Как настроить смартфоны и ПК. Информационный портал
  • Главная
  • Windows Phone
  • Аудит безопасности и методы его проведения. Аудит информационной безопасности — что это, для чего и кто может провести

Аудит безопасности и методы его проведения. Аудит информационной безопасности — что это, для чего и кто может провести

18.08.2019 Windows Phone

Сегодня всем известна чуть ли не сакральная фраза о том, что владеющий информацией владеет миром. Именно поэтому в наше время красть пытаются все кому не лень. В связи с этим принимаются и беспрецедентные шаги по внедрению средств защиты от возможных атак. Однако иногда может потребоваться провести аудит предприятия. Что это такое и зачем все это нужно, сейчас и попробуем разобраться.

Что представляет собой аудит информационной безопасности в общем определении?

Сейчас не будем затрагивать заумные научные термины, а постараемся определить для себя основные понятия, описав их самым простым языком (в народе это можно было назвать аудитом для «чайников»).

Название этого комплекса мероприятий говорит само за себя. Аудит информационной безопасности представляет собой независимую проверку или обеспечения безопасности информационной системы (ИС) какого-либо предприятия, учреждения или организации на основе специально разработанных критериев и показателей.

Говоря простым языком, например, аудит информационной безопасности банка сводится к тому, чтобы оценить уровень защиты баз данных клиентов, проводимых банковских операций, сохранности электронных денежных средств, сохранности банковской тайны и т. д. в случае вмешательства в деятельность учреждения посторонними лицами извне, использующими электронные и компьютерные средства.

Наверняка, среди читателей найдется хотя бы один человек, которому звонили домой или на мобильный телефон с предложением оформления кредита или депозитного вклада, причем из банка, с которым он никак не связан. То же самое касается и предложения покупок от каких-то магазинов. Откуда всплыл ваш номер?

Все просто. Если человек ранее брал кредит или вкладывал деньги на депозитный счет, естественно, его данные были сохранены в единой При звонке из другого банка или магазина можно сделать единственный вывод: информация о нем незаконно попала в третьи руки. Как? В общем случае можно выделить два варианта: либо она была украдена, либо передана сотрудниками банка третьим лицам осознанно. Для того чтобы такие вещи не происходили, и нужно вовремя проводить аудит информационной безопасности банка, причем это касается не только компьютерных или «железных» средств защиты, но всего персонала банковского учреждения.

Основные направления аудита информационной безопасности

Что касается сферы применения такого аудита, как правило, их различают несколько:

  • полная проверка объектов, задействованных в процессах информатизации (компьютерные автоматизированные системы, средства коммуникации, приема, передачи и обработки информационных данных, технических средств, помещений для проведения конфиденциальных встреч, систем наблюдения и т.д.);
  • проверка надежности защиты конфиденциальной информации с ограниченным доступом (определение возможных каналов утечки и потенциальных дыр в системе безопасности, позволяющих получить к ней доступ извне с использованием стандартных и нестандартных методов);
  • проверка всех электронных технических средств и локальных компьютерных систем на предмет воздействия на них электромагнитного излучения и наводок, позволяющих отключить их или привести в негодность;
  • проектная часть, включающая в себя работы по созданию концепции безопасности и применения ее в практическом исполнении (защита компьютерных систем, помещений, средств связи и т.д.).

Когда возникает необходимость проведения аудита?

Не говоря о критических ситуациях, когда защита уже была нарушена, аудит информационной безопасности в организации может проводиться и в некоторых других случаях.

Как правило, сюда включают расширение компании, слияния, поглощения, присоединения другими предприятиями, смену концепции курса бизнеса или руководства, изменения в международном законодательстве или в правовых актах внутри отдельно взятой страны, достаточно серьезных изменения в информационной инфраструктуре.

Виды аудита

Сегодня сама классификация такого типа аудита, по мнению многих аналитиков и экспертов, является не устоявшейся. Поэтому и разделение на классы в некоторых случаях может быть весьма условным. Тем не менее в общем случае аудит информационной безопасности можно разделить на внешний и внутренний.

Внешний аудит, проводимый независимыми экспертами, имеющими на это право, обычно представляет собой разовую проверку, которая может быть инициирована руководством предприятия, акционерами, правоохранительными органами и т.д. Считается, что внешний аудит информационной безопасности рекомендован (а не обязателен) для проведения регулярно в течение установленного промежутка времени. Но для некоторых организаций и предприятий, согласно законодательства, он является обязательным (например, финансовые учреждения и организации, акционерные общества и др.).

Информационной безопасности является процессом постоянным. Он базируется на специальном «Положении о внутреннем аудите». Что это такое? По сути, это аттестационные мероприятия, проводимые в организации, в сроки, утвержденные руководством. Проведение аудита информационной безопасности обеспечивается специальными структурными подразделением предприятия.

Альтернативная классификация видов аудита

Кроме выше описанного разделения на классы в общем случае, можно выделить еще несколько составляющих, принятых в международной классификации:

  • экспертная проверка состояния защищенности информации и информационных систем на основе личного опыта экспертов, ее проводящих;
  • аттестация систем и мер безопасности на предмет соответствия международным стандартам (ISO 17799) и государственным правовым документам, регулирующим эту сферу деятельности;
  • анализ защищенности информационных систем с применением технических средств, направленный на выявление потенциальных уязвимостей в программно-аппаратном комплексе.

Иногда может применяться и так называемый комплексный аудит, который включает в себя все вышеперечисленные виды. Кстати, именно он дает наиболее объективные результаты.

Постановочные цели и задачи

Любая проверка, будь то внутренняя или внешняя, начинается с постановки целей и задач. Если говорить проще, нужно определить, зачем, что и как будет проверяться. Это и предопределит дальнейшую методику проведения всего процесса.

Поставленных задач, в зависимости от специфики структуры самого предприятия, организации, учреждения и его деятельности, может быть достаточно много. Однако среди всего этого выделяют унифицированные цели аудита информационной безопасности:

  • оценка состояния защищенности информации и информационных систем;
  • анализ возможных рисков, связанных с угрозой проникновения в ИС извне, и возможных методов осуществления такого вмешательства;
  • локализация дыр и прорех в системе безопасности;
  • анализ соответствия уровня безопасности информационных систем действующим стандартам и нормативно-правовым актам;
  • разработка и выдача рекомендаций, предполагающих устранение существующих проблем, а также усовершенствование существующих средств защиты и внедрение новых разработок.

Методика и средства проведения аудита

Теперь несколько слов о том, как проходит проверка и какие этапы и средства она в себя включает.

Проведение аудита информационной безопасности состоит из нескольких основных этапов:

  • инициирование процедуры проверки (четкое определение прав и обязанностей аудитора, подготовка аудитором плана проверки и его согласование с руководством, решение вопроса о границах проведения исследования, накладывание на сотрудников организации обязательства в помощи и своевременном предоставлении необходимой информации);
  • сбор исходных данных (структура системы безопасности, распределение средств обеспечения безопасности, уровни функционирования системы безопасности, анализ методов получения и предоставления информации, определение каналов связи и взаимодействия ИС с другими структурами, иерархия пользователей компьютерных сетей, определение протоколов и т.д.);
  • проведение комплексной или частичной проверки;
  • анализ полученных данных (анализ рисков любого типа и соответствия стандартам);
  • выдача рекомендаций по устранению возможных проблем;
  • создание отчетной документации.

Первый этап является наиболее простым, поскольку его решение принимается исключительно между руководством предприятия и аудитором. Границы проведения анализа могут быть рассмотрены на общем собрании сотрудников или акционеров. Все это в большей степени относится к правовому полю.

Второй этап сбора исходных данных, будь то проведение внутреннего аудита информационной безопасности или внешней независимой аттестации, является наиболее ресурсоемким. Связано это с тем, что на этой стадии нужно не только изучить техническую документацию, касающуюся всего программно-аппаратного комплекса, но и провести узконаправленное интервьюирование сотрудников компании, причем в большинстве случаев даже с заполнением специальных опросных листов или анкет.

Что же касается технической документации, здесь важно получить данные о структуре ИС и приоритетных уровнях прав доступа к ней сотрудников, определить общесистемное и прикладное программное обеспечение (используемые операционные системы, приложения для ведения бизнеса, управления им и учета), а также установленные средства защиты софтверного и непрограммного типа (антивирусы, файрволлы и т.д.). Кроме того, сюда включается полная проверка сетей и провайдеров, предоставляющих услуги связи (организация сети, используемые протоколы для подключения, типы каналов связи, методы передачи и приема информационных потоков и многое другое). Как уже понятно, это занимает достаточно много времени.

На следующем этапе определяются методы аудита информационной безопасности. Их различают три:

  • анализ рисков (самая сложная методика, базирующаяся на определении аудитором возможности проникновения в ИС и нарушения ее целостности с применением всех возможных методов и средств);
  • оценка соответствия стандартам и законодательным актам (наиболее простой и самый практичный метод, основанный на сравнении текущего состояния дел и требований международных стандартов и внутригосударственных документов в сфере информационной безопасности);
  • комбинированный метод, объединяющий два первых.

После получения результатов проверки начинается их анализ. Средства аудита информационной безопасности, которые применяются для анализа, могут быть достаточно разнообразными. Все зависит от специфики деятельности предприятия, типа информации, используемого программного обеспечения, средств защиты и пр. Однако, как можно заметить по первой методике, аудитору, главным образом, придется опираться на собственный опыт.

А это означает только то, что он должен обладать соответствующей квалификацией в сфере информационных технологий и защиты данных. На основе такого анализа аудитор и рассчитывает возможные риски.

Заметьте, он должен разбираться не только в операционных системах или программах, используемых, например, для ведения бизнеса или бухгалтерского учета, но и четко понимать, каким образом злоумышленник может проникнуть в информационную систему с целью кражи, порчи и уничтожения данных, создания предпосылок для нарушений в работе компьютеров, распространения вирусов или вредоносного ПО.

На основе проведенного анализа эксперт делает заключение о состоянии защиты и выдает рекомендации по устранению имеющихся или возможных проблем, модернизации системы безопасности и т.д. При этом рекомендации должны быть не только объективными, но и четко привязанными к реалиям специфики предприятия. Иными словами, советы по апгрейду конфигурации компьютеров или программного обеспечения не принимаются. В равной степени это относится и к советам по увольнению «ненадежных» сотрудников, установке новых систем слежения без конкретного указания их назначения, места установки и целесообразности.

Исходя из проведенного анализа, как правило, различают несколько групп рисков. При этом для составления сводного отчета используется два основных показателя: вероятность проведения атаки и ущерб, нанесенный компании в результате (потеря активов, снижение репутации, потеря имиджа и пр.). Однако показатели по группам не совпадают. Так, например, показатель низкого уровня для вероятности атаки является лучшим. Для ущерба - наоборот.

Только после этого составляется отчет, в котором детально расписываются все этапы, методы и средства проведенных исследований. Он согласовывается с руководством и подписывается двумя сторонами - предприятием и аудитором. Если аудит внутренний, составляет такой отчет глава соответствующего структурного подразделения, после чего он, опять же, подписывается руководителем.

Аудит информационной безопасности: пример

Наконец, рассмотрим самый простой пример ситуации, которая уже случалась. Многим, кстати, она может показаться очень знакомой.

Так, например, некий сотрудник компании, занимающейся закупками в США, установил на компьютер мессенджер ICQ (имя сотрудника и название фирмы не называется по понятным соображениям). Переговоры велись именно посредством этой программы. Но «аська» является достаточно уязвимой в плане безопасности. Сам сотрудник при регистрации номера на тот момент либо не имел адреса электронной почты, либо просто не захотел его давать. Вместо этого он указал что-то похожее на e-mail, причем даже с несуществующим доменом.

Что бы сделал злоумышленник? Как показал аудит информационной безопасности, он бы зарегистрировал точно такой же домен и создал бы в нем другой регистрационный терминал, после чего мог отослать сообщение в компанию Mirabilis, которая владеет сервисом ICQ, с просьбой восстановления пароля по причине его утери (что и было бы сделано). Поскольку сервер получателя не являлся почтовым, на нем был включен редирект - перенаправление на существующую почту злоумышленника.

Как результат, он получает доступ к переписке с указанным номером ICQ и сообщает поставщику об изменении адреса получателя товара в определенной стране. Таким образом, груз отправляется неизвестно куда. И это самый безобидный пример. Так, мелкое хулиганство. А что говорить о более серьезных хакерах, которые способны куда на большее…

Заключение

Вот вкратце и все, что касается аудита безопасности ИС. Конечно, здесь затронуты далеко не все его аспекты. Причина состоит только в том, что на постановку задач и методы его проведения влияет очень много факторов, поэтому подход в каждом конкретном случае строго индивидуален. К тому же методы и средства аудита информационной безопасности могут быть разными для различных ИС. Однако, думается, общие принципы таких проверок для многих станут понятными хотя бы на начальном уровне.

Результатом работы аудитора является составление аудиторского заключения. Для того чтобы иметь основания для выводов по основным направлениям аудиторской проверки, аудитор должен собрать соответствующие доказательства. Информация, собранная и проанализированная аудитором в ходе проверки, служит обоснованием выводов аудитора и называется аудиторскими доказательствами. Собирая аудиторские доказательства, аудитор использует следующие методы:

1. Методы фактического контроля

а) инвентаризация;

б) контрольный обмер.

2. Методы документального контроля

а) формальная проверка;

б) арифметическая проверка;

в) проверка документов по существу.

3. Прочие методы

а) наблюдение;

в) экономический анализ.

Рассмотрим, насколько эффективен каждый из этих методов сбора аудиторских доказательств при проверке основных средств.

Инвентаризация проводится в целях обеспечения достоверности данных бухгалтерского учета и отчетности. Сразу по прибытии в организацию аудитор должен уточнить дату проведения последней инвентаризации. Если инвентаризация основных средств не проводилась более 2-3 лет, то аудитор может потребовать ее проведение, что позволит более качественно провести последовательную проверку и уменьшить аудиторский риск. Аудитор может сам участвовать в проведении инвентаризации или ограничиться наблюдением за ее проведением. Рекомендуется убедиться в наличии наиболее дорогостоящих предметов. Часть имущества может отсутствовать, в этом случае надо проверить, по каким документам, кому и когда оно передано. При использовании работниками какого-либо имущества в домашних условиях стоимость этого имущества (компьютеров, принтеров) может рассматриваться в качестве налогооблагаемой базы (дохода) работников. В том случае, когда при проведении инвентаризации основных средств выясняется, что один из цехов проверяемого экономического субъекта занят иным хозяйствующим субъектом (признаков тому может быть несколько: весит вывеска с наименованием другого экономического субъекта; выпускается продукция, не соответствующая профилю проверяемого экономического субъекта и т.п.), а в составе доходов от внереализационных операций нет статьи “доходы от аренды”, то речь идет о “скрытой аренде” и уклонении от уплаты налогов. Аудитор может сделать вывод о нарушении клиентом законодательства при совершении финансово-хозяйственных операций. Инвентаризация основных средств производится на основании “Методических указаний по инвентаризации имущества и финансовых обязательств” утв. Приказом МФ РФ от 13.06.95 № 49.

Метод контрольного обмера эффективен при проверке затрат на ремонт основных средств. Аудитор может произвести контрольный обмер объемов выполненных работ по ремонту непосредственно на объектах, что позволит дать объективную оценку фактических ремонтных работ и установить сумму необоснованно списанных материалов, а также сумму незаконно выплаченной заработной платы, если при попустительстве отдельных работников организации имело место завышение объемов выполненных работ.

При проведении формальной проверки документов аудитор визуально просматривает первичные документы по учету основных средств, инвентарные карточки, журналы-ордера, расчетные таблицы, форму №5, Главную книгу и др. Необходимо проверить соответствие документов типовым межведомственным формам, правильность заполнения всех реквизитов, наличие неоговоренных исправлений, подчисток, дописок в тексте и цифр, подлинность подписей должностных и материально ответственных лиц, инструкции о порядке заполнения типовых форм годовой бухгалтерской отчетности, карточек подписей должностных лиц.

Метод арифметической проверки предусматривает проверку правильности подсчетов, а также правильности составления алгоритмов расчетов при автоматизации бухгалтерского учета, проверку расчетов сумм амортизации, переоценки основных средств, правильности применения норм амортизации и коэффициентов пересчета. Также сверяются данные аналитических и синтетических счетов, журналов-ордеров, главной книги, баланса, приложения к балансу по ф. №5.

При проверке документов по существу рассматривается законность и целесообразность хозяйственной операции, правильность отнесения на счета и включения в статьи затрат. При реализации основных средств на сторону аудитору необходимо убедиться, что на это есть письменное разрешение руководителя. Если при проверке первичный документ вызывает сомнение, то необходимо получить письменное объяснение у лиц, ответственных за данную сделку, и сделать встречную проверку.

Наблюдение - получение общего представления о возможностях клиента на основании визуального наблюдения. Аудитор наблюдает за тем, как оформляется та или иная операция по учету движения основных средств, заполняются первичные документы и регистры синтетического учета. Однако операции по учету основных средств не так многообразны и часты, особенно на малых предприятиях, поэтому наблюдение как метод аудиторской проверки малоэффективен. Более полную информацию можно получить в результате документальной проверки, опроса сотрудников и экономического анализа.

Методом экономического анализа аудитор пользуется, как правило, при проверке бухгалтерской отчетности, где отражено состояние основных средств (ф.№1, ф.№5). Аудитор может сделать анализ использования организацией основных средств по времени и мощности с учетом специфики производственной деятельности организации, а так же эффективность капиталовложений.

Опрос - получение устной или письменной информации от клиента. Опрос или беседа должны быть проведены со всеми сотрудниками, принимающими участие в учете основных средств и заполнении отчетности. Для того чтобы беседа дала аудитору результаты, она, как и все прочие аудиторские процедуры, должна быть тщательно спланирована. Для этого аудитор составляет заранее вопросник, который включает в себя перечень вопросов, которые аудитор планирует задать сотрудникам организации с вариантами ответов. Вопросник распечатывается в нужном количестве экземпляров, соответствующем составу опрашиваемых специалистов. На каждом экземпляре вопросника проставляется должность, фамилия, имя и отчество лица, с которым будет проведена беседа. По результатам опроса аудитор делает пометки напротив выбранных сотрудниками вариантов ответа и делает вывод о состоянии дисциплины в организации учета основных средств и определяет степень аудиторского риска и глубину последующих процедур по проверке правильности учета основных средств.

Сегодня информационные системы (ИС) играют ключевую роль в обеспечении эффективности работы коммерческих и государственных предприятий. Повсеместное использование ИС для хранения, обработки и передачи информации делает актуальными проблемы их защиты, особенно учитывая глобальную тенденцию к росту числа информационных атак, приводящих к значительным финансовым и материальным потерям. Для эффективной защиты от атак компаниям необходима объективная оценка уровня безопасности ИС - именно для этих целей и применяется аудит безопасности.

Что такое аудит безопасности

Определение аудита безопасности еще не устоялось, но в общем случае его можно описать как процесс сбора и анализа информации об ИС для качественной или количественной оценки уровня ее защищенности от атак злоумышленников. Существует множество случаев, когда целесообразно проводить аудит безопасности. Это делается, в частности, при подготовке технического задания на проектирование и разработку системы защиты информации и после внедрения системы безопасности для оценки уровня ее эффективности. Возможен аудит, направленный на приведение действующей системы безопасности в соответствие требованиям российского или международного законодательства. Аудит может также предназначаться для систематизации и упорядочения существующих мер защиты информации или для расследования произошедшего инцидента, связанного с нарушением информационной безопасности.

Как правило, для проведения аудита привлекаются внешние компании, которые предоставляют консалтинговые услуги в области информационной безопасности. Инициатором процедуры аудита может стать руководство предприятия, служба автоматизации или служба информационной безопасности. В ряде случаев аудит также проводится по требованию страховых компаний или регулирующих органов. Аудит безопасности выполняется группой экспертов, численность и состав которой зависит от целей и задач обследования, а также от сложности объекта оценки.

Виды аудита безопасности

Можно выделить следующие основные виды аудита информационной безопасности:

  • экспертный аудит безопасности, в ходе которого выявляются недостатки в системе мер защиты информации на основе опыта экспертов, участвующих в процедуре обследования;
  • оценка соответствия рекомендациям международного стандарта ISO 17799, а также требованиям руководящих документов ФСТЭК (Гостехкомиссии);
  • инструментальный анализ защищенности ИС, направленный на выявление и устранение уязвимостей программно-аппаратного обеспечения системы;
  • комплексный аудит, включающий в себя все вышеперечисленные формы проведения обследования.

Любой из перечисленных видов аудита может проводиться по отдельности или в комплексе, в зависимости от тех задач, которые решает предприятие. В качестве объекта аудита может выступать как ИС компании в целом, так и ее отдельные сегменты, в которых обрабатывается информация, подлежащая защите.

Проведение аудита безопасности

В общем случае аудит безопасности, вне зависимости от формы его проведения, состоит из четырех основных этапов, на каждом из которых выполняется определенный круг работ (см. рисунок).

Основные этапы работ при проведении аудита безопасности.

На первом этапе совместно с заказчиком разрабатывается регламент, устанавливающий состав и порядок проведения работ. Основная задача регламента - определить границы, в рамках которых будет проводиться обследование. Регламент позволяет избежать взаимных претензий по завершении аудита, поскольку четко определяет обязанности сторон. Как правило, регламент содержит следующую основную информацию:

  • состав рабочих групп от исполнителя и заказчика для проведения аудита;
  • список и местоположение объектов заказчика, подлежащих аудиту;
  • перечень информации, которая будет предоставлена исполнителю;
  • перечень ресурсов, которые рассматриваются в качестве объектов защиты (информационные, программные, физические ресурсы и т. д.);
  • модель угроз информационной безопасности, на основе которой проводится аудит;
  • категории пользователей, которые рассматриваются в качестве потенциальных нарушителей;
  • порядок и время проведения инструментального обследования ИС заказчика.

На втором этапе, в соответствии с согласованным регламентом, собирается исходная информация. Методы сбора информации включают интервьюирование сотрудников заказчика, заполнение опросных листов, анализ предоставленной организационно-распорядительной и технической документации, использование специализированных инструментальных средств.

Третий этап работ предполагает анализ собранной информации с целью оценки текущего уровня защищенности ИС предприятия. По результатам проведенного анализа на четвертом этапе разрабатываются рекомендации по повышению уровня защищенности ИС от угроз информационной безопасности.

Ниже мы подробнее рассмотрим этапы аудита, связанные со сбором информации, ее анализом и разработкой рекомендаций по повышению уровня защиты ИС.

Сбор исходных данных

Качество аудита безопасности во многом зависит от полноты и точности информации, полученной в процессе сбора исходных данных. Поэтому в нее необходимо включить следующее: организационно-распорядительную документацию, касающуюся вопросов информационной безопасности, сведения о программно-аппаратном обеспечении ИС, информацию о средствах защиты, установленных в ИС, и т. д. Более подробный перечень исходных данных представлен в табл. 1.

Таблица 1. Перечень исходных данных, необходимых для аудита безопасности

Тип информации Состав исходных данных
Организационно-распорядительная документация по вопросам информационной безопасности
  • политика информационной безопасности ИС;
    руководящие документы (приказы, распоряжения, инструкции) по вопросам хранения, порядка доступа и передачи информации;
    регламенты работы пользователей с информационными ресурсами ИС
Информация об аппаратном обеспечении хостов
  • перечень серверов, рабочих станций и коммуникационного оборудования, установленного в ИС;
  • аппаратные конфигурации серверов и рабочих станций;
  • сведения о периферийном оборудовании
Информация об общесистемном ПО
  • сведения об ОС, установленных на рабочих станциях и серверах;
  • сведения о СУБД, установленных в ИС
Информация о прикладном ПО
  • перечень прикладного ПО общего и специального назначения, установленного в ИС;
  • описание функциональных задач, решаемых с помощью прикладного ПО
Информация о средствах защиты, установленных в ИС
  • производитель средства защиты;
  • конфигурационные настройки средства защиты;
  • схема установки средства защиты
Информация о топологии ИС
  • карта локальной вычислительной сети, включая схему распределения серверов и рабочих станций по сегментам сети;
  • типы каналов связи, используемых в ИС;
  • используемые в ИС сетевые протоколы;
  • схема информационных потоков ИС

Как уже отмечалось выше, для сбора исходных данных применяются следующие методы.

Интервьюирование сотрудников заказчика , обладающих необходимой информацией. Интервью обычно проводятся как с техническими специалистами, так и с представителями руководящего звена компании. Перечень вопросов, которые планируется обсудить в процессе интервью, согласовывается заранее.

Предоставление опросных листов по определенной тематике, которые сотрудники заказчика заполняют самостоятельно. В тех случаях, когда представленные материалы не полностью отвечают на необходимые вопросы, проводится дополнительное интервьюирование.

Анализ организационно-технической документации , используемой заказчиком.

Использование специализированного ПО , которое позволяет получить необходимую информацию о составе и настройках программно-аппаратного обеспечения ИС предприятия. Например, с помощью систем анализа защищенности (security scanners) можно провести инвентаризацию сетевых ресурсов и выявить уязвимости в них. В качестве примеров таких систем можно назвать Internet Scanner компании ISS и XSpider компании Positive Technologies.

Оценка уровня безопасности ИС

После сбора необходимой информации проводится ее анализ с целью оценки текущего уровня защищенности системы. В процессе такого анализа определяются риски информационной безопасности, которым подвержена компания. Фактически риск представляет собой интегральную оценку того, насколько эффективно существующие средства защиты способны противостоять информационным атакам.

Обычно выделяют две основные группы методов расчета рисков безопасности. Первая группа позволяет установить уровень риска путем оценки степени соответствия определенному набору требований к информационной безопасности. В качестве источников таких требований могут выступать:

  • нормативно-правовые документы предприятия, касающиеся вопросов информационной безопасности (политика безопасности, регламенты, приказы, распоряжения);
  • требования действующего российского законодательства - руководящие документы ФСТЭК (Гостехкомиссии), СТР-К, требования ФСБ РФ, ГОСТы и т. д.;
  • рекомендации международных стандартов - ISO 17799, OCTAVE, CoBIT, BS 7799-2 и т. д.;
  • рекомендации компаний-производителей программного и аппаратного обеспечения - Microsoft, Oracle, Cisco и т. д.

Вторая группа методов оценки рисков информационной безопасности базируется на определении вероятности реализации атак, а также уровней их ущерба. Значение риска вычисляется отдельно для каждой атаки и в общем случае представляется как произведение вероятности проведения атаки a на величину возможного ущерба от этой атаки - Риск (a) = P(a) . Ущерб (a). Значение ущерба определяется собственником информационного ресурса, а вероятность атаки вычисляется группой экспертов, проводящих процедуру аудита. Вероятность в данном случае рассматривается как мера того, что в результате проведения атаки нарушители достигли своих целей и нанесли ущерб компании.

Методы обеих групп могут использовать количественные или качественные шкалы для определения величины риска информационной безопасности. В первом случае для риска и всех его параметров берутся численные выражения. Например, при использовании количественных шкал вероятность проведения атаки P(a) может выражаться числом в интервале , а ущерб от атаки - задаваться в виде денежного эквивалента материальных потерь, которые может понести организация в случае успешной атаки. При использовании качественных шкал числовые значения заменяются на эквивалентные им понятийные уровни. Каждому понятийному уровню в этом случае будет соответствовать определенный интервал количественной шкалы оценки. Количество уровней может варьироваться в зависимости от применяемых методик оценки рисков. В табл. 2 и 3 приведены примеры качественных шкал оценки рисков информационной безопасности, в которых для оценки уровней ущерба и вероятности атаки используется пять понятийных уровней.

Таблица 2. Качественная шкала оценки уровня ущерба

Уровень ущерба Описание
1 Малый Незначительные потери материальных активов, которые быстро восстанавливаются, или незначительные последствия для репутации компании
2 Умеренный Заметные потери материальных активов или умеренные последствия для репутации компании
3 Средней тяжести Существенные потери материальных активов или значительный урон репутации компании
4 Большой Большие потери материальных активов и большой урон репутации компании
5 Критический Критические потери материальных активов или полная потеря репутации компании на рынке, что делает невозможным ее дальнейшую деятельность

Таблица 3. Качественная шкала оценки вероятности проведения атаки

Вероятность атаки Описание
1 Очень низкая Атака практически никогда не будет проведена. Соответствует числовому интервалу вероятности
5 Очень высокая Атака почти наверняка будет проведена. Соответствует числовому интервалу вероятности (0,75, 1]

Для вычисления уровня риска по качественным шкалам применяются специальные таблицы, в которых в первом столбце задаются понятийные уровни ущерба, а в первой строке - уровни вероятности атаки. Ячейки же таблицы, расположенные на пересечении соответствующих строк и столбцов, содержат уровень риска безопасности (табл. 4). Размерность таблицы зависит от количества концептуальных уровней вероятности атаки и ущерба.

Таблица 4. Определение уровня риска информационной безопасности по качественной шкале

Вероятность атаки
Ущерб очень низкая низкая средняя высокая очень высокая
Малый Низкий риск Низкий риск Низкий риск Средний риск Средний риск
Умеренный Низкий риск Низкий риск Средний риск Средний риск Высокий риск
Средней тяжести Низкий риск Средний риск Средний риск Средний риск Высокий риск
Большой Средний риск Средний риск Средний риск Средний риск Высокий риск
Критический Средний риск Высокий риск Высокий риск Высокий риск Высокий риск

При расчете значений вероятности атаки, а также уровня возможного ущерба используют статистические методы, экспертные оценки или элементы теории принятия решений. Статистические методы предполагают анализ уже накопленных данных о реально случавшихся инцидентах, связанных с нарушением информационной безопасности. На основе результатов такого анализа строятся предположения о вероятности проведения атак и уровнях ущерба от них в других ИС. Однако статистические методы не всегда удается применить из-за недостатка статистических данных о ранее проведенных атаках на ресурсы ИС, аналогичной той, которая выступает в качестве объекта оценки.

При использовании аппарата экспертных оценок анализируются результаты работы группы экспертов, компетентных в области информационной безопасности, которые на основе имеющегося у них опыта определяют количественные или качественные уровни риска. Элементы теории принятия решений позволяют применять для вычисления значения риска безопасности более сложные алгоритмы обработки результатов работы группы экспертов.

Существуют специализированные программные комплексы, позволяющие автоматизировать процесс анализа исходных данных и расчета значений рисков при аудите безопасности. Примеры таких комплексов - "Гриф" и "Кондор" компании Digital Security, а также "АванГард", разработанный в Институте системного анализа РАН.

Результаты аудита безопасности

На последнем этапе аудита информационной безопасности разрабатываются рекомендации по совершенствованию организационно-технического обеспечения защиты на предприятии. Такие рекомендации могут включать в себя различные типы действий, направленных на минимизацию выявленных рисков.

Уменьшение риска за счет дополнительных организационных и технических средств защиты, позволяющих снизить вероятность проведения атаки или уменьшить возможный ущерб от нее. Так, установка межсетевых экранов в точке подключения ИС к Интернету существенно снижает вероятность проведения успешной атаки на общедоступные информационные ресурсы ИС - такие, как Web-серверы, почтовые серверы и т. д.

Уклонение от риска путем изменения архитектуры или схемы информационных потоков ИС, что позволяет исключить проведение той или иной атаки. Например, физическое отключение от Интернета сегмента ИС, в котором обрабатывается конфиденциальная информация, позволяет избежать внешних атак на конфиденциальную информацию.

Изменение характера риска в результате принятия мер по страхованию. В качестве примеров изменения характера риска можно привести страхование оборудования ИС от пожара или страхование информационных ресурсов от возможного нарушения их конфиденциальности, целостности или доступности. В настоящее время ряд российских компаний уже предлагают услуги страхования информационных рисков.

Принятие риска , если он уменьшен до того уровня, на котором уже не представляет опасности для ИС.

Обычно рекомендации направлены не на полное устранение всех выявленных рисков, а лишь на их уменьшение до приемлемого уровня. При выборе мер для повышения уровня защиты ИС учитывается одно принципиальное ограничение - стоимость реализации этих мер не должна превышать стоимости защищаемых информационных ресурсов, а также убытков компании от возможного нарушения конфиденциальности, целостности или доступности информации.

В завершение процедуры аудита его результаты оформляются в виде отчетного документа, который предоставляется заказчику. В общем случае этот документ состоит из следующих основных разделов:

  • описание границ, в рамках которых проводился аудит безопасности;
  • описание структуры ИС заказчика;
  • методы и средства, которые использовались в процессе проведения аудита;
  • описание выявленных уязвимостей и недостатков, включая уровень их риска;
  • рекомендации по совершенствованию комплексной системы обеспечения информационной безопасности;
  • предложения к плану реализации первоочередных мер, направленных на минимизацию выявленных рисков.

Заключение

Аудит информационной безопасности - один из наиболее эффективных сегодня инструментов для получения независимой и объективной оценки текущего уровня защищенности предприятия от угроз информационной безопасности. Кроме того, результаты аудита дают основу для формирования стратегии развития системы обеспечения информационной безопасности организации. Однако необходимо понимать, что аудит безопасности - не разовая процедура, он должен проводиться на регулярной основе. Только в этом случае аудит будет приносить реальную отдачу и способствовать повышению уровня информационной безопасности компании.

Целью сбора информации является формирование свидетельств ау­дита.

Процесс сбора и обработки информации осуществляется по следую­щей схеме:

Выбор источников информации;

Сбор информации;

Формирование свидетельств аудита.

Выбор источников информации

Выбор источников информации осуществляется аудитором в зави­симости от объема и сложности проверки.

Источниками исходной информации для аудитора в ходе проверки выступают:

Документы, регламентирующие деятельность подразделения и/или процессы (положение о подразделении, должностные инст­рукции, процедуры, рабочие инструкции, методики, приказы, распоряжения, разрешения и др.),

Планы, акты, регистрационные журналы (журналы измерений), протоколы совещаний, программы и журналы обучения, средства труда, компьютерные базы, элементы инфраструктуры, произ­водственная среда и др.

Источником информации для аудитора могут быть данные, полученные за пределами аудитируемого подразделения, на­пример, от службы качества, от других подразделении и пр.

Методы сбора информации

Метод сбора информации – способ решения задачи, связанной со сбором информации.

Информация, относящаяся к целям, объектам и критериям аудиторской проверки, собирается аудитором различными методами.

Осмотр

Осмотр – обследование, сделанное в ходе проверки и основанное зрительном восприятии аудитора.

Известно, что благодаря зрению, человек получает до 85% поступающей к нему информации.

В ходе осмотра аудитор ищет главным образом материальные доказательства соответствия. Это особенно важно при проверке, проводимой в производственных помещениях, в лабораториях, на складах хранения про­дукции и т.п.

Объекты осмотра:

Документация – процедуры и записи (наличие, состояние, доступность);

Производственная среда – состояние рабочих мест (соответст­вие технологии, обеспечение безопасности);

Инфраструктура – оборудование, оснастка, инструмент, энерго­обеспечение, транспорт, связь (наличие, состояние, соответствие технологии);

Средства измерения, контроля и испытаний (наличие, состояние, соответствие технологии, метрологическим правилам и нормам);

Персонал (наличие, квалификация, поведение);

Продукция (порядок обращения, соответствие технологии).

При осмотре аудитор должен быть внимателен к деталям.

Опрос

Опрос - метод получения первичной информации об объеме ауди­торской проверки в виде ответов на вопросы. В приложении Ж приведены рекомендации по организации и технике беседы.

Опрос может проводиться в форме анкетирования (посредством оп­росного листа) или в форме непосредственной беседы (интервью). В приложении Ж приведены рекомендации по организации и технике беседы.

Методы проверки информации и формирования наблюдений аудита

Результатом сбора информации являются свидетельства аудита.

Свидетельство аудита записи, изложение фактов или другая ин­формация, которые связаны с критериями аудита и могут быть провере­ны .

Свидетельства аудита могут быть качественными или количествен­ными.

С помощью методов проверки информации на базе собранных сви­детельств аудита формируются наблюдения аудита.

Наблюдения аудита - результаты оценки собранных свидетельств аудита в зависимости от критериев аудита.

Наблюдения аудита могут указывать на соответствие или несоот­ветствие критериям аудита или на возможности улучшения.

Наблюдения, в свою очередь, являются основой заключения по ре­зультатам аудита.

Выходные данные аудита, предоставленные группой по аудиту после рассмотрения целей аудита и всех наблюдений аудита.

К методам проверки информации и формирования наблюдений ау­дита относятся:

Доказательство

Оценивание.

Анализ

Анализ свидетельств аудита

Свидетельства аудита и любая другая информация, собранная в ходе аудита, анализируется с точки зрения целей аудиторской проверки. Для использования данных свидетельств для формирования наблюдений ауди­та, они должны быть систематизированы, обобщены и тщательно проана­лизированы, включая при необходимости статистические методы.

В ходе аналитического анализа важно отделить существенную ин­формацию от несущественной («выделить сигнал из шума»).

Для тех свидетельств, которые вызывают сомнения аудитора (на­пример, правильность интерпретации полученной информации), необхо­димо применить метод доказательства, обсудить в аудиторской группе, и только после такого обсуждения может быть принято окончательное ре­шение о формировании наблюдения аудита, к примеру, использование статистических методов.

Статистические методы

В тех случаях, когда получаемые аудитором данные имеют ко­личественную форму (например, данные результатов технического кон­троля, данные о количестве обнаруженных несоответствий, данные о при­чинах несоответствий и др.) их целесообразно представлять и ана­лизировать с помощью статистических методов.

Статистические приёмы используются во многих областях обслуживания и производства. Многие из этих приемов пригодны и для аудита. Наиболее часто встречающие инструменты, используемые на стадиях подготовки и проведения аудита:

· контрольные листы;

· анализ воспроизводимости оборудования;

· анализ воспроизводимости процесса;

· анализ Парето;

· планы выборочного контроля и проверки;

· кривые операционных характеристик;

· блок-схемы процессов/прослеживание;

· мозговой штурм;

· диаграммы причин и результатов;

· контрольные карты.

Эти средства могут пригодиться и аудиторам, и проверяемым. Эти приёмы – способ демонстрации продукции или услуги, которые нуждаются в улучшении. Примерами могут служить:

· несоответствие продукции (поступающие отчёты о проверке, отказы в эксплуатации и т.д.);

· низкая воспроизводимость процесса (параметры продукции находятся внутри поля допуска, но не центрированы);

· анализ стоимости продукции, обслуживания и проектирования;

· анализ эксплуатации (оценивание качества в ходе производства как альтернатива выходному контролю; число контейнеров с правильной маркировкой и неправильно обработанных заказов потребителей и т.д.).

Инспекция на месте. Обнаруживающий выборочный контроль

В ходе аудита для локализации хронических случаев несоответствия и неподтверждения системы качества, процессов или их элементов используется обнаруживающий выборочный контроль. Такой контроль предполагает, что отклонение случается с заданной вероятностью.

Объём выборки основан на вероятности того, что в неё попадает, по крайней мере, одно изделие с отклонением. Вот несколько примеров применения выборочного контроля:

· установленное число вопросов опросного листа, применимых к определённой категории проблем для обнаружения зоны несоответствия;

· если обнаружена рабочая инструкция, действующая без утверждения. В этом случае можно провести обнаруживающий выборочный контроль в различных отделах для определения того, действительно ли проблема имеет хронический характер, указывающий на «находку» аудита .

Выборочный обнаруживающий контроль требует большого числа образцов для достижения высоких уровней значимости даже там, хронические проблемы были очевидны в прошлом. Успешное пользование такого контроля зависит от частоты событий. Чем выше частота события, тем меньше образцов потребуется.

Естественно, если выявлено несоответствие для одного аспекта системы, аналогичные аспекты стоит проверить на предмет такие же несоответствия.

Выборочный контроль/проверка

Во время аудита системы мало времени для проверки определённых параметров. Выборочный контроль приходится ограничивать. В общем, несколько образцов достаточно, чтобы определить статус продукции или процесса (например, горсть деталей, случайно выбранных сверху, из середины и со дна контейнера, или проверка нескольких письменных документов). Наилучшее место для взятия образцов – области взаимодействия процесса и продукции (т.е. конец этапа).

При записи выборочных данных отмечается следующее:

· место взятых образцов (стадия процесса, участок, станок);

· наименование и номер детали;

· номер партии или другие идентификаторы;

· время и дата;

· непрерывные или дискретные результаты;

· любые наблюдения, которые могут повлиять на процесс (продукцию).

В зависимости от вида аудита, его цели и отведенного времени может понадобиться разработка планов выборочного контроля. Выборочный контроль применяется для:

· локализации проблемы в процессе;

· обеспечения информации об уровнях переделок и отходов;

· определения соответствия параметрам процесса;

· определения воспроизводимости.

Эти планы надо подготовить до проведения аудита. В связи с фактором времени стандартные выборочные планы более пригодны для внутреннего, чем внешнего аудита.

Прослеживание/блок-схемы (схемы потоков)

Другая широко применяемая и эффективная форма инспекции «на месте» - прослеживание. Здесь полезно использование блок-схемы. Можно изучать эффективность, соответствие или прослеживаемость продукции или процессы, делая выборки на каждой стадии, зафиксированной в блок-схеме процесса либо производства изделия. Это может вовлечь несколько отделов. Продукция или её часть можно исследовать следующими методами:

· Прослеживание вперёд. Обследование с «головы» процесса производства продукции, оказания, услуги или выполнения заказа до «хвоста» либо с иной заданной точки до конца до конца и, наконец, с другой заданной точки далее вниз по цепи процесса. Это полезно для получения целостной картины и определения практичности схемы;

· Прослеживание назад. Обратное прослеживаемости вперёд. Начинается от «хвоста» процесса производства продукции, оказания услуги или выполнения заказа и идёт к «голове» процесса либо к заданной точке. Преимущество этого метода – использование сведений о результате процесса. Эффективность других процессов можно оценивать по вкладу в желаемый результат;

· Случайный отбор (случайная проверка). Это не форма прослеживания, а альтернативный вариант, когда персонал и время ограничены. Случайный отбор может оказаться единственным методом, доступным аудитору. Недостатки: приходится делать много записей и труднее понять схему операций или процесса. Преимущества: аудит можно проводить более гибко и экономить время.

Прослеживание позволяет аудитору определить:

· где слабые места процесса или процедуры;

· есть ли ненужные, неэффективные, повторяющиеся шаги процесса или процедуры;

· какая стадия служит источником большинства проблем;

· общее состояние процесса и системы.

Отклонения от заданных значений должны рассматриваться в качестве потенциала для улучшений. При этом также необходимо проверять, не изменились ли действующие правила и целесообразны ли были проведённые изменения.

По возможности, каждое установленное отклонение должно немедленно устраняться, в целях исключений в последующем трудоёмкого дополнительного отслеживания мероприятий по устранению выявленных отклонений.

Необходимые мероприятия по улучшениям, которые не могут быть сразу реализованы, должны быть выработаны совместно с руководством подразделения и документированы в виде корректирующих мероприятий. Их пригодность для достижения поставленных целей должна быть основана.

Доказательство

Значимыми характеристиками аудиторского доказательства яв­ляются его достоверность и достаточность. Доказательство считается дос­товерным, если оно вызывает доверие аудитора, является объективным и проверяемым. Достаточность доказательства определяется его полнотой, что в большой мере зависит от объема собранной информации. Несоблю­дение требований к доказательству обесценивает результат аудиторской проверки.

Ниже приводится ряд положений, знание которых может быть полезным аудитору в этой области:

Свидетельства составляют основу аудиторского заключения и, сле­довательно, без необходимых доказательств такое заключение не может быть достоверным;

Получая свидетельства о соблюдении процедур (инструкций), ауди­тор должен быть уверен, что эти процедуры будут соблюдаться и в будущем, по крайней мере, до следующей аудиторской проверки;

Достоверность аудиторского свидетельства зависит от многих фак­торов, но прежде всего от степени его подтверждения и квалификации ау­дитора;

Чем достовернее свидетельство, тем ниже уровень риска оши­бочного аудиторского заключения (следует отметить, что никто не сво­боден от ошибочных выводов и поэтому определенные элементы риска присущи и аудиторскому заключению).

Объективными свидетельствами соответствия при проведении ауди­торской проверки являются факты, подтверждающие:

Идентичность (повторяемость по времени и местам применения) практических действий правилам и нормам, установленным в документа­ции системы менеджмента качества и (или) экологии;

Выполнение требований тех разделов ИСО 9001 и ИСО 14001, ко­торые необязательны для документирования в организации;

Наличие и выполнение запланированных мероприятий в области качества и (или) охраны окружающей среды;

Оценивание результативности процессов;

Результативность корректирующих и предупреждающих де­йствий;

Постоянное улучшение деятельности, процессов и систем ме­неджмента в целом.

Оценивание

Свидетельство аудита оценивается с точки зрения критериев аудита. Результаты такого оценивания рассматриваются как наблюдение аудита.

Наблюдения аудита могут указывать либо на соответствие, либо на несоответствие критериям аудита, либо на возможность улучшения. При этом особого внимания аудитора заслуживают обнаруженные несоответст­вия. Оценивание несоответствий осуществляется путем их классификации на значительные, малозначительные и уведомления.

При оценивании свидетельств существует ве­роятность ошибочных (неправильных) выводов и, как следствие, неправильного заключения по результатам аудиторской проверки. Веро­ятность неправильных выводов уменьшается при использовании объ­ективных данных, т.е. данных, основанных на измерениях.

Заключение по результатам аудита

Заключение аудиторской группы по результатам аудиторской про­верки может содержать итоговую оценку:

Степени соответствия процесса, деятельности подразделения или системы менеджмента в целом критериям аудита;

результативности и эффективности процесса, деятельности подразделения или системы менеджмента в целом;

способности руководства обеспечивать постоянную адекват­ность и результативность процесса, деятельности подразделения или системы менеджмента в целом;

правильности установления показателей результативности и эффективности процесса;

возможности улучшения процесса, деятельности подразделения или системы менеджмента в целом.

При оценке степени соответствия объекта аудиторской проверки (отдельное подразделение или несколько подразделений, участвующих в выполнении определенного процесса) аудиторская группа должна полу­чить однозначные ответы на вопросы:

Можно ли утверждать, что персонал аудитируемого подразде­ления (нескольких подразделений) знает, имеет в своем распоряжении, по­нимает и использует обязательные для него документы системы ме­неджмента качества?

Подтверждается ли соблюдение требований документов системы менеджмента качества и (или) экологии необходимыми регистрационными данными, фактами и другими свидетельствами?

Все ли требования документов, используемых в подразделении (подразделениях), обеспечивают достижение целей подразделения (под­разделений) в области качества?

При оценке результативности внедрения, поддержания и совер­шенствования объекта аудита аудиторская группа должна получить ответы на вопросы:

Достигнуты ли запланированные результаты в проверенном про­цессе, деятельности подразделения или системы менеджмента в целом?

Достаточно ли эффективно используются выделенные ресурсы для осуществления процесса, деятельности подразделения или системы менеджмента в целом?

При оценке способности руководства обеспечивать постоянную аде­кватность и результативность процесса, деятельности подразделения или системы менеджмента качества в целом группа аудиторов должна полу­чить ответы на вопросы:

Подтверждается ли, что процесс, деятельность подразделения или система менеджмента в целом функционирует в управляемых условиях?

Можно ли утверждать, что руководством выделяются ресурсы, достаточные для результативного функционирования процесса, дея­тельности подразделения или системы менеджмента в целом?

При оценивании возможности улучшения деятельности аудиторская группа должна получить ответы на вопросы:

Имеется ли необходимость и реальная возможность улучшить процесс (сокращение времени, затрат, повышение качества, уменьшение отрицательного воздействия на окружающую среду), деятельность подраз­деления или системы менеджмента в целом?

Заключение должно правдиво и точно отражать деятельность ауди­торской группы.

Заключение может быть напечатанным или рукописным и оформ­ляться в виде собственно «Заключения», или «Акта проверки». Заключе­ние согласовывается и подписывается всеми членами аудиторской группы.

Если в ходе аудита выявлены несоответствия, то оформленные про­токолы по выявленным несоответствиям включаются в заключение в виде приложения.

После обсуждения итогов по результатам проверки на заключительном совещании или с руководителем аудитируемого подразделения, Заключение в окончательном виде включается в отчет об аудиторской проверке.


Похожая информация.


На сегодняшний день автоматизированные системы (АС) играют ключевую роль в обеспечении эффективного выполнения бизнес-процессов как коммерческих, так и государственных предприятий. Вместе с тем повсеместное использование АС для хранения, обработки и передачи информации приводит к повышению актуальности проблем, связанных с их защитой. Подтверждением этому служит тот факт, что за последние несколько лет, как в России, так и в ведущих зарубежных странах имеет место тенденция увеличения числа информационных атак, приводящих к значительным финансовым и материальным потерям. Для того, чтобы гарантировать эффективную защиту от информационных атак злоумышленников компаниям необходимо иметь объективную оценку текущего уровня безопасности АС. Именно для этих целей и применяется аудит безопасности, различные аспекты которого рассматриваются в рамках настоящей статьи.

1. Что такое аудит безопасности?

Не смотря на то, что в настоящее время ещё не сформировалось устоявшегося определения аудита безопасности, в общем случае его можно представить в виде процесса сбора и анализа информации об АС, необходимой для последующего проведения качественной или количественной оценки уровня защиты от атак злоумышленников. Существует множество случаев, в которых целесообразно проводить аудит безопасности. Вот лишь некоторые из них:

  • аудит АС с целью подготовки технического задания на проектирование и разработку системы защиты информации;
  • аудит АС после внедрения системы безопасности для оценки уровня её эффективности;
  • аудит, направленный на приведение действующей системы безопасности в соответствие требованиям российского или международного законодательства;
  • аудит, предназначенный для систематизации и упорядочивания существующих мер защиты информации;
  • аудит в целях расследования произошедшего инцидента, связанного с нарушением информационной безопасности.

Как правило, для проведения аудита привлекаются внешние компании, которые предоставляют консалтинговые услуги в области информационной безопасности. Инициатором процедуры аудита может являться руководство предприятия, служба автоматизации или служба информационной безопасности. В ряде случаев аудит также может проводиться по требованию страховых компаний или регулирующих органов. Аудит безопасности проводится группой экспертов, численность и состав которой зависит от целей и задач обследования, а также сложности объекта оценки.

2. Виды аудита безопасности

В настоящее время можно выделить следующие основные виды аудита информационной безопасности:

  • экспертный аудит безопасности, в процессе которого выявляются недостатки в системе мер защиты информации на основе имеющегося опыта экспертов, участвующих в процедуре обследования;
  • оценка соответствия рекомендациям Международного стандарта ISO 17799, а также требованиям руководящих документов ФСТЭК (Гостехкомиссии);
  • инструментальный анализ защищённости АС, направленный на выявление и устранение уязвимостей программно-аппаратного обеспечения системы;
  • комплексный аудит, включающий в себя все вышеперечисленные формы проведения обследования.

Каждый из вышеперечисленных видов аудита может проводиться по отдельности или в комплексе в зависимости от тех задач, которые необходимо решить предприятию. В качестве объекта аудита может выступать как АС компании в целом, так и её отдельные сегменты, в которых проводится обработка информации, подлежащей защите.

3. Состав работ по проведению аудита безопасности

В общем случае аудит безопасности, вне зависимости от формы его проведения, состоит из четырёх основных этапов, каждый из которых предусматривает выполнение определённого круга задач (рис. 1).

Рисунок 1: Основные этапы работ при проведении аудита безопасности

На первом этапе совместно с Заказчиком разрабатывается регламент, устанавливающий состав и порядок проведения работ. Основная задача регламента заключается в определении границ, в рамках которых будет проведено обследование. Регламент является тем документом, который позволяет избежать взаимных претензий по завершению аудита, поскольку чётко определяет обязанности сторон. Как правило, регламент содержит следующую основную информацию:

  • состав рабочих групп от Исполнителя и Заказчика, участвующих в процессе проведения аудита;
  • перечень информации, которая будет предоставлена Исполнителю для проведения аудита;
  • список и местоположение объектов Заказчика, подлежащих аудиту;
  • перечень ресурсов, которые рассматриваются в качестве объектов защиты (информационные ресурсы, программные ресурсы, физические ресурсы и т.д.);
  • модель угроз информационной безопасности, на основе которой проводится аудит;
  • категории пользователей, которые рассматриваются в качестве потенциальных нарушителей;
  • порядок и время проведения инструментального обследования автоматизированной системы Заказчика.

На втором этапе, в соответствии с согласованным регламентом, осуществляется сбор исходной информации. Методы сбора информации включают интервьюирование сотрудников Заказчика, заполнение опросных листов, анализ предоставленной организационно-распорядительной и технической документации, использование специализированных инструментальных средств.

Третий этап работ предполагает проведение анализа собранной информации с целью оценки текущего уровня защищённости АС Заказчика. По результатам проведённого анализа на четвёртом этапе проводится разработка рекомендаций по повышению уровня защищённости АС от угроз информационной безопасности.

Ниже в более подробном варианте рассмотрены этапы аудита, связанные со сбором информации, её анализом и разработкой рекомендаций по повышению уровня защиты АС.

4. Сбор исходных данных для проведения аудита

Качество проводимого аудита безопасности во многом зависит от полноты и точности информации, которая была получена в процессе сбора исходных данных. Поэтому информация должна включать в себя: существующую организационно-распорядительную документацию, касающуюся вопросов информационной безопасности, сведения о программно-аппаратном обеспечении АС, информацию о средствах защиты, установленных в АС и т.д. Более подробный перечень исходных данных представлен в таблице 1.

Таблица 1: Перечень исходных данных, необходимых для проведения аудита безопасности

Тип информации Описание состава исходных данных
1 Организационно-распорядительная документация по вопросам информационной безопасности
1. политика информационной безопасности АС;
2. руководящие документы (приказы, распоряжения, инструкции) по вопросам хранения, порядка доступа и передачи информации;
3. регламенты работы пользователей с информационными ресурсами АС.
2 Информация об аппаратном обеспечении хостов
1. перечень серверов, рабочих станций и коммуникационного оборудования, установленного в АС;
2. информация об аппаратной конфигурации серверов и рабочих станций;
3. информация о периферийном оборудовании, установленном в АС.
3 Информация об общесистемном ПО
1. информация об операционных системах, установленных на рабочих станциях и серверах АС;
2. данные о СУБД, установленных в АС.
4 Информация о прикладном ПО
1. перечень прикладного ПО общего и специального назначения, установленного в АС;
2. описание функциональных задач, решаемых с помощью прикладного ПО, установленного в АС.
5 Информация о средствах защиты, установленных в АС
1. информация о производителе средства защиты;
2. конфигурационные настройки средства защиты;
3. схема установки средства защиты.
6 Информация о топологии АС
1. карта локальной вычислительной сети, включающей схему распределения серверов и рабочих станций по сегментам сети;
2. информация о типах каналов связи, используемых в АС;
3. информация об используемых в АС сетевых протоколах;
4. схема информационных потоков АС.

Как уже отмечалось выше, сбор исходных данных может осуществляться с использованием следующих методов:

  • интервьюирование сотрудников Заказчика, обладающих необходимой информацией. При этом интервью, как правило, проводится как с техническими специалистами, так и с представителями руководящего звена компании. Перечень вопросов, которые планируется обсудить в процессе интервью, согласовывается заранее;
  • предоставление опросных листов по определённой тематике, самостоятельно заполняемых сотрудниками Заказчика. В тех случаях, когда представленные материалы не полностью дают ответы на необходимые вопросы, проводится дополнительное интервьюирование;
  • анализ существующей организационно-технической документации, используемой Заказчиком;
  • использование специализированных программных средств, которые позволяют получить необходимую информацию о составе и настройках программно-аппаратного обеспечения автоматизированной системы Заказчика. Так, например, в процессе аудита могут использоваться системы анализа защищённости (Security Scanners), которые позволяют провести инвентаризацию имеющихся сетевых ресурсов и выявить имеющиеся в них уязвимости. Примерами таких систем являются Internet Scanner (компании ISS) и XSpider (компании Positive Technologies).

5. Оценка уровня безопасности АС

После сбора необходимой информации проводится её анализ с целью оценки текущего уровня защищённости системы. В процессе такого анализа определяются риски информационной безопасности, которым может быть подвержена компания. Фактически риск представляет собой интегральную оценку того, насколько эффективно существующие средства защиты способны противостоять информационным атакам.

Обычно выделяют две основные группы методов расчёта рисков безопасности. Первая группа позволяет установить уровень риска путём оценки степени соответствия определённому набору требований по обеспечению информационной безопасности. В качестве источников таких требований могут выступать (рис. 2):

  • Нормативно-правовые документы предприятия, касающиеся вопросов информационной безопасности;
  • Требования действующего российского законодательства – руководящие документы ФСТЭК (Гостехкомиссии), СТР-К, требования ФСБ РФ, ГОСТы и др.;
  • Рекомендации международных стандартов – ISO 17799, OCTAVE, CoBIT и др.;
  • Рекомендации компаний-производителей программного и аппаратного обеспечения – Microsoft, Oracle, Cisco и др.

Рисунок 2: Источники требований информационной безопасности, на основе которых может проводиться оценка рисков

Вторая группа методов оценки рисков информационной безопасности базируется на определении вероятности реализации атак, а также уровней их ущерба. В данном случае значение риска вычисляется отдельно для каждой атаки и в общем случае представляется как произведение вероятности проведения атаки на величину возможного ущерба от этой атаки. Значение ущерба определяется собственником информационного ресурса, а вероятность атаки вычисляется группой экспертов, проводящих процедуру аудита.

Методы первой и второй группы могут использовать количественные или качественные шкалы для определения величины риска информационной безопасности. В первом случае риск и все его параметры выражаются в числовых значениях. Так, например, при использовании количественных шкал вероятность проведения атаки может выражаться числом в интервале, а ущерб атаки может задаваться в виде денежного эквивалента материальных потерь, которые может понести организация в случае успешного проведения атаки. При использовании качественных шкал числовые значения заменяются на эквивалентные им понятийные уровни. Каждому понятийному уровню в этом случае будет соответствовать определённый интервал количественной шкалы оценки. Количество уровней может варьироваться в зависимости от применяемых методик оценки рисков. В таблицах 2 и 3 приведены примеры качественных шкал оценки рисков информационной безопасности, в которых для оценки уровней ущерба и вероятности атаки используется пять понятийных уровней.

Таблица 2: Качественная шкала оценки уровня ущерба

Уровень ущерба Описание
1 Малый ущерб Приводит к незначительным потерям материальных активов, которые быстро восстанавливаются, или к незначительному влиянию на репутацию компании
2 Умеренный ущерб Вызывает заметные потери материальных активов или к умеренному влиянию на репутацию компании
3 Ущерб средней тяжести Приводит к существенным потерям материальных активов или значительному урону репутации компании
4 Большой ущерб Вызывает большие потери материальных активов и наносит большой урон репутации компании
5 Критический ущерб Приводит к критическим потерям материальных активов или к полной потере репутации компании на рынке, что делает невозможным дальнейшую деятельность организации

Таблица 3: Качественная шкала оценки вероятности проведения атаки

Уровень вероятности атаки Описание
1 Очень низкая Атака практически никогда не будет проведена. Уровень соответствует числовому интервалу вероятности
5 Очень высокая Атака почти наверняка будет проведена. Уровень соответствует числовому интервалу вероятности (0.75, 1]

При использовании качественных шкал для вычисления уровня риска применяются специальные таблицы, в которых в первом столбце задаются понятийные уровни ущерба, а в первой строке – уровни вероятности атаки. Ячейки же таблицы, расположенные на пересечении первой строки и столбца, содержат уровень риска безопасности. Размерность таблицы зависит от количества концептуальных уровней вероятности атаки и ущерба. Пример таблицы, на основе которой можно определить уровень риска, приведён ниже.

Таблица 4: Пример таблицы определения уровня риска информационной безопасности

Вероятность атаки Очень низкая Низкая Средняя Высокая Очень высокая
Ущерб
Малый
ущерб 		Низкий Риск Низкий риск Низкий риск Средний риск Средний риск
Умеренный
ущерб 		Низкий Риск Низкий риск Средний риск Средний риск Высокий риск
Ущерб средней тяжести Низкий Риск Средний риск Средний риск Средний риск Высокий риск
Большой
ущерб 		Средний риск Средний риск Средний риск Средний риск Высокий риск
Критический
ущерб 		Средний риск Высокий риск Высокий риск Высокий риск Высокий риск

При расчете значений вероятности проведения атаки, а также уровня возможного ущерба могут использоваться статистические методы, методы экспертных оценок или элементы теории принятия решений. Статистические методы предполагают анализ уже накопленных данных о реально случавшихся инцидентах, связанных с нарушением информационной безопасности. На основе результатов такого анализа строятся предположения о вероятности проведения атак и уровнях ущерба от них в других АС. Однако применение статистических методов не всегда возможно из-за отсутствия в полном объёме статистических данных о ранее проведённых атаках на информационные ресурсы АС, аналогичной той, которая выступает в качестве объекта оценки.

При использовании аппарата экспертных оценок проводится анализ результатов работы группы экспертов, компетентных в области информационной безопасности, которые на основе имеющегося у них опыта определяют количественные или качественные уровни риска. Элементы теории принятия решений позволяют применять для вычисления значения риска безопасности более сложные алгоритмы обработки результатов работы группы экспертов.

В процессе проведения аудита безопасности могут использоваться специализированные программные комплексы, позволяющие автоматизировать процесс анализа исходных данных и расчёта значений рисков. Примерами таких комплексов являются «Гриф» и «Кондор» (компании «Digital Security»), а также «АванГард» (Института Системного Анализа РАН).

6. Результаты аудита безопасности

На последнем этапе проведения аудита информационной безопасности разрабатываются рекомендации по совершенствованию организационно-технического обеспечения предприятия. Такие рекомендации могут включать в себя следующие типы действий, направленных на минимизацию выявленных рисков:

  • уменьшение риска за счёт использования дополнительных организационных и технических средств защиты, позволяющих снизить вероятность проведения атаки или уменьшить возможный ущерб от неё. Так, например, установка межсетевых экранов в точке подключения АС к сети Интернет позволяет существенно снизить вероятность проведения успешной атаки на общедоступные информационные ресурсы АС, такие как Web-серверы, почтовые серверы и т.д.;
  • уклонение от риска путём изменения архитектуры или схемы информационных потоков АС, что позволяет исключить возможность проведения той или иной атаки. Так, например, физическое отключение от сети Интернет сегмента АС, в котором обрабатывается конфиденциальная информация, позволяет исключить атаки на конфиденциальную информацию из этой сети;
  • изменение характера риска в результате принятия мер по страхованию. В качестве примеров такого изменения характера риска можно привести страхование оборудования АС от пожара или страхование информационных ресурсов от возможного нарушения их конфиденциальности, целостности или доступности. В настоящее время российских компаний уже предлагают услуги по страхованию информационных рисков;
  • принятие риска в том случае, если он уменьшен до того уровня, на котором он не представляет опасности для АС.

Как правило, разработанные рекомендации направлены не на полное устранение всех выявленных рисков, а лишь на их уменьшение до приемлемого остаточного уровня. При выборе мер по повышению уровня защиты АС учитывается одно принципиальное ограничение – стоимость их реализации не должна превышать стоимость защищаемых информационных ресурсов.

В завершении процедуры аудита его результаты оформляются в виде отчётного документа, который предоставляется Заказчику. В общем случае этот документ состоит из следующих основных разделов:

  • описание границ, в рамках которых был проведён аудит безопасности;
  • описание структуры АС Заказчика;
  • методы и средства, которые использовались в процессе проведения аудита;
  • описание выявленных уязвимостей и недостатков, включая уровень их риска;
  • рекомендации по совершенствованию комплексной системы обеспечения информационной безопасности;
  • предложения по плану реализации первоочередных мер, направленных на минимизацию выявленных рисков.

7. Заключение

Аудит информационной безопасности является сегодня одним из наиболее эффективных инструментов для получения независимой и объективной оценки текущего уровня защищённости предприятия от угроз информационной безопасности. Кроме того, результаты аудита являются основой для формирования стратегии развития системы обеспечения информационной безопасности организации.

Однако, необходимо представлять, что аудит безопасности не является однократной процедурой, а должен проводиться на регулярной основе. Только в этом случае аудит будет приносить реальную отдачу и способствовать повышению уровня информационной безопасности компании.

8. Список литературы

  1. Вихорев С.В., Кобцев Р.Ю., Как узнать – откуда напасть или откуда исходит угроза безопасности информации // Конфидент, №2, 2001.
  2. Симонов С. Анализ рисков, управление рисками // Информационный бюллетень Jet Info № 1(68). 1999. с. 1-28.
  3. ISO/IEC 17799, Information technology – Code of practice for information security management, 2000
  4. Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) – security risk evaluation – www.cert.org/octave.
  5. Risk Management Guide for information Technology Systems, NIST, Special Publication 800-30.

Лучшие статьи по теме

Мощный плагин по созданию интернет магазина на WordPress Виджет для отображения статистики покупок
Мощный плагин по созданию интернет магазина на WordPress Виджет для отображения статистики покупок
Как удалить iTunes с компьютера Windows и Mac полностью и правильно Как удалить все файлы itunes с компьютера
Как удалить iTunes с компьютера Windows и Mac полностью и правильно Как удалить все файлы itunes с компьютера
Как подключить Xiaomi к компьютеру — пошаговая инструкция
Как подключить Xiaomi к компьютеру — пошаговая инструкция
Категории:
© 2024 bumotors.ru. Как настроить смартфоны и ПК. Информационный портал.