Auditul securității informațiilor poate nu numai să acorde băncii dreptul de a desfășura anumite tipuri de activități, ci și să demonstreze slăbiciuni în sistemele băncii. Prin urmare, este necesar să se adopte o abordare echilibrată a deciziei privind efectuarea și alegerea formei de audit.
Conform Legii federale nr. 307-FZ din 30.12.2008 „Cu privire la audit”, un audit este „o verificare independentă a situațiilor contabile (financiare) ale entității auditate pentru a exprima o opinie cu privire la fiabilitatea acestor declarații”. Acest termen menționat în această lege nu are nicio legătură cu securitatea informațiilor. Cu toate acestea, sa întâmplat ca experții în securitatea informațiilor să o folosească în mod activ în discursul lor. În acest caz, auditul se referă la procesul de evaluare independentă a activităților unei organizații, sistemului, proces, proiect sau produs. În același timp, trebuie înțeles că în diverse reglementări interne termenul „audit de securitate a informațiilor” nu este întotdeauna folosit – acesta este adesea înlocuit fie cu termenul „evaluare a conformității”, fie cu termenul ușor depășit, dar încă folosit „certificare”. . Uneori se mai folosește termenul „certificare”, dar în raport cu reglementările internaționale străine. Un audit de securitate a informațiilor este efectuat fie pentru a verifica conformitatea cu reglementările, fie pentru a verifica valabilitatea și securitatea soluțiilor aplicate. Dar indiferent de ce termen este folosit, de fapt, un audit de securitate a informațiilor este efectuat fie pentru a verifica conformitatea cu reglementările, fie pentru a verifica valabilitatea și securitatea soluțiilor aplicate. În al doilea caz, auditul este voluntar, iar decizia de a-l efectua este luată de organizația însăși. În primul caz, este imposibil să refuzi efectuarea unui audit, deoarece aceasta implică o încălcare a cerințelor stabilite prin acte normative, ceea ce duce la pedepse sub formă de amendă, suspendare a activităților sau alte forme de pedeapsă. În cazul unui audit obligatoriu, acesta poate fi efectuat atât de către organizația însăși, de exemplu, sub forma unei autoevaluări (deși în acest caz nu se mai pune problema „independenței” și a termenului „audit”. ” nu este în întregime corect utilizat aici), sau de către organizații externe independente - auditori. A treia opțiune pentru efectuarea unui audit statutar este controlul de către organismele de reglementare abilitate să desfășoare activități de supraveghere adecvate. Această opțiune este mai des numită nu un audit, ci o verificare de inspecție. Întrucât un audit voluntar poate fi efectuat absolut din orice motiv (pentru a verifica securitatea sistemului RBS, a controla activele unei bănci achiziționate, a verifica o sucursală nou deschisă etc.), nu vom lua în considerare această opțiune. În acest caz, este imposibil fie să-și contureze clar limitele, fie să descrie formele de raportare, fie să se vorbească despre regularitate - toate acestea sunt decise printr-un acord între auditor și organizația auditată. Prin urmare, vom lua în considerare doar formele de audit statutar inerente în mod specific băncilor.
Standardul internațional ISO 27001
Uneori puteți auzi despre trecerea uneia sau alteia bănci pentru un audit pentru conformitatea cu cerințele standardului internațional „ISO / IEC 27001: 2005” (analogul său complet rusesc - „GOST R ISO / IEC 27001-2006 - Tehnologia informației - Metode și mijloace de asigurare a securității Sisteme de management securitatea informațiilor - Cerințe "). De fapt, acest standard este un set de bune practici pentru managementul securității informațiilor în organizațiile mari (organizațiile mici, inclusiv băncile, nu sunt întotdeauna capabile să respecte în totalitate cerințele acestui standard). Ca orice standard din Rusia, ISO 27001 este un document pur voluntar, pe care fiecare bancă decide să-l accepte sau să nu-l accepte. Dar ISO 27001 este standardul de facto în întreaga lume, iar experții din multe țări folosesc acest standard ca un fel de limbaj universal care ar trebui urmat atunci când se ocupă de securitatea informațiilor. Există câteva puncte nu atât de evidente și adesea menționate asociate cu ISO 27001. Cu toate acestea, există câteva puncte nu atât de evidente și nu sunt menționate frecvent asociate cu ISO 27001. În primul rând, nu întregul sistem de securitate a informațiilor al băncii este supus auditului în conformitate cu acest standard, ci doar una sau mai multe dintre părțile sale constitutive. De exemplu, un sistem de protecție RBS, un sistem de protecție a sediului central al băncii sau un sistem de protecție a procesului de management al personalului. Cu alte cuvinte, obținerea unui certificat de conformitate pentru unul dintre procesele evaluate în cadrul auditului nu garantează că restul proceselor se află în aceeași stare aproape de ideală. Al doilea punct este legat de faptul că ISO 27001 este un standard universal, adică aplicabil oricărei organizații, ceea ce înseamnă că nu ține cont de specificul unei anumite industrii. Acest lucru a condus la faptul că în cadrul organizației internaționale de standardizare ISO se vorbește de mult despre crearea standardului ISO 27015, care este o transpunere a ISO 27001/27002 pentru industria financiară. Banca Rusiei este, de asemenea, implicată activ în dezvoltarea acestui standard. Cu toate acestea, Visa și MasterCard sunt împotriva proiectului acestui standard, care a fost deja dezvoltat. Primul consideră că proiectul de standard conține prea puține informații necesare industriei financiare (de exemplu, despre sistemele de plată), iar dacă este adăugat acolo, atunci standardul ar trebui transferat unui alt comitet ISO. MasterCard propune, de asemenea, oprirea dezvoltării ISO 27015, dar motivația este alta - spun ei, în industria financiară, și astfel reglementând pe deplin subiectul documentelor de securitate a informațiilor. În al treilea rând, este necesar să se acorde atenție faptului că multe propuneri găsite pe piața rusă nu vorbesc despre auditul de conformitate, ci despre pregătirea pentru audit. Faptul este că doar câteva organizații din lume au dreptul de a efectua certificarea conformității cu cerințele ISO 27001. Integratorii, în schimb, ajută doar companiile să respecte cerințele standardului, care vor fi apoi verificate de auditorii oficiali (se mai numesc și registratori, organisme de certificare etc.). În timp ce dezbaterea continuă cu privire la dacă băncile ar trebui sau nu să implementeze ISO 27001, unii temerari merg la asta și trec prin 3 etape ale auditului de conformitate:- Studiu preliminar informal de către auditor al documentelor principale (atât pe teritoriul clientului de audit, cât și în afara acestuia).
- Un audit formal și aprofundat al măsurilor de protecție implementate, o evaluare a eficacității acestora și un studiu al documentelor necesare elaborate. Această etapă se încheie de obicei cu confirmarea conformității, iar auditorul eliberează un certificat corespunzător recunoscut în întreaga lume.
- Executarea anuală a unui audit de inspecție pentru confirmarea certificatului de conformitate obținut anterior.
Setul de documente al Băncii Rusiei STO BR IBBS
Un astfel de standard, sau mai degrabă un set de standarde, este un set de documente ale Băncii Rusiei, care descriu o abordare unificată a construirii unui sistem de securitate a informațiilor pentru organizațiile bancare, ținând cont de cerințele legislației ruse. Acest set de documente (denumit în continuare STO BR IBBS), care conține trei standarde și cinci recomandări pentru standardizare, se bazează pe ISO 27001 și pe o serie de alte standarde internaționale pentru managementul tehnologiei informației și securitatea informației. Problemele de audit și evaluarea conformității cu cerințele standardului, precum și pentru ISO 27001, sunt precizate în documente separate - „STO BR IBBS-1.1-2007. Auditul securității informațiilor ”,“ STO BR IBBS-1.2-2010. Metodologia de evaluare a conformității securității informațiilor organizațiilor din sistemul bancar al Federației Ruse cu cerințele STO BR IBBS-1.0-2010 „și” RS BR IBBS-2.1-2007. Orientări pentru autoevaluarea conformității securității informațiilor organizațiilor din sistemul bancar al Federației Ruse cu cerințele STO BR IBBS-1.0 ”. În cadrul evaluării conformității conform STO BR IBBS, se verifică îndeplinirea a 423 de indicatori IS privați, grupați în 34 de indicatori de grup. Rezultatul evaluării este indicatorul final, care ar trebui să fie la nivelul 4 sau 5 pe o scară de cinci puncte stabilită de Banca Rusiei. Aceasta, de altfel, deosebește foarte mult auditul conform STO BR IBBS de auditul conform altor acte normative din domeniul securității informațiilor. În STO BR IBBS nu există inconsecvență, doar nivelul de conformitate poate fi diferit: de la zero la cinci. Și numai nivelurile de peste 4 sunt considerate pozitive. La sfârșitul anului 2011, aproximativ 70-75% dintre bănci au implementat sau sunt în proces de implementare a acestui set de standarde. În ciuda tuturor, acestea sunt de jure de natură de recomandare, dar inspecțiile de facto ale Băncii Rusiei au fost efectuate până de curând în conformitate cu cerințele STO BR IBBS (deși acest lucru nu a fost în mod clar auzit nicăieri). Situația s-a schimbat de la 1 iulie 2012, când legea „Cu privire la sistemul național de plăți” și documentele de reglementare ale Guvernului Rusiei și ale Băncii Rusiei elaborate pentru implementarea acesteia au intrat în vigoare. Din acel moment, problema necesității unui audit de conformitate cu cerințele STO BR IBBS a apărut din nou pe ordinea de zi. Cert este că metodologia de evaluare a conformității propusă în cadrul legislației privind sistemul național de plăți (SNP) și metodologia de evaluare a conformității STO BR IBBS pot diferi foarte mult în ceea ce privește valorile finale. Totodată, evaluarea conform primei metode (pentru SNP) a devenit obligatorie, în timp ce evaluarea conform STO BR IBBS este încă de jure cu caracter de recomandare. Și la momentul scrierii acestui articol, Banca Rusiei însăși nu luase încă o decizie cu privire la viitorul acestei evaluări. Dacă mai devreme toate firele convergeau în Direcția principală de securitate și protecție a informațiilor a Băncii Rusiei (GUBZI), atunci odată cu împărțirea puterilor între GUBZI și Departamentul de reglementare a reglementărilor (LHH), întrebarea rămâne deschisă. Este deja clar că actele legislative privind SNP necesită o evaluare obligatorie a conformității, adică un audit.Legislația privind sistemul național de plăți
Legislația privind NPS este abia la începutul formării sale, iar multe documente noi ne așteaptă, inclusiv cele privind securitatea informației. Dar este deja clar că Regulamentul 382-P, emis și aprobat la 9 iunie 2012, „Cu privire la cerințele pentru asigurarea securității informațiilor la efectuarea transferurilor de bani și » cere în clauza 2.15 o evaluare obligatorie a conformității, adică un audit. O astfel de evaluare este realizată fie independent, fie cu implicarea unor organizații terțe. După cum sa menționat deja mai sus, evaluarea conformității efectuată în cadrul 382-P este similară în esență cu ceea ce este descris în metodologia de evaluare a conformității a STO BR IBBS, dar dă rezultate complet diferite, care este asociată cu introducerea unor factori de corecție care determină rezultate diferite. Regulamentul 382-P nu stabilește cerințe speciale pentru organizațiile implicate în audit, ceea ce contravine Hotărârii Guvernului din 13 iunie 2012 nr. 584 „Cu privire la protecția informațiilor în sistemul de plăți”, care impune și organizarea și implementarea controlul și evaluarea conformității cu cerințele de protecție a informațiilor o dată la 2 ani. Cu toate acestea, Decretul de Guvern elaborat de FSTEC impune ca un audit extern să fie efectuat numai de către organizații autorizate să asigure protecția tehnică a informațiilor confidențiale. Cerințe suplimentare care sunt greu de atribuit uneia dintre formele de audit, dar care impun băncilor noi responsabilități, sunt enumerate în secțiunea 2.16 din Regulamentul 382-P. Conform acestor cerințe, operatorul sistemului de plăți este obligat să se dezvolte, iar băncile care au aderat la acest sistem de plată sunt obligate să respecte cerințele de informare periodică a operatorului sistemului de plăți cu privire la diverse probleme de securitate a informațiilor din bancă: respectarea cerințelor de protecție a informațiilor. , incidente identificate, autoevaluări, despre amenințările și vulnerabilitățile identificate. Pe lângă auditul efectuat pe bază contractuală, FZ-161 privind NPS stabilește, de asemenea, că se efectuează controlul și supravegherea îndeplinirii cerințelor stabilite de Guvernul Federației Ruse în Rezoluția 584 și Banca Rusiei în Regulamentul 382. de către FSB FSTEC și, respectiv, Banca Rusiei... La momentul redactării acestui articol, nici FSTEC, nici FSB nu aveau o procedură dezvoltată pentru o astfel de supraveghere, spre deosebire de Banca Rusiei, care a emis Regulamentul nr. 380-P din 31 mai 2012 „Cu privire la procedura de monitorizare a sistemului național de plăți. „ (pentru instituțiile de credit) și Reglementările din 9 iunie 2012 Nr. 381-P „Cu privire la procedura de supraveghere a conformității cu operatorii de sisteme de plăți, operatorii de servicii de infrastructură de plăți, a cerințelor Legii federale din 27 iunie 2011 nr. 161-FZ" Cu privire la sistemul național de plăți, "adoptat de în conformitate cu reglementările Băncii Rusiei ". Actele normative în domeniul protecției informațiilor în sistemul național de plăți sunt abia la începutul elaborării lor detaliate. La 1 iulie 2012, Banca Rusiei a început să le testeze și să colecteze fapte despre practica de aplicare a legii. Prin urmare, astăzi este prematur să vorbim despre cum vor fi aplicate aceste reglementări, cum va fi supravegheat 380-P, ce concluzii se vor trage pe baza rezultatelor unei autoevaluări efectuate la fiecare 2 ani și transmisă Băncii de Rusia.Standardul de securitate a cardurilor de plată PCI DSS
Payment Card Industry Data Security Standard (PCI DSS) este un standard de securitate a datelor pentru carduri de plată dezvoltat de Payment Card Industry Security Standards Council (PCI SSC), care a fost stabilit de sistemele internaționale de plată Visa, MasterCard, American Express, JCB și Discover. Standardul PCI DSS este un set de 12 cerințe la nivel înalt și peste 200 de cerințe detaliate pentru asigurarea securității datelor despre deținătorii de carduri de plată care sunt transmise, stocate și procesate în sistemele informaționale ale organizațiilor. Cerințele standardului se aplică tuturor companiilor care lucrează cu sisteme internaționale de plată Visa și MasterCard. În funcție de numărul de tranzacții procesate, fiecărei companii i se atribuie un anumit nivel cu un set corespunzător de cerințe pe care aceste companii trebuie să le îndeplinească. Aceste niveluri diferă în funcție de sistemul de plată. Finalizarea cu succes a auditului nu înseamnă că totul este în regulă cu securitatea din bancă - există multe trucuri care permit auditatului să ascundă unele defecte în sistemul său de securitate. Verificarea conformității cu cerințele standardului PCI DSS se realizează în cadrul certificării obligatorii, cerințele pentru care diferă în funcție de tipul companiei auditate - un comerciant care acceptă carduri de plată pentru plata bunurilor și serviciilor sau un furnizor de servicii care oferă servicii comercianților, băncilor achizitoare, emitenților etc. (centre de procesare, gateway-uri de plată etc.). O astfel de evaluare poate fi efectuată în diferite forme:- audituri anuale cu ajutorul companiilor acreditate cu statut de Evaluatori de Securitate Calificati (QSA);
- autoevaluare anuală;
- Scanarea rețelelor trimestrial de către organizații autorizate cu statut de furnizor de scanare aprobat (ASV).
Legislația datelor cu caracter personal
Cel mai recent document de reglementare, legat și de industria bancară și care stabilește cerințe pentru evaluarea conformității, este Legea federală „Cu privire la datele cu caracter personal”. Cu toate acestea, nici forma unui astfel de audit, nici frecvența acestuia, nici cerințele pentru organizația care efectuează un astfel de audit nu au fost încă stabilite. Poate că această problemă va fi înlăturată în toamna anului 2012, când va fi lansată următoarea porțiune de documente a Guvernului Federației Ruse, FSTEC și FSB, care introduce noi standarde în domeniul protecției datelor cu caracter personal. Între timp, băncile pot dormi bine și pot determina în mod independent caracteristicile auditului problemelor de protecție a datelor cu caracter personal. Controlul și supravegherea asupra implementării măsurilor organizatorice și tehnice pentru asigurarea securității datelor cu caracter personal, stabilite de articolul 19 al 152-FZ, sunt efectuate de FSB și FSTEC, dar numai pentru sistemele informaționale de stat de date cu caracter personal. Conform legii, nu există nimeni care să controleze organizațiile comerciale în domeniul asigurării securității informaționale a datelor cu caracter personal. Nu același lucru se poate spune despre problemele de protecție a drepturilor subiecților datelor cu caracter personal, adică clienții, contrapărțile și pur și simplu vizitatorii băncii. Această sarcină a fost preluată de Roskomnadzor, care este foarte activă în funcțiile sale de supraveghere și consideră băncile unul dintre cei mai mari încălcatori ai legii cu privire la datele cu caracter personal.Dispoziții finale
Mai sus, am avut în vedere principalele reglementări în domeniul securității informațiilor privind instituțiile de credit. Există multe dintre aceste reglementări, iar fiecare dintre ele își stabilește propriile cerințe pentru efectuarea evaluării conformității într-o formă sau alta - de la autoevaluare sub formă de completare a chestionarelor (PCI DSS) până la trecerea unui audit statutar o dată la doi ani ( 382-P) sau o dată pe an (ISO 27001). Între aceste forme cele mai comune de evaluare a conformității, există și altele - notificări ale operatorilor de sisteme de plată, scanări trimestriale etc. De asemenea, merită să ne amintim și să înțelegem că țara încă nu are un sistem unificat de opinii, nu numai cu privire la reglementarea de stat a proceselor de audit al securității informațiilor pentru organizații și sistemele de tehnologie a informației, ci în general pe tema auditului securității informațiilor în sine. În Federația Rusă, există o serie de departamente și organizații (FSTEC, FSB, Bank of Russia, Roskomnadzor, PCI SSC etc.) responsabile cu securitatea informațiilor. Și toți funcționează pe baza propriilor reglementări și linii directoare. Abordări diferite, standarde diferite, niveluri diferite de maturitate... Toate acestea împiedică stabilirea unor reguli uniforme de joc. Tabloul este stricat și de apariția firmelor fly-by-night, care, în căutarea profitului, oferă servicii de foarte slabă calitate în domeniul evaluării conformității cu cerințele de securitate a informațiilor. Și este puțin probabil ca situația să se schimbe în bine. Deoarece există o nevoie, vor exista cei care vor să o satisfacă, în timp ce pur și simplu nu vor fi suficienți auditori calificați pentru toți. Cu un număr mic de acestea (indicate în tabel) și durata auditului de la câteva săptămâni la câteva luni, este evident că nevoile de audit depășesc semnificativ capacitățile auditorilor. „Conceptul de audit al securității informaționale a sistemelor și organizațiilor de tehnologie a informației”, care nu a fost încă adoptat de FSTEC, conținea următoarea frază: „în același timp, în absența autorităților naționale de reglementare necesare, o astfel de activitate / privind auditul nereglementat. de către firme private / poate cauza prejudicii ireparabile organizațiilor”. În concluzie, autorii Conceptului și-au propus unificarea abordărilor de audit și stabilirea legislativă a regulilor jocului, inclusiv regulile de acreditare a auditorilor, cerințele pentru calificarea acestora, procedura de desfășurare a unui audit etc., dar lucrurile sunt încă acolo. Deși, având în vedere atenția pe care autoritățile naționale de reglementare din domeniul securității informațiilor (și avem 9 dintre ele) o acordă problemelor de securitate a informațiilor (numai în ultimul an calendaristic au fost adoptate sau elaborate 52 de acte de reglementare pe probleme de securitate a informațiilor - un act de reglementare pe saptamana! ), nu exclud că vor reveni în curând la acest subiect.STANDARDE DE AUDIT DE SECURITATE A INFORMAȚIILOR
OPINIA EXPERTULUI
Dmitry Markin, șeful Departamentului de Audit și Consultanță, AMT-GROUP:
Până de curând, problemele trecerii unui audit obligatoriu al stării securității informațiilor pentru instituțiile de credit în cadrul legislației ruse erau reglementate doar de FZ-152 „Cu privire la datele cu caracter personal” în ceea ce privește implementarea controlului intern asupra măsurilor luate pentru asigură securitatea datelor cu caracter personal, precum și prin Regulamentul Băncii Centrale a Federației Ruse nr. 242-P „Cu privire la organismul de control intern în instituțiile de credit și grupurile bancare”. De asemenea, în conformitate cu cerințele Regulamentului nr. 242-P, procedura de monitorizare a securității informațiilor este stabilită prin documentele interne ale instituției de credit în mod independent, fără a se face referire la cerințele specifice pentru asigurarea securității informațiilor. În legătură cu intrarea în vigoare a articolului 27 din FZ-161 „Cu privire la sistemul național de plăți”, care definește cerințele pentru protecția informațiilor în sistemul de plăți, Rezoluția Guvernului Federației Ruse nr. 584 „Cu privire la aprobare din Regulamentul privind protecția informațiilor în sistemul de plăți” și Regulamentul Băncii Centrale RF Nr. 382-P. Conform cerințelor Rezoluției nr. 584 și Regulamentului nr. 382-P, protecția informațiilor din sistemul de plăți trebuie efectuată în conformitate cu cerințele acestor acte de reglementare și cu cerințele incluse de operatorii sistemelor de plată în norme. a sistemelor de plată. Punctul cheie aici este consolidarea la nivel de legislație națională a dreptului operatorilor de sisteme de plată (de exemplu, Visa și MasterCard) de a stabili în mod independent cerințe pentru protecția informațiilor. Regulamentul nr. 382-P mai precizează obligația instituțiilor de credit de a evalua conformitatea cu cerințele IS cel puțin o dată la 2 ani, metodologia de evaluare a conformității, criteriile de audit și procedura de documentare a rezultatelor acesteia sunt clar definite. În opinia noastră, apariția reglementărilor de mai sus ar trebui să crească statisticile instituțiilor de credit care trec de certificare în conformitate cu cerințele standardului de securitate a datelor din industria cardurilor de plată PCI DSS 2.0, dezvoltat cu participarea celor mai importante sisteme internaționale de plată Visa și MasterCard.
Introducere
Auditul este o formă de control independent, neutru al oricărei linii de activitate a unei întreprinderi comerciale, utilizată pe scară largă în practica unei economii de piață, în special în domeniul contabilității. La fel de important din punctul de vedere al dezvoltării generale a unei întreprinderi este auditul de securitate al acesteia, care include o analiză a riscurilor asociate cu posibilitatea amenințărilor de securitate, în special în ceea ce privește resursele informaționale, o evaluare a nivelului actual de securitate al sisteme informaționale (SI), localizarea blocajelor în sistemul de protecție a acestora, evaluarea conformității SI cu standardele existente în domeniul securității informațiilor și elaborarea de recomandări pentru implementarea de noi și creșterea eficienței mecanismelor de securitate SI existente.
Dacă vorbim despre scopul principal al unui audit de securitate a informațiilor, atunci acesta poate fi definit ca evaluarea nivelului de securitate al sistemului informațional al unei întreprinderi pentru gestionarea acestuia în ansamblu, ținând cont de perspectivele de dezvoltare a acestuia.
În condițiile moderne, când sistemele informaționale pătrund în toate sferele de activitate ale întreprinderii și, ținând cont de necesitatea conexiunii lor la Internet, se dovedesc a fi deschise pentru implementarea amenințărilor interne și externe, problema securității informațiilor nu devine mai mică. important decât securitatea economică sau fizică.
În ciuda importanței problemei luate în considerare pentru formarea specialiștilor în securitatea informațiilor, aceasta nu a fost încă inclusă ca un curs separat în programele existente și nu a fost luată în considerare în manuale și materiale didactice. Acest lucru s-a datorat lipsei cadrului de reglementare necesar, nepregătirii specialiștilor și experienței practice insuficiente în domeniul auditului securității informațiilor.
Structura generală a muncii include următoarea secvență de probleme luate în considerare:
descrie un model pentru construirea unui sistem de securitate a informațiilor (IS) care ia în considerare amenințările, vulnerabilitățile, riscurile și contramăsurile luate pentru a le reduce sau preveni;
sunt luate în considerare metode de analiză și management al riscului;
evidențiază conceptele de bază ale auditului de securitate și oferă o descriere a obiectivelor implementării acestuia;
analizează principalele standarde internaționale și rusești utilizate în auditul SI;
sunt prezentate posibilitățile de utilizare a instrumentelor software pentru efectuarea unui audit IS;
Alegerea structurii descrise a manualului a fost făcută pentru a maximiza orientarea studentului către utilizarea practică a materialului în cauză, în primul rând, la studierea unui curs de curs, în al doilea rând, la promovarea practicilor industriale (analiza stării securității informației). la o întreprindere) și, în al treilea rând, la efectuarea lucrărilor și a tezelor.
Materialul prezentat poate fi util pentru managerii și angajații serviciilor de securitate și ai serviciilor de protecție a informațiilor ale întreprinderii pentru pregătirea și efectuarea unui audit intern și justificarea necesității unui audit extern al securității informațiilor.
Capitolul I. Auditul de securitate și metodele de implementare a acestuia
1 Conceptul de audit de securitate
Un audit este o examinare independentă a unor domenii specifice de funcționare a organizației. Distingeți între auditul extern și cel intern. Un audit extern este, de regulă, un eveniment unic inițiat de conducerea organizației sau de acționari. Se recomandă efectuarea de audituri externe în mod regulat și, de exemplu, pentru multe organizații financiare și societăți pe acțiuni, aceasta este o cerință obligatorie din partea fondatorilor și acționarilor acestora. Auditul intern este o activitate continuă, care se desfășoară în baza „Regulamentului privind auditul intern” și în conformitate cu planul, a cărui pregătire se realizează de către departamentele de securitate și se aprobă de conducerea organizației.
Obiectivele unui audit de securitate sunt:
analiza riscurilor asociate cu posibilitatea implementării amenințărilor de securitate în raport cu resursele;
evaluarea nivelului actual de securitate IP;
localizarea blocajelor în sistemul de protecție IP;
evaluarea conformității SI cu standardele existente în domeniul securității informațiilor;
Auditul de securitate al unei întreprinderi (firmă, organizație) ar trebui să fie considerat un instrument de management confidențial, excluzând posibilitatea de a furniza informații despre rezultatele activităților sale către terți și organizații în scopul păstrării secretului.
Următoarea secvență de acțiuni poate fi recomandată pentru efectuarea unui audit de securitate al întreprinderii.
1. Pregătirea pentru un audit de securitate:
selectarea obiectului de audit (firma, clădiri și sedii individuale, sisteme individuale sau componente ale acestora);
formarea unei echipe de auditori experți;
definirea domeniului și domeniului auditului și stabilirea unor termene-limită specifice.
2.Audit: analiza generală a stării de securitate a obiectului auditat; înregistrarea, colectarea și verificarea datelor statistice și a rezultatelor măsurătorilor instrumentale ale pericolelor și amenințărilor; evaluarea rezultatelor testelor; întocmirea unui raport privind rezultatele verificării pe componente individuale. 3.Finalizarea auditului: întocmirea unui raport final; elaborarea unui plan de acțiune pentru eliminarea blocajelor și neajunsurilor în asigurarea securității companiei. Pentru a efectua cu succes un audit de securitate, trebuie să: participarea activă a conducerii companiei la conduita acesteia; obiectivitatea și independența auditorilor (experților), competența și profesionalismul înalt a acestora; procedura de verificare clar structurata; implementarea activă a măsurilor propuse pentru asigurarea și consolidarea securității. Auditul de securitate, la rândul său, este un instrument eficient pentru evaluarea securității și managementul riscurilor. Prevenirea amenințărilor de securitate înseamnă și protejarea intereselor economice, sociale și informaționale ale unei întreprinderi. Prin urmare, putem concluziona că auditul de securitate devine un instrument de management economic. În funcție de volumul obiectelor analizate ale întreprinderii, sfera auditului este determinată: -auditul de securitate al intregii intreprinderi din complex; -auditul de securitate al clădirilor și spațiilor individuale (spații dedicate); -auditul echipamentelor și mijloacelor tehnice de tipuri și tipuri specifice; -auditul anumitor tipuri și domenii de activitate: economic, de mediu, informațional, financiar etc. De subliniat că auditul nu se realizează din inițiativa auditorului, ci din inițiativa conducerii companiei, care în această materie este principalul stakeholder. Sprijinul conducerii companiei este o condiție prealabilă pentru audit. Un audit este un ansamblu de activități în care, pe lângă auditorul însuși, sunt implicați reprezentanți ai majorității diviziilor structurale ale companiei. Acțiunile tuturor participanților la acest proces trebuie coordonate. Prin urmare, în etapa de inițiere a procedurii de audit, trebuie rezolvate următoarele probleme organizatorice: drepturile și obligațiile auditorului ar trebui să fie clar definite și documentate în fișele posturilor sale, precum și în regulamentul privind auditul intern (extern); auditorul trebuie să pregătească și să fie de acord cu managementul planului de audit; regulamentul privind auditul intern ar trebui să prevadă, în special, că angajații întreprinderii sunt obligați să asiste auditorul și să furnizeze toate informațiile necesare auditului. În etapa de inițiere a procedurii de audit, sfera sondajului ar trebui definit. Dacă unele subsisteme informaționale ale întreprinderii nu sunt suficient de critice, ele pot fi excluse din sfera anchetei. Este posibil ca alte subsisteme să nu fie auditabile din motive de confidențialitate. Sfera sondajului este definită în următoarele categorii: Lista resurselor fizice, software și informaționale examinate. 2.Zone (localuri) care se încadrează în limitele anchetei. 3.Principalele tipuri de amenințări de securitate luate în considerare în timpul auditului. 4.Aspecte organizaționale (legislative, administrative și procedurale), fizice, software-tehnice și alte aspecte ale securității care trebuie luate în considerare în timpul sondajului și prioritățile acestora (în ce măsură ar trebui luate în considerare). Planul de audit și limitele sunt discutate în cadrul unei ședințe de lucru, la care participă auditori, conducerea companiei și șefii diviziilor structurale. Pentru a înțelege auditul IS ca un sistem complex, modelul său conceptual, prezentat în Fig. 1.1. Componentele principale ale procesului sunt evidențiate aici: obiect de audit: scopul auditului: Orez. 1.1. Model conceptual de audit al securității informațiilor cerințele care trebuie îndeplinite; metodele utilizate; interpreți; ordinea de conduită. Din punctul de vedere al organizării muncii în timpul unui audit IS, există trei etape fundamentale: 1.colectare de informații; 2.analiza datelor; 2 Metode de analiză a datelor în auditul securității informațiilor În prezent, există trei metode (abordări) principale pentru efectuarea unui audit, care diferă semnificativ unele de altele. Prima metodă, cea mai complexă, se bazează pe analiza riscului. Pe baza metodelor de analiză a riscurilor, auditorul determină pentru IS-ul chestionat un set individual de cerințe de securitate, care ia în considerare în cea mai mare măsură caracteristicile acestui SI, mediul său de operare și amenințările de securitate existente în acest mediu. Această abordare este cea mai consumatoare de timp și necesită cele mai înalte calificări ale unui auditor. Calitatea rezultatelor auditului, în acest caz, este puternic influențată de metodologia utilizată pentru analiză și managementul riscurilor și de aplicabilitatea acesteia la acest tip de PI. A doua metodă, cea mai practică, se bazează pe utilizarea standardelor de securitate a informațiilor. Standardele definesc setul de bază de cerințe de securitate pentru o clasă largă de IS, care se formează ca urmare a generalizării practicii mondiale. Standardele pot defini seturi diferite de cerințe de securitate, în funcție de nivelul de securitate al SI care trebuie furnizat, de afilierea acestuia (organizație comercială sau agenție guvernamentală), precum și de scop (finanțe, industrie, comunicații etc.). În acest caz, auditorul este obligat să determine corect setul de cerințe ale standardului, a căror conformitate trebuie să fie asigurată pentru acest IS. De asemenea, este necesară o metodologie pentru a evalua această conformitate. Datorită simplității (setul standard de cerințe pentru audit este deja predeterminat de standard) și fiabilității (standardul este un standard și nimeni nu va încerca să-i conteste cerințele), abordarea descrisă este cea mai comună în practică (mai ales atunci când efectuarea unui audit extern). Vă permite să trageți concluzii rezonabile despre starea SI cu un cost minim al resurselor. A treia metodă, cea mai eficientă, presupune combinarea primelor două. Dacă se alege o abordare bazată pe risc pentru a efectua un audit de securitate, atunci următoarele grupuri de sarcini sunt de obicei efectuate în etapa de analiză a datelor de audit: Analiza resurselor IP, inclusiv resursele informaționale, software-ul și hardware-ul și resursele umane. 2.Analiza grupelor de sarcini rezolvate de sistem și procesele de afaceri. 3.Construirea unui model (informal) de resurse IP, care determină relația dintre informații, software, resurse tehnice și umane, aranjarea lor reciprocă și metodele de interacțiune. 4.Evaluarea criticității resurselor informaționale, precum și a software-ului și hardware-ului. 5.Determinarea criticității resurselor, ținând cont de interdependența acestora. 6.Determinarea celor mai probabile amenințări de securitate în raport cu resursele IP și vulnerabilitățile de securitate care fac posibilă apariția acestor amenințări. 7.Evaluarea probabilității implementării amenințărilor, amploarea vulnerabilităților și a daunelor aduse organizației în cazul implementării cu succes a amenințărilor. 8.Determinarea mărimii riscurilor pentru fiecare triplă: amenințare - grup de resurse - vulnerabilitate. Setul de sarcini enumerat este destul de general. Pentru a le rezolva, pot fi utilizate diverse tehnici de analiză a riscurilor formale și informale, cantitative și calitative, manuale și automate. Acest lucru nu schimbă esența abordării. Evaluarea riscurilor poate fi efectuată folosind o varietate de scale atât calitative, cât și cantitative. Principalul lucru este că riscurile existente sunt corect identificate și clasificate în funcție de gradul de criticitate al acestora pentru organizație. Pe baza acestei analize, se poate dezvolta un sistem de măsuri prioritare pentru a reduce amploarea riscurilor la un nivel acceptabil. Atunci când efectuează un audit de securitate pentru conformitatea cu cerințele standardului, auditorul, bazându-se pe experiența sa, evaluează aplicabilitatea cerințelor standardului la SI inspectat și conformitatea acestuia cu aceste cerințe. Datele privind conformitatea diferitelor domenii ale funcționării SI cu cerințele standardului sunt de obicei prezentate sub formă de tabel. Tabelul arată ce cerințe de securitate nu sunt implementate în sistem. Pe baza acesteia, se trag concluzii cu privire la conformitatea IS-ului chestionat cu cerințele standardului și se dau recomandări privind implementarea mecanismelor de securitate în sistem pentru a asigura o astfel de conformitate. 3 Analiza riscurilor informaționale ale întreprinderii Analiza riscurilor este ceea ce ar trebui să înceapă cu construirea oricărui sistem de securitate a informațiilor și ceea ce este necesar pentru a efectua un audit de securitate a informațiilor. Include activități de supraveghere a securității întreprinderii pentru a determina ce resurse și de ce amenințări trebuie protejate, precum și în ce măsură anumite resurse trebuie protejate. Determinarea unui set de contramăsuri adecvate se realizează în cursul managementului riscului. Riscul este determinat de probabilitatea de deteriorare și de cantitatea de deteriorare a resurselor sistemelor informaționale (IS) în cazul unei amenințări de securitate. Analiza riscurilor constă în identificarea riscurilor existente și evaluarea amplorii acestora (oferindu-le o evaluare calitativă sau cantitativă). Procesul de analiză a riscurilor presupune rezolvarea următoarelor sarcini: 1.Identificarea resurselor IP cheie. 2.Determinarea importanței anumitor resurse pentru organizație. 3.Identificarea amenințărilor de securitate existente și a vulnerabilităților care fac posibile amenințările. 4.Calculul riscurilor asociate cu implementarea amenințărilor de securitate. Resursele IP pot fi clasificate după cum urmează: resurse informaționale; software; mijloace tehnice (servere, stații de lucru, echipamente active de rețea etc.); resurse umane. În cadrul fiecărei categorii, resursele sunt împărțite în clase și subclase. Este necesar să se identifice doar acele resurse care determină funcționalitatea SI și sunt esențiale din punctul de vedere al asigurării securității. Importanța (sau costul) unei resurse este determinată de valoarea prejudiciului cauzat în cazul unei încălcări a confidențialității, integrității sau disponibilității respectivei resurse. Următoarele tipuri de daune sunt de obicei luate în considerare: datele au fost dezvăluite, modificate, șterse sau indisponibile; echipamentul a fost deteriorat sau distrus; integritatea software-ului este încălcată. Daunele pot fi cauzate unei organizații ca urmare a implementării cu succes a următoarelor tipuri de amenințări de securitate: atacuri locale și de la distanță asupra resurselor IP; dezastre naturale; greșeli sau acțiuni deliberate ale personalului SI; Eșecuri IC cauzate de erori software sau defecțiuni hardware. Mărimea riscului poate fi determinată pe baza costului resursei, a probabilității de apariție a amenințării și a mărimii vulnerabilității folosind următoarea formulă: costul resursei x probabilitatea amenințării Risc = magnitudinea vulnerabilității Provocarea managementului riscului este de a selecta un set rezonabil de contramăsuri pentru a reduce nivelurile de risc la un nivel acceptabil. Costul implementării contramăsurilor ar trebui să fie mai mic decât valoarea posibilelor daune. Diferența dintre costul implementării contramăsurilor și valoarea posibilelor daune ar trebui să fie invers proporțională cu probabilitatea de a provoca daune. Abordarea bazată pe analiza riscurilor informaționale ale întreprinderii este cea mai semnificativă pentru practica de asigurare a securității informațiilor. Acest lucru se datorează faptului că analiza riscurilor vă permite să gestionați eficient securitatea informațiilor unei întreprinderi. Pentru a face acest lucru, la începutul analizei de risc, este necesar să se determine ce anume este supus protecției la întreprindere, la ce amenințări este expusă și în conformitate cu practica de protecție. Analiza riscurilor se realizează pe baza scopurilor și obiectivelor imediate de protejare a unui anumit tip de informații cu caracter confidențial. Una dintre cele mai importante sarcini în protejarea informațiilor este asigurarea integrității și disponibilității acestora. Trebuie avut în vedere faptul că o încălcare a integrității poate apărea nu numai ca urmare a unor acțiuni deliberate, ci și dintr-o serie de alte motive: · defecțiuni ale echipamentelor care conduc la pierderea sau denaturarea informațiilor; · impactul fizic, inclusiv ca urmare a dezastrelor naturale; · erori în software (inclusiv caracteristici nedocumentate). Prin urmare, sub termenul „atac” este mai promițător să înțelegem nu numai impactul uman asupra resurselor informaționale, ci și impactul mediului în care funcționează sistemul de procesare a informațiilor al întreprinderii. La efectuarea unei analize de risc, se dezvoltă următoarele: · strategia generală și tactica de desfășurare a „operațiunilor ofensive și acțiunilor de luptă” de către un potențial contravenient; · posibile modalități de efectuare a atacurilor asupra sistemului de prelucrare și protecție a informațiilor; · scenariu de acțiuni ilegale; · caracteristicile canalelor de scurgere de informații și servicii neautorizate; · probabilitatea stabilirii unui contact de informații (implementarea amenințărilor); · o listă a posibilelor infecții ale informațiilor; · modelul intrusului; · metoda de evaluare a securității informațiilor. În plus, pentru a construi un sistem de încredere pentru protejarea informațiilor unei întreprinderi, este necesar: · identifica toate amenințările posibile la adresa securității informațiilor; · evaluează consecințele manifestării lor; · determina masurile si mijloacele de protectie necesare, tinand cont de cerintele documentelor de reglementare, economice · oportunitatea, compatibilitatea și lipsa de conflicte cu software-ul utilizat; · evaluează eficacitatea măsurilor și mijloacelor de protecție selectate. Orez. 1.2. Script de analiză a resurselor informaționale Toate cele 6 etape ale analizei riscului sunt prezentate aici. În prima și a doua etapă se determină informații care constituie un secret comercial pentru întreprindere și care urmează să fie protejate. Este clar că astfel de informații sunt stocate în anumite locuri și pe medii specifice, transmise prin canale de comunicare. În același timp, factorul determinant în tehnologia de manipulare a informațiilor este arhitectura SI, care determină în mare măsură securitatea resurselor informaționale ale întreprinderii. A treia etapă a analizei de risc este construirea canalelor de acces, scurgeri sau impact asupra resurselor informaționale ale principalelor noduri IS. Fiecare canal de acces este caracterizat de o multitudine de puncte din care informațiile pot fi „șterse”. Ei sunt cei care reprezintă vulnerabilități și necesită utilizarea mijloacelor pentru a preveni influențele nedorite asupra informațiilor. A patra etapă a analizei metodelor de apărare a tuturor punctelor posibile corespunde astfel obiectivelor apărării, iar rezultatul acesteia ar trebui să fie o caracteristică a posibilelor lacune în apărare, inclusiv din cauza unei combinații nefavorabile de circumstanțe. La a cincea etapă, pornind de la metodele și mijloacele cunoscute în prezent de depășire a liniilor defensive, se determină probabilitățile implementării amenințărilor pentru fiecare dintre posibilele puncte de atac. În etapa finală, a șasea, se evaluează prejudiciul adus organizației în cazul implementării fiecăruia dintre atacuri, ceea ce, împreună cu evaluările vulnerabilității, face posibilă obținerea unei liste ierarhizate a amenințărilor la adresa resurselor informaționale. Rezultatele lucrării sunt prezentate într-o formă convenabilă pentru perceperea acestora și pentru luarea deciziilor privind corectarea sistemului de protecție a informațiilor existent. Mai mult, fiecare resursă de informații poate fi expusă mai multor amenințări potențiale. De o importanță fundamentală este probabilitatea totală de acces la resursele informaționale, care este suma probabilităților elementare de acces la punctele individuale de trecere a informațiilor. Cantitatea de risc de informare pentru fiecare resursă este definită ca produsul dintre probabilitatea unui atac asupra resursei, probabilitatea implementării și amenințarea și deteriorarea cauzate de intruziunea informațiilor. Acest produs poate folosi diferite metode de ponderare a constituenților. Însumarea riscurilor pentru toate resursele oferă valoarea riscului total pentru arhitectura SI adoptată și sistemul de securitate a informațiilor implementat în aceasta. Astfel, prin variarea opțiunilor de construire a unui sistem de protecție a informațiilor și a unei arhitecturi IS, devine posibilă prezentarea și luarea în considerare a diferitelor valori ale riscului total datorită unei modificări a probabilității implementării amenințărilor. Aici, un pas foarte important este alegerea uneia dintre opțiuni în conformitate cu criteriul de decizie selectat. Un astfel de criteriu poate fi valoarea admisibilă a riscului sau raportul dintre costurile de asigurare a securității informațiilor și riscul rezidual. Când construiți sisteme de securitate a informațiilor, trebuie să definiți și o strategie de management al riscurilor pentru întreprindere. Mai multe abordări ale managementului riscului sunt cunoscute astăzi. Una dintre cele mai frecvente este reducerea riscului prin utilizarea metodelor și mijloacelor de protecție adecvate. În esență similară este abordarea asociată cu aversiunea la risc. Se știe că unele clase de riscuri pot fi evitate: de exemplu, mutarea serverului Web al organizației în afara rețelei locale evită riscul accesului neautorizat la rețeaua locală de către clienții Web. În cele din urmă, în unele cazuri, asumarea riscurilor este acceptabilă. Aici este important să se determine următoarea dilemă: ce este mai profitabil pentru întreprindere - să se ocupe de riscuri sau de consecințele acestora. În acest caz, este necesar să se rezolve problema de optimizare. După ce a fost stabilită strategia de management al riscului, evaluarea finală a măsurilor de asigurare a securității informațiilor se realizează cu pregătirea unei opinii de expertiză privind securitatea resurselor informaționale. Avizul expertului include toate materialele de analiză a riscurilor și recomandări pentru reducerea acestora. 1.4 Metode de evaluare a riscurilor informaționale ale întreprinderii În practică, sunt utilizate diverse metode de evaluare și gestionare a riscurilor informaționale în întreprinderi. Totodată, evaluarea riscurilor informaționale prevede următoarele etape: · identificarea și evaluarea cantitativă a resurselor informaționale ale întreprinderilor care sunt semnificative pentru afaceri; · evaluarea posibilelor amenințări; · evaluarea vulnerabilităților existente; · evaluarea eficacității instrumentelor de securitate a informațiilor. Se presupune că resursele informaționale vulnerabile relevante pentru afaceri ale unei companii sunt în pericol dacă există amenințări la adresa lor. Cu alte cuvinte, riscurile caracterizează pericolul la care pot fi expuse componentele sistemului Internet/Intranet corporativ. În același timp, riscurile informaționale ale companiei depind de: · din indicatori ai valorii resurselor informaţionale; · probabilitatea implementării amenințărilor la adresa resurselor; · eficacitatea mijloacelor existente sau planificate de asigurare a securității informațiilor. Scopul evaluării riscurilor este de a determina caracteristicile riscurilor sistemului informațional corporativ și resurselor acestuia. Ca urmare a evaluării riscurilor, devine posibilă alegerea mijloacelor care asigură nivelul dorit de securitate a informațiilor întreprinderii. Evaluarea riscurilor ia în considerare valoarea resurselor, importanța amenințărilor și vulnerabilităților și eficacitatea apărărilor existente și planificate. Indicatorii resurselor în sine, semnificația amenințărilor și vulnerabilităților, eficacitatea mijloacelor de protecție pot fi determinate atât cantitativ, de exemplu, la determinarea caracteristicilor costurilor, cât și calitativ, de exemplu, ținând cont de influențele anormale de mediu standard sau extrem de periculoase. Posibilitatea realizării unei amenințări este estimată prin probabilitatea realizării acesteia într-o anumită perioadă de timp pentru o anumită resursă a întreprinderii. În același timp, probabilitatea ca amenințarea să fie realizată este determinată de următorii indicatori principali: · atractivitatea resursei este utilizată atunci când se ia în considerare amenințarea influenței umane deliberate; · posibilitatea de a utiliza resursa pentru a genera venituri atunci când se ia în considerare amenințarea din cauza influenței umane deliberate; · capacitățile tehnice ale amenințării sunt utilizate în cazul influenței umane deliberate; · ușurința cu care vulnerabilitatea poate fi exploatată. În prezent, există multe metode tabelare de evaluare a riscurilor informaționale ale unei companii. Este important ca personalul de securitate să aleagă singur metoda adecvată care va oferi rezultate reproductibile corecte și fiabile. Indicatorii cantitativi ai resurselor informaționale se recomandă a fi evaluați pe baza rezultatelor sondajelor efectuate de angajații întreprinderii - proprietari de informații, adică funcționari care pot determina valoarea informațiilor, caracteristicile acesteia și gradul de criticitate, pe baza realității. stare de fapt. Pe baza rezultatelor sondajului, indicatorii și gradul de criticitate al resurselor informaționale sunt evaluați pentru cel mai rău scenariu, până la luarea în considerare a potențialelor impacturi asupra activităților de afaceri ale întreprinderii în cazul unei posibile cunoștințe neautorizate cu informații confidențiale, încălcarea integrității acesteia. , indisponibilitate pentru diverse perioade cauzate de defecțiuni ale serviciului de prelucrare a datelor sistemelor și chiar distrugeri fizice. În același timp, procesul de obținere a indicatorilor cantitativi poate fi completat cu metode adecvate de evaluare a altor resurse critice ale întreprinderii, ținând cont de: · siguranța personalului; · dezvăluirea de informații private; · cerințele de conformitate cu legislația și reglementările; · restricții care decurg din legislație; · interese comerciale și economice; · pierderi financiare și întreruperi în activitățile de producție; · relatii publice; · politica comerciala si operatiuni comerciale; · pierderea reputației companiei. În plus, indicatorii cantitativi sunt utilizați acolo unde este permis și justificat și calitativi - acolo unde estimările cantitative sunt dificile din mai multe motive. În același timp, cea mai răspândită este evaluarea indicatorilor de calitate folosind scale de scor special dezvoltate în aceste scopuri, de exemplu, cu o scală de patru puncte. Următoarea operațiune este de a completa perechi de chestionare, în care, pentru fiecare dintre tipurile de amenințări și grupul de resurse asociat, nivelurile de amenințare sunt evaluate ca probabilitatea ca amenințările să fie realizate și nivelurile de vulnerabilitate ca gradul de ușurință cu care un amenințarea realizată poate duce la un impact negativ. Evaluarea se realizează pe scale calitative. De exemplu, nivelul amenințărilor și vulnerabilităților este evaluat la o scară ridicată-mică. Informațiile necesare sunt colectate prin intervievarea managerilor de TOP ai companiei, angajaților din departamentele comerciale, tehnice, de personal și de service, vizitarea terenului și analiza documentației companiei. Alături de metodele tabelare de evaluare a riscurilor informaționale pot fi utilizate metode matematice moderne, de exemplu, metoda de tip Delphi, precum și sisteme automate speciale, dintre care unele vor fi discutate mai jos. Algoritmul general al procesului de evaluare a riscurilor (Figura 1.3.) În aceste sisteme include următoarele etape. · descrierea obiectului și măsurile de protecție; · identificarea resursei și evaluarea indicatorilor ei cantitativi (determinarea potențialului impact negativ asupra afacerii); · analiza amenințărilor la securitatea informațiilor; · evaluarea vulnerabilităților; · evaluarea fondurilor existente și propuse asigurarea securității informațiilor; · evaluare a riscurilor. 5 Managementul riscului informațional În prezent, managementul riscului informațional este unul dintre cele mai relevante și dinamice domenii ale managementului strategic și operațional în domeniul securității informațiilor. Sarcina sa principală este identificarea și evaluarea obiectivă a riscurilor informaționale ale companiei care sunt cele mai semnificative pentru afacere, precum și adecvarea controalelor de risc utilizate pentru creșterea eficienței și rentabilității activității economice a întreprinderii. Prin urmare, termenul „managementul riscului informațional” este de obicei înțeles ca un proces sistematic de identificare, control și atenuare a riscurilor informaționale ale companiilor, în conformitate cu anumite restricții ale cadrului de reglementare rus în domeniul protecției informațiilor și a propriei politici de securitate corporativă. Orez. 1.3. Algoritm de evaluare a riscurilor Utilizarea sistemelor informatice este asociată cu un anumit set de riscuri. Atunci când daunele potențiale sunt inacceptabil de mari, sunt necesare măsuri de protecție justificate din punct de vedere economic. Evaluarea (re)riscului periodic este necesară pentru a monitoriza eficacitatea activităților de securitate și pentru a ține seama de schimbările din mediu. Esența activităților de management al riscului este de a evalua dimensiunea acestora, de a dezvolta măsuri eficiente și rentabile pentru a atenua riscurile și apoi de a se asigura că riscurile sunt conținute în limite acceptabile (și rămân astfel). În consecință, managementul riscului include două tipuri de activități, care alternează ciclic: )(re) evaluarea (măsurarea) riscurilor; )selectarea echipamentelor de protecție eficiente și economice (neutralizarea riscurilor). În raport cu riscurile identificate, sunt posibile următoarele acțiuni: · eliminarea riscului (de exemplu, prin eliminarea cauzei); · reducerea riscurilor (de exemplu, prin utilizarea echipamentului de protecție suplimentar); · acceptarea riscului (prin dezvoltarea unui plan de acțiune în condiții adecvate): · redirecționarea riscului (de exemplu, prin încheierea unui contract de asigurare). Procesul de management al riscului poate fi împărțit în următoarele etape: 1.Alegerea obiectelor analizate și nivelul de detaliu al luării în considerare a acestora. 2.Alegerea metodologiei de evaluare a riscurilor. .Identificarea activelor. .Analiza amenințărilor și a consecințelor acestora, identificarea vulnerabilităților în protecție. .Evaluare a riscurilor. .Alegerea măsurilor de protecție. .Implementarea si verificarea masurilor selectate. .Evaluarea riscului rezidual. Etapele6 și se referă la alegerea echipamentului de protecție (neutralizarea riscurilor), restul - la evaluarea riscurilor. Listarea etapelor deja arată că managementul riscului este un proces ciclic. În esență, ultimul pas este o declarație de sfârșit de buclă care vă spune să vă întoarceți la început. Riscurile trebuie monitorizate constant, reevaluându-le periodic. Trebuie remarcat faptul că o evaluare finalizată și bine documentată poate simplifica foarte mult activitățile de urmărire. Managementul riscului, ca orice altă activitate din domeniul securității informațiilor, trebuie integrat în ciclul de viață al SI. Atunci efectul se dovedește a fi cel mai mare, iar costurile sunt minime. Managementul riscului trebuie efectuat în toate etapele ciclului de viață al sistemului informațional: inițiere-dezvoltare-exploatare-instalare-eliminare (dezafectare). În etapa de inițiere, riscurile cunoscute ar trebui să fie luate în considerare atunci când se dezvoltă cerințele pentru sistem în general și pentru echipamentele de securitate în special. În faza de dezvoltare, cunoașterea riscurilor ajută la selectarea soluțiilor arhitecturale adecvate, care joacă un rol cheie în asigurarea securității. În timpul fazei de instalare, riscurile identificate trebuie luate în considerare la configurarea, testarea și verificarea celor formulate anterior. cerințelor, iar ciclul complet de gestionare a riscurilor ar trebui să preceadă introducerea în funcțiune a sistemului. În timpul fazei operaționale, managementul riscului ar trebui să însoțească toate schimbările semnificative ale sistemului. La scoaterea din funcțiune a unui sistem, managementul riscurilor ajută la asigurarea că datele sunt migrate într-un mod sigur. Capitolul II. Standarde de securitate a informațiilor 1 Condiții preliminare pentru crearea standardelor de securitate a informațiilor Auditul securității informațiilor se bazează pe utilizarea a numeroase recomandări, care sunt stabilite în principal în standardele internaționale de securitate a informațiilor. Recent, unul dintre rezultatele auditului devine din ce în ce mai mult un certificat care atestă conformitatea IP-ului cercetat cu un anumit standard internațional recunoscut. Prezența unui astfel de certificat permite organizației să obțină avantaje competitive asociate cu o mai mare încredere din partea clienților și partenerilor. Utilizarea standardelor contribuie la rezolvarea următoarelor cinci sarcini. În primul rând, obiectivele asigurării securității informaționale a sistemelor informatice sunt strict definite. În al doilea rând, se creează un sistem eficient de management al securității informațiilor. În al treilea rând, oferă calcularea unui set de indicatori detaliați nu numai calitativi, ci și cantitativi pentru evaluarea conformității securității informațiilor cu obiectivele declarate. În al patrulea rând, sunt create condiții pentru utilizarea instrumentelor existente (software) pentru asigurarea securității informației și evaluarea stării sale actuale. În al cincilea rând, devine posibilă utilizarea tehnicilor de management al siguranței cu un sistem bine fundamentat de metrici și măsuri de sprijin pentru dezvoltatorii de sisteme informatice. De la începutul anilor 1980 au fost create zeci de standarde internaționale și naționale în domeniul securității informațiilor, care într-o oarecare măsură se completează reciproc. Mai jos vor fi considerate cele mai faimoase standarde pentru cronologia creării lor: )Criteriul de evaluare a fiabilității sistemelor informatice „Orange Book” (SUA); )Criterii armonizate pentru țările europene; )Recomandări X.800; )standard german BSI; )Standardul britanic BS 7799; )standardul ISO 17799; )Standard „Criterii generale” ISO 15408; )COBIT standard Aceste standarde pot fi împărțite în două tipuri: · Standarde de evaluare care vizează clasificarea sistemelor informaționale și a măsurilor de securitate în funcție de cerințele de securitate; · Specificații tehnice care reglementează diverse aspecte ale implementării controalelor de securitate. Este important de reținut că nu există un perete gol între aceste tipuri de documente de reglementare. Standardele de evaluare scot în evidență cele mai importante, din punct de vedere al securității informațiilor, aspecte ale SI, jucând rolul de specificații arhitecturale. Alte specificații tehnice definesc modul de construire a unui IS cu o arhitectură prescrisă. 2 Standard „Criterii de evaluare a fiabilității sistemelor informatice” (Cartea portocalie) Din punct de vedere istoric, „Criteriile de evaluare pentru sisteme informatice de încredere” ale Departamentului Apărării SUA a devenit primul standard de evaluare care a devenit larg răspândit și a avut un impact uriaș pe baza standardizării securității informațiilor în multe țări. Această lucrare, numită cel mai adesea „Cartea portocalie” pentru culoarea copertei, a fost publicată pentru prima dată în august 1983. Numai numele său necesită comentarii. Nu vorbim de sisteme sigure, ci de sisteme de încredere, adică de sisteme cărora li se poate acorda un anumit grad de încredere. Cartea Orange clarifică conceptul de sistem securizat care „gestionează, prin mijloace adecvate, accesul la informații astfel încât numai persoanele sau procesele care acționează în numele lor autorizate corespunzător să aibă dreptul de a citi, scrie, crea și șterge informații”. Este evident, însă, că sisteme absolut sigure nu există, aceasta este o abstractizare. Este logic să evaluăm doar gradul de încredere care poate fi acordat unui anumit sistem. Orange Book definește un sistem de încredere ca fiind „un sistem care folosește suficient hardware și software pentru a permite unui grup de utilizatori să proceseze simultan informații cu diferite grade de secretizare fără a încălca drepturile de acces”. De menționat că în criteriile luate în considerare, atât securitatea, cât și încrederea sunt evaluate exclusiv din punct de vedere al controlului accesului la date, care este unul dintre mijloacele de asigurare a confidențialității și integrității informațiilor. Cu toate acestea, Orange Book nu abordează problemele de accesibilitate. Gradul de încredere este evaluat în funcție de două criterii principale. .O politică de securitate este un set de legi, reguli și coduri de conduită care guvernează modul în care o organizație procesează, protejează și difuzează informații. În special, regulile determină în ce cazuri utilizatorul poate opera pe anumite seturi de date. Cu cât este mai mare gradul de încredere în sistem, cu atât politica de securitate ar trebui să fie mai strictă și mai diversă. În funcție de politica formulată, puteți alege mecanisme de securitate specifice. Politica de securitate este un aspect activ al protecției, inclusiv analiza posibilelor amenințări și selectarea contramăsurilor. .Nivelul de asigurare este o măsură a încrederii care poate fi oferită arhitecturii și implementării SI. Încrederea în securitate poate apărea atât din analiza rezultatelor testelor, cât și din verificarea (formală sau nu) a proiectării și implementării generale a sistemului ca întreg și a componentelor sale individuale. Nivelul de asigurare arată cât de corecte sunt mecanismele responsabile de implementarea politicii de securitate. Acesta este aspectul pasiv al apărării. Un mecanism de responsabilitate (înregistrare) este definit ca principala măsură de securitate. Sistemul de încredere trebuie să înregistreze toate evenimentele de securitate. Evidența ar trebui completată de un audit, adică o analiză a informațiilor de înregistrare. Conceptul de bază de calcul de încredere este esențial pentru evaluarea gradului de încredere în securitate. Trusted Computing Base este o colecție de mecanisme de securitate IC (inclusiv hardware și software) care sunt responsabile pentru aplicarea politicilor de securitate. Calitatea bazei de calcul este determinată numai de implementarea acesteia și de corectitudinea datelor inițiale introduse de administratorul de sistem. Este posibil ca componentele considerate în afara bazei de calcul să nu fie de încredere, dar acest lucru nu ar trebui să afecteze securitatea sistemului în ansamblu. Drept urmare, autorii standardului recomandă să se ia în considerare doar baza sa de calcul pentru a evalua încrederea în securitatea IS. Scopul principal al unei baze de calcul de încredere este acela de a îndeplini funcțiile unui monitor de referință, adică de a controla admisibilitatea anumitor operațiuni asupra obiectelor (entități pasive) de către subiecți (utilizatori). Monitorul verifică accesul fiecărui utilizator la programe sau date pentru concordanță cu setul de acțiuni permise utilizatorului. Un monitor de lovituri trebuie să aibă trei calități: Izolare. Este necesar să se prevină posibilitatea monitorizării monitorului. Completitudine. Monitorul ar trebui apelat la fiecare apel, nu ar trebui să existe nicio modalitate de a-l ocoli. Verificabilitate. Monitorul trebuie să fie compact, astfel încât să poată fi analizat și testat cu încredere în caracterul complet al testării. Implementarea monitorului de referință se numește nucleu de securitate. Nucleul de securitate este fundația pe care sunt construite toate mecanismele de apărare. Pe lângă proprietățile monitorului de referință enumerate mai sus, nucleul trebuie să garanteze propria sa imuabilitate. Limita bazei de calcul de încredere se numește perimetru de securitate. După cum s-a menționat, componentele din afara perimetrului de securitate nu pot fi în general de încredere. Odată cu dezvoltarea sistemelor distribuite, conceptului de „perimetru de securitate” i se dă din ce în ce mai mult un sens diferit, adică granița proprietății unei anumite organizații. Ceea ce este în interiorul posesiei este considerat de încredere, iar ceea ce este în exterior nu este. Potrivit Orange Book, o politică de securitate trebuie să includă în mod necesar următoarele elemente: · controlul accesului arbitrar; · siguranța reutilizarii obiectelor; · etichete de securitate; · controlul accesului forțat. Controlul accesului arbitrar este o metodă de diferențiere a accesului la obiecte pe baza identității subiectului sau a grupului căruia îi aparține subiectul. Arbitrarul controlului constă în faptul că o anumită persoană (de obicei proprietarul obiectului) poate, la discreția sa, să acorde altor subiecți sau să le îndepărteze drepturile de acces la obiect. Securitatea reutilizarii obiectelor este un plus important la controalele de acces pentru a preveni extragerea accidentală sau deliberată a informațiilor confidențiale din coșul de gunoi. Securitatea reutilizarii trebuie garantata pentru zonele de memorie cu acces aleatoriu (in special, pentru bufferele cu imagini de ecran, parole decriptate etc.), pentru blocurile de disc si mediile magnetice in general. 3 standard german BSI În 1998, Germania a publicat „Ghidul pentru securitatea tehnologiei informației pentru un nivel de bază”. Manualul este un hipertext de aproximativ 4 MB (în format HTML). Ulterior a fost oficializat sub forma standardului german BSI. Se bazează pe metodologia generală și pe componentele managementului securității informațiilor: · Metoda generala de management al securitatii informatiei (organizarea managementului in domeniul securitatii informatiei, metodologia de utilizare a manualului). · Descrieri ale componentelor tehnologiilor informaționale moderne. · Componente principale (nivel organizațional de securitate a informațiilor, nivel procedural, organizarea protecției datelor, planificarea acțiunilor în situații de urgență). · Infrastructură (cladiri, spații, rețele de cablu, organizarea accesului la distanță). · Componente client de diferite tipuri (DOS, Windows, UNIX, componente mobile, alte tipuri). · Rețele de diferite tipuri (conexiuni punct la punct, rețele Novell NetWare, rețele cu OC ONIX și Windows, rețele eterogene). · Elemente ale sistemelor de transmisie a datelor (e-mail, modemuri, firewall-uri etc.). · Telecomunicatii (faxuri, robote telefonice, sisteme integrate bazate pe ISDN, alte sisteme de telecomunicatii). · Software standard. · Bază de date. · Descrieri ale principalelor componente ale organizării regimului de securitate a informațiilor (niveluri organizaționale și tehnice de protecție a datelor, planificare de urgență, suport pentru continuitatea afacerii). · Caracteristicile obiectelor de informatizare (cladiri, spatii, retele de cablu, zone controlate). · Caracteristicile principalelor active informaționale ale companiei (inclusiv hardware și software, cum ar fi stațiile de lucru și serverele care rulează sisteme de operare DOS, Windows și UNIX). · Caracteristicile rețelelor de calculatoare bazate pe diverse tehnologii de rețea, cum ar fi rețelele Novell Net Ware, UNIX și Windows). · Caracteristicile echipamentelor de telecomunicații active și pasive de la furnizori de top, cum ar fi Cisco Systems. · Cataloage detaliate de amenințări de securitate și măsuri de control (peste 600 de articole în fiecare catalog). Toate tipurile de amenințări din standardul BSI sunt împărțite în următoarele clase: · Circumstanțele de forță majoră. · Dezavantajele măsurilor organizatorice. · Erorile umane. · Probleme tehnice. · Acțiuni intenționate. Contramăsurile sunt clasificate în mod similar: · Îmbunătățirea infrastructurii; · Contramăsuri administrative; · Contramăsuri procedurale; · Contramăsuri software și hardware; · Reducerea vulnerabilității comunicațiilor; planificarea de urgență. Toate componentele sunt luate în considerare și descrise conform următorului plan: )descriere generala; )posibile scenarii de amenințări de securitate (enumeră amenințările care sunt aplicabile acestei componente din catalogul amenințărilor de securitate); )posibile contramăsuri (enumeră amenințările care sunt aplicabile acestei componente din catalogul amenințărilor de securitate); 4 Standardul britanic BS 7799