Он позволяет при минимальных затратах ресурсов делать обоснованные выводы о состоянии ИС.

Третий подход, наиболее эффективный, предполагает комбинирование первых двух. Базовый набор требований, предъявляемых к ИС, определяется стандартом. Дополнительные требования, в максимальной степени учитывающие особенности функционирования данной ИС, формируются на основе анализа рисков. Этот подход является намного проще первого, т.к.

большая часть требований уже определена стандартом, и, в то же время, он лишен недостатка второго подхода, заключающего в том, что требования стандарта могут не учитывать специфики обследуемой ИС.

8.1. Понятие аудита информационной безопасности

Аудит информационной безопасности (ИБ) представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области безопасности КС и вызывает постоянный интерес специалистов. Его основная задача - объективно оценить текущее состояние ИБ организации, а также ее адекватность поставленным целям и задачам бизнеса.

Под аудитом ИБ понимается системный процесс получения объективных качественных и количественных оценок текущего состояния ИБ организации в соответствии с определенными критериями и показателями на всех основных уровнях обеспечения безопасности: нормативно-методологическом, организационно-управленческом, процедурном и программно-техническом

Результаты квалифицированно выполненного аудита ИБ организации позволяют построить оптимальную по эффективности и затратам систему обеспечения информационной безопасности (СОИБ), представляющую собой комплекс технических средств, а также процедурных, организационных и правовых мер, объединенных на основе модели управления ИБ.

В результате проведения аудита могут быть получены как качественные, так и количественные оценки. При качественном оценивании, например, может быть приведен перечень уязвимостей в программно-аппаратном обеспечении с их классификацией по трехуровневой шкале опасности: высокая, средняя и низкая. Количественные оценки чаще всего применяются при оценке риска для активов организации, создаваемого угрозами безопасности. В качестве количественных оценок могут выступать, например, цена риска, вероятность риска, размер риска и т. п.

Объективность аудита обеспечивается, в частности, тем, что оценка состояния ИБ производится специалистами на основе определенной методики, позволяющей объективно проанализировать все составляющие СОИБ.

Аудит ИБ может представлять собой услугу, которую предлагают специализированные фирмы, тем не менее в организации должен проводиться внутренний аудит ИБ, выполняемый, например, администраторами безопасности.

Традиционно выделяют три типа аудита ИБ, которые различаются перечнем анализируемых компонентов СОИБ и получаемыми результатами:

− активный аудит;

− экспертный аудит;

− аудит на соответствие стандартам ИБ.

8.1.1. Активный аудит

Активный аудит представляет собой обследование состояния защищенности определенных подсистем информационной безопасности (ПИБ), относящихся к программно-техническому уровню. Например, вариант активного аудита, называемый тестом на проникновение (Penetration test), предполагает обследование подсистемы защиты сетевых взаимодействий. Активный аудит включает:

− анализ текущей архитектуры и настроек элементов ПИБ;

− интервьюирование ответственных и заинтересованных лиц;

− проведение инструментальных проверок, охватывающих определенные

Анализ архитектуры и настроек элементов ПИБ проводится специалистами, обладающими знаниями по конкретным подсистемам, представленным

в обследуемой системе (например, могут требоваться специалисты по активному сетевому оборудованию фирмы Cisco или по ОС семейства Microsoft), а также системными аналитиками, которые выявляют возможные изъяны в организации подсистем. Результатом этого анализа является набор опросных листов и инструментальных тестов.

Опросные листы используются в процессе интервьюирования лиц, отвечающих за администрирование АИС, для получения субъективных характеристик АИС, для уточнения полученных исходных данных и для идентификации некоторых мер, реализованных в рамках СОИБ. Например, опросные листы могут включать вопросы, связанные с политикой смены и назначения паролей, жизненным циклом АИС и степенью критичности отдельных ее подсистем для АИС и бизнес-процессов организации в целом.

Параллельно с интервьюированием проводятся инструментальные проверки (тесты), которые могут включать следующие мероприятия:

− визуальный осмотр помещений, обследование системы контроля доступа в помещения;

− получение конфигураций и версий устройств и ПО;

− проверка соответствия реальных конфигураций предоставленным исходным данным;

− получение карты сети специализированным ПО;

− использование сканеров защищенности (как универсальных, так и специализированных);

− моделирование атак, использующих уязвимости системы;

− проверка наличия реакции на действия, выявляемые механизмами обнаружения и реагирования на атаки.

Аудитор может исходить из следующих моделей, описывающих степень его знания исследуемой АИС (модель знания):

− модель «черного ящика» – аудитор не обладает никакими априорными знаниями об исследуемой АИС. Например, при проведении внешнего актив-

ного аудита (то есть в ситуации, когда моделируются действия злоумышленника, находящегося вне исследуемой сети), аудитор может, зная только имя или IP-адрес web-сервера, пытаться найти уязвимости в его защите;

− модель «белого ящика» – аудитор обладает полным знанием о структуре исследуемой сети. Например, аудитор может обладать картами и диаграммами сегментов исследуемой сети, списками ОС и приложений. Применение данной модели не в полной мере имитирует реальные действия злоумышленника, но позволяет, тем не менее, представить «худший» сценарий, когда атакующий обладает полным знанием о сети. Кроме того, это позволяет построить сценарий активного аудита таким образом, чтобы инструментальные тесты имели минимальные последствия для АИС и не нарушали ее нормальной работы;

− модель «серого ящика» или «хрустального ящика» – аудитор имитирует действия внутреннего пользователя АИС, обладающего учетной записью доступа в сеть с определенным уровнем полномочий. Данная модель позволяет оценить риски, связанные с внутренними угрозами, например от неблагонадежных сотрудников компании.

Аудиторы должны согласовывать каждый тест, модель знания, применяемую в тесте, и возможные негативные последствия теста с лицами, заинтересованными в непрерывной работе АИС (руководителями, администраторами системы и др.).

По результатам инструментальной проверки проводится пересмотр результатов предварительного анализа и, возможно, организуется дополнительное обследование (рис. 8.1).

Инструментальная проверка

Рис. 8.1. Схема проведения активного аудита ИБ

По результатам активного аудита создается аналитический отчет, состоящий из описания текущего состояния технической части СОИБ, списка найденных уязвимостей АИС со степенью их критичности и результатов упрощенной оценки рисков, включающей модель нарушителя и модель угроз.

Дополнительно может быть разработан план работ по модернизации технической части СОИБ, состоящий из перечня рекомендаций по обработке рисков.

8.1.2. Экспертный аудит

Экспертный аудит предназначен для оценивания текущего состояния ИБ на нормативно-методологическом, организационно-управленческом и процедурном уровнях. Экспертный аудит проводится преимущественно внешними аудиторами, его выполняют силами специалистов по системному управлению. Сотрудники организации-аудитора совместно с представителями заказчика проводят следующие виды работ:

− сбор исходных данных об АИС, ее функциях и особенностях, используемых технологиях автоматизированной обработки и передачи информации (с учетом ближайших перспектив развития);

− сбор информации об имеющихся организационно-распорядительных документах по обеспечению ИБ и их анализ;

− определение защищаемых активов, ролей и процессов СОИБ.

Важнейшим инструментом экспертной оценки является сбор данных об АИС путем интервьюирования технических специалистов и руководства заказчика.

Основные цели интервьюирования руководящего состава организации:

− определение политики и стратегии руководства в вопросах обеспечения

− выявление целей, которые ставятся перед СОИБ;

− выяснение требований, которые предъявляются к СОИБ;

− получение оценок критичности тех или иных подсистем обработки информации, оценок финансовых потерь при возникновении тех или иных инцидентов.

Основные цели интервьюирования технических специалистов:

− сбор информации о функционировании АИС;

− получение схемы информационных потоков в АИС;

− получение информации о технической части СОИБ;

− оценка эффективности работы СОИБ.

В рамках экспертного аудита проводится анализ организационнораспорядительных документов, таких как политика безопасности, план защиты, различного рода положения и инструкции. Организационнораспорядительные документы оцениваются на предмет достаточности и непротиворечивости декларируемым целям и мерам ИБ, а также на предмет соответствия стратегической политике руководства в вопросах ИБ.

Результаты экспертного аудита могут содержать рекомендации по совершенствованию нормативно-методологических, организационноуправленческих и процедурных компонентов СОИБ.

Сакральная фраза – «владение информацией – владение миром» актуальна как никогда. Потому, сегодня «красть информацию» присуща большинству злоумышленников. Избежать этого можно путем внедрения ряда защиты от атак, а также своевременное проведение аудита информационной безопасности. Аудит информационной безопасности – понятие новое, которое подразумевает актуально и динамическое развивающееся направление оперативного и стратегического менеджмента, которое касается безопасности информационной системы.

Информационный аудит – теоретические основы

Объем информации в современном мире растет стремительно быстро, так как во всем мире наблюдается тенденция глобализации использования компьютерной техники во всем слоях человеческого общества. В жизни рядового человека, информационные технологии являются основной составляющей.

Это выражается в использовании Интернета, как в рабочих целях, так и с целью игры и развлечения. Параллельно с развитием информационных технологий, растет монетизация сервисов, а значит и количество времени, которое затрачивается на совершение разных платежных операций с использованием пластиковых карт. В их число входит безналичный расчет за разные товары и потребленные услуги, транзакции в платежной системе онлайн банкинга, обмен валют, прочие платежные операции. Это все влияет на пространство во всемирной паутине, делая ее больше.

Информации о владельцах карт становится также, больше. Это является основой для расширения поля деятельности мошенников, которые на сегодняшний день, ухищряются произвести колоссальную массу атак, среди которых атаки поставщика услуг и конечного пользователя. В последнем случае, предотвратить атаку можно за счет использования соответствующего ПО, а вот если это касается вендора, необходимо применение комплекса мер, которые минимизируют перебои работы, утечку данных, взломы сервиса. Это осуществляется за счет своевременного проведения аудита информационной безопасности.

Задача, которую преследует информационные аудит лежит в своевременной и точной оценке состояния безопасности информации в текущий момент конкретного субъекта хозяйствования, а также соответствие поставленной цели и задачи ведения деятельности, с помощью которого должно производиться повышение рентабельности и эффективности экономической деятельности.

Иными словами, аудит информационной безопасности – это проверка того или иного ресурса на возможность противостоять потенциальным или реальным угрозам.

• Аудит информационной безопасности преследует следующие цели:
• Оценить состояние информационной системы информации на предмет защищенности.
• Аналитическом выявлении потенциальных рисков, которые связаны с внешним проникновением в информационную сеть.
• Выявлением локализации прорех в системе безопасности.
• Аналитическом выявлении соответствия между уровнем безопасности и действующим стандартам законодательной базы.
• Инициирование новых методов защиты, их внедрение на практике, а также создание рекомендаций, с помощью которых будет происходить усовершенствование проблем средств защиты, а также поиск новых разработок в данном направлении.

Применяется аудит при:

• Полной проверке объекта, который задействован в информационном процессе. Частности, речь идет о компьютерных системах, системах средств коммуникации, при приеме, передаче, а также обработке данных определенного объема информации, технических средств, систем наблюдения т.д.
• Полной проверке электронных технических средств, а также компьютерных системе на предмет воздействия излучения и наводок, которые будут способствовать их отключению.
• При проверке проектной части, в которые включены работы по созданию стратегий безопасности, а также их практического исполнения.
• Полной проверке надежности защиты конфиденциальной информации, доступ к которой ограничен, а также определение «дыр» с помощью которых данная информация обнародуется с применением стандартных и нестандартным мер.

Когда возникает необходимость проведения аудита?

Важно отметить, что необходимость проведения информационного аудита возникает при нарушении защиты данных. Также, проверка рекомендована к проведению при:

• Слиянии компании.
• Расширении бизнеса.
• Поглощении или присоединении.
• Смене руководства.

Виды аудита информационных систем

На сегодняшний день, существует внешний и внутренний информационный аудит.

Для внешнего аудита характерно привлечение посторонних, независимых экспертов, которые имеют право на осуществление таковой деятельности. Как правило, данный вид проверки носит разовый характер и инициируется руководителем предприятия, акционером или органами правоохранения. Проведение внешнего аудита не является обязательным, носит, скорее всего, рекомендованный характер. Однако есть нюансы, закрепленные законодательством, при которых внешний аудит информационной безопасности является обязательным. К примеру, под действие закона попадают финансовые учреждения, акционерные общества, а также финансовые организации.

Внутренний аудит безопасности информационных потоков представляет собой постоянный процесс, проведение которого регламентировано соответствующим документом «Положением о проведении внутреннего аудита». Это мероприятие, в рамках компании имеет аттестационный характер, проведение которого отрегулировано соответствующим приказом по предприятию. За счет проведения внутреннего аудита, в компании обеспечивается за счет специального подразделения в компании.

Аудит классифицируют также как:

• Экспертный.
• Аттестационный.
• Аналитический.

Экспертный включает в себя проверку состояния защиты информационных потоков и систем, которые основываются на опыте экспертов и тех, кто проводит эту проверку.

Аттестационный вид аудита касается систем, а также мер безопасности, в частности их соответствие принятым стандартам в международном обществе, а также соответствующими государственными документами, которые регулирую правовую основу данной деятельности.

Аналитический вид аудита касается проведения глубокого анализа информационной системы, с применением технических приспособлений. Данные действия должны быть направлены на то, чтобы выявить уязвимые места программно-аппаратного комплекса.

Методика и средства для проведения аудита на практике

Аудит проводится поэтапно и включает в себя:

Первый этап считается самым простым. Он определяет права и обязанности проводящего аудит, разработку пошагового плана действий и согласование с руководством. При этом на собрании сотрудников определяются границы анализа.

На втором этапе применяются большие объемы потребления ресурсов. Это обосновано тем, что изучается вся техническая документация, которая касается программно-аппаратного комплекса.

Третий этап проводится с помощью одного из трех методов, а именно:

• Анализа рисков.
• Анализа соответствия стандартам и законодательству.
• Комбинации анализа рисков и соответствия закона.

Четвертый этап позволяет систематизировать полученные данные провести глубокий анализ. При этом проверяющий обязательно должен быть компетентным в этом вопросе.

Как пройти , чтобы не возникло проблем? Для чего нужна такая проверка? Наша статья расскажет об этом.

Что такое аудиторская проверка и какие виды аудита бывают? Об этом написано .

Вы узнаете, что такое налоговая проверка и для каких целей она нужна.

После проведения проверки обязательно должно быть составлено заключение, которое отражено в соответствующем отчетном документе. В отчете, как правило, отражаются такие сведенья:

1. Регламент проведенного аудита.
2. Структуру системы информационных потоков на предприятии.
3. Какими методами и средствами была проведена проверка
4. Точное описание уязвимых мест и недостатков, с учетом риска и уровня недостатков.
5. Рекомендованные действия по устранению опасных мест, а также улучшению комплекса всей системы.
   Реальные практические советы, с помощью которых должны быть реализованы мероприятия, направлены на минимизацию рисков, которые были выявлены при проверке.

Аудит информационной безопасности на практике

На практике, довольно распространенным безобидным примером, является ситуация при которой сотрудник А, занимающийся закупками торгового оборудования вел переговоры с помощью определенной программы «В».

При этом сама программа является уязвимой, а при регистрации, сотрудник не указал ни электронного адреса, ни номера, а использовал альтернативный абстрактный адрес почты с несуществующим доменом.

По итогу, злоумышленник может зарегистрировать аналогичный домен и создать регистрационный терминал. Это позволит ему отправлять сообщения компании, которая владеет сервисом программы «В», с просьбой выслать утерянный пароль. При этом сервер будет отправлять почту на существующий адрес мошенника, так как у него работает редирект. В результате этой операции, мошенник имеет доступ к переписке, оглашает поставщику иные информационные данные, и управляет направлением груза по неизвестному, для сотрудника, направлению.

Актуальность информационного аудита в современном мире, становится все более востребование, в виду роста числа пользователей, как пространства всемирной паутины, так и применения различных способов монетизации в различных сервисах. Таким образом, данные каждого из пользователей становятся доступными для злоумышленников. Защитить их можно путем выявления очага проблемы – слабых мест информационных потоков.

Вконтакте