Аудит безопасности информационных систем. Как провести аудит информационной безопасности

На предприятии должен проводиться аудит информационной безопасности. Рассмотрим, для чего это нужно и как осуществить проверку. Почти вся деятельность организаций связана с компьютерными обработками сведений.

Растет количество и объем операций, требующих широкого использования компьютеризированной информационной системы.
При наличии ошибок может блокироваться работа системы.

Может вызываться цепная реакция, в результате чего уменьшается доходность компаний и теряется их репутация. Именно поэтому стоит уделять особое внимание аудиту ИБ.

Что нужно знать

Проведение аудита ИБ – важная процедура, при которой преследуются определенные цели и выполняется ряд задач.

Необходимые термины

Информационной безопасности называют системную процедуру, при которой получают объективные качественные и количественные оценки о текущем положении информационной безопасности предприятия.

При этом придерживаются определенных критериев и показателей безопасности. Под информационной безопасностью понимают сохранность информационных ресурсов и защиту законного права личности и общества в информационной отрасли.

Зачем это нужно?

С помощью аудита можно дать оценку текущей безопасности работы информационной системы, оценку и прогнозирования рисков, управлять их воздействием на бизнес-процесс.

При грамотном проведении проверки возможна максимальная отдача от средств, что инвестируются в создание и обслуживание системы безопасности компании.

Цель осуществления аудиторской процедуры:

анализ риска;
оценивание текущих уровней защищенности информационной системы;
локализация узкого места в защитной системе;
дать рекомендации, как внедрить и повысить эффективность механизма безопасности информационной системы.

Задача:

разработать политику безопасности по защите данных;
установить задачи для ИТ-сотрудников;
разбирать инциденты, что связаны с нарушениями информационной безопасности.

Правовое регулирование

Главные законодательные положения:

Методическая документация.

Аудит информационной безопасности предприятия

Основное направление проверки информационной безопасности:

Аттестация	аттестуются автоматизированные системы, средства связи, обработки и передачи данных; аттестуются помещения, что используются при ведении переговоров; аттестуются технические средства, что устанавливаются в выделенном помещении
Контроль защищенных данных	выявляются технические каналы утечки данных; контролируется эффективность используемых средств защищенности данных
Специальное исследование средств технического характера	исследуется ЭВМ, средство связи и обработки данных; локальная вычислительная система; оформляются результаты исследования согласно нормам Гостехкомиссии
Проектируются объекты в защищенных исполнениях	разрабатывается концепция безопасности информации; проектируются автоматизированные системы, обработки данных в защищенных исполнениях; проектируются помещения, что необходимы для осуществления переговоров

Применяемые методики

Возможно использование методики:

Экспертного аудита, при котором оценивают степень защиты того компонента информационной системы	Состоит из нескольких стадий: проведение анализа информационных систем; анализируются значимые активы; формируются модели угрозы, нарушителей; анализируются требования к безопасности среды данных; оценивается текущее состояние; разрабатываются рекомендации по устранению недостатков; создается отчетная рекомендация
Активного аудита	При проведении теста возможна оценка защищенности информационных систем, обнаружение слабых мест, проверка надежности существующего механизма защиты систем от незаконных действий. Компания получает детальные отчеты с результатами анализа.Объект тестирования на проникновение – внешний сервер, сетевое оборудование, отдельный сервис. Есть несколько видов тестирования: Метод «черного ящика». Тест проводится без наличия знания об объекте, что тестируется. Сведения собираются при помощи общего доступного источника. Метод «белого ящика». Объекты исследуются более детально. Могут запросить дополнительные документы, исходный код, доступы к объектам. Тестом моделируется ситуация, что возможна при утечках данных. Метод «серого ящика». Игнорируют известные данные и сочетают методы, что указаны выше. Этапы проведения работ по тестам предусматривают: осуществление анализа доступных сведений; осуществление инструментального сканирования, когда применяются специализированные средства; проведение детального анализа вручную; проведение анализа и оценки недостатков
Проверка web–приложений	Нужна, чтобы обнаружить и идентифицировать уязвимые места. Обязательно: проведение автоматического сканирования; использование метода черного и белого ящика; оценивание риска; подготовка рекомендаций; реализация рекомендаций
Комплексного аудита	Возможна систематизация угрозы безопасности информации и предоставление предложения по устранению недостатков. Осуществляется техническая проверка сетей, проводится тестирование на проникновение и т. д.
Аудита соответствия стандартам	Анализируется и оценивается система управления риском безопасности информации, политика регламента, принципы управления активами и сотрудниками

Составление плана

При проведении аудита информационной безопасности составляют план работ и определения целевой задачи. Заказчики и исполнители должны согласовать область и структуру компании, которую затрагивает проверка.

Оговаривают ответственность каждой стороны. В плане должна отражаться:

цель проверки;
критерии;
области проверки с учетом идентификации организационной и функциональной единицы и процесса, что подлежит аудиту;
дата и место проведения аудита;
длительность проверки;
роль и обязательства членов аудиторских групп и сопровождающих лиц.

Возможно также включение:

списка представителей проверяемого предприятия, что будет оказывать услуги сопровождения аудиторской группы;
разделов отчета;
технического обеспечения;
рассмотрения вопросов конфиденциальности;
сроков и целей следующей проверки информационной безопасности.

План анализируют и представляют проверяемому предприятию до того, как будет проводиться аудит. Пересмотренный документ согласовывают вовлеченной стороной до продолжения аудита.

Проведение внутреннего аудита

Аудит включает такие действия:

инициируется процесс (определяют и закрепляют в документации права и обязательства аудитора, готовится план проведения аудита);
собираются данные;
анализируется информация;
вырабатываются рекомендации;
готовится отчет.

Для осуществления аудита определяют критерии, что отражены в нормативной документации. Сначала организуют проверку, анализируют документы и осуществляют подготовку к аудиту ИБ на месте его осуществления.

Обязательно назначают руководство аудиторских групп, определяют цели и область проверки, возможности, устанавливают начальные контакты с аудируемым предприятием.

Нюансы для малого предприятия

На малом предприятии обеспечению информационной безопасности уделяют не так много внимания, как на крупных фирмах.

Хотя техническая ситуация является таковой, что защита ИБ необходима как раз для малых компаний. Такие предприятия имеют небольшой ИТ-бюджет, что позволил бы купить все оборудование, ПО.

Именно поэтому аудит позволил бы своевременно устанавливать уязвимые места, проверив:

как используется межсетевой экран для обеспечения безопасности информации;
обеспечено ли защиту электронной почты (есть ли необходимые антивирусы);
обеспечено ли антивирусную защиту;
как организовано работы в 1С предприятие;
как настроено ПК пользователей;
как используется Proxy-сервер;
обеспечено ли защиту информационной среды компании

При процедуре в банке

проверка вокруг ПК;
проверка с применением ПК.

Контроль может быть общим и прикладным. Общими считают операции, что обеспечивают уверенность в непрерывности работы компьютерной системы.

Осуществляются такие виды контроля:

организационный;
контроль компьютеров;
операционных системы;
контролирование доступа;
контроль помещения с техническими объектами;
разработок и поддержания функционирования систем.

Прикладным контролем называют запрограммированный процесс определенного прикладного программного обеспечения и ручные процессы.

Он необходим, чтобы обеспечить обоснованную уверенность в том, что автоматическая обработка информации является полной, точной и правильной.

Представлен:

контролем ввода (это самое слабое место в информационных системах);
обработок;
вывода.

Программа проверок информационной системы банковских учреждений включает:

Участие внутренних аудиторов	При разработке систем и прикладного пакета программы
Обзор и подтверждение	Проверяющим лицом изменений программного обеспечения
Проведение аудита внутреннего контроля	И тестов с соблюдением постоянства и последовательности
Проверку документации компьютерного обеспечения	Есть ли документы, обновляются ли они, отражают ли реальную ситуацию
Проведение проверок программного обеспечения	На факт того, нет ли несанкционированных изменений, целостны ли сведения
Проведение оценки купленного программного обеспечения	На соответствие описанию подготовленных систем
Ежеквартальная проверка и возобновление плана действий	При форс-мажоре и критической ситуации

Чтобы не были допущены нежелательные проникновения и атаки в будущем, стоит:

Аудитор может проводить такие работы:

Организация для государственных информационных систем

Рассмотрим на примере школы. Осуществление аудита включает 3 стадии. Сначала учреждение должно представить все необходимые документы.

Определяют цель, задачи проверки, составляют . Устанавливают, что будет входить в состав аудиторской группы. Составляют программ проверки.

Сама проверка осуществляется в соответствии с программой аудита, что разрабатывалась и согласовывалась с руководством школы.

Проверяется и оценивается, насколько качественны нормативные документы, эффективны технические меры по защите данных, а также действия сотрудников. Устанавливают:

правильно ли классифицировано ИСПДн;
достаточны ли представленные сведения;
выполняются ли требования по обеспечению безопасности информации.

При проведении технической проверки используют экспертные, экспертно-документальные, инструментальные методы. По итогам проверки готовят , где прописаны недочеты и даны рекомендации по их устранению.

Сертификация систем менеджмента

Проверка и сертификация соответствия стандартам направлены на усовершенствование управление предприятием, укрепление доверия.

Хотя и установлено международные стандарты, на данный момент сертификацию на соответствие ISO 17799 не проводят, поскольку отсутствует его 2 часть с описанием сертификации соответствия британским стандартам BS 7799.

Проводят сертификацию на соответствие британским стандартам. Проверка соответствия стандартам осуществляется аудиторскими/консалтинговыми фирмами, что являются членами UKAS

Сертификаты по BS 7799-2 влияют на качество построения систем управления ИБ. Решается ряд технических вопросов.

Государственных стандартов на управление системами не принято, а значит, аналог – Специальные требования и рекомендации по защите сведений технического плана Гостехкомиссии России.

Оформление результатов

При завершении аудита составляется отчетный документ, что передается заказчикам. Отчет должен содержать такие сведения:

рамки регламент проведения аудита;
структуру информационной системы предприятия;
методы и средства, что применяются при проведении аудита;
описания обнаруженных уязвимых моментов и недостатков с учетом уровня их риска;
рекомендации по улучшению комплексных систем обеспечения ИБ;
предложения к планам реализации мероприятия, что должны минимизировать выявленные риски.

В отчете должна отражаться полная, четкая и точная информация по проверке безопасности информации. Указывается, где проводился аудит, кто является заказчиком и исполнителем, какова цель проверки.

Отчеты могут включать и такие данные:

план проверки;
список сопровождающих аудиторов лиц;
краткая суть процедуры, с учетом элемента неопределенности и проблем, что могут отражаться на надежности заключения по итогам проверки;
любые отрасли, что не охвачены проверкой и т. д.

Аудит информационной безопасности – это эффективный инструмент, который позволяет получить независимую и объективную оценку текущей стадии защищенности от ряда угроз.

Результат проверки даст основание для формирования стратегий развития систем по обеспечению ИБ компании.
Но стоит помнить, что аудит безопасности не является разовой процедурой.

Его проведение обязательно на постоянной основе. Только в таком случае будет реальная отдача и появится возможность усовершенствования безопасности информации.

На сегодняшний день автоматизированные системы (АС) играют ключевую роль в обеспечении эффективного выполнения бизнес-процессов как коммерческих, так и государственных предприятий. Вместе с тем повсеместное использование АС для хранения, обработки и передачи информации приводит к повышению актуальности проблем, связанных с их защитой. Подтверждением этому служит тот факт, что за последние несколько лет, как в России, так и в ведущих зарубежных странах имеет место тенденция увеличения числа информационных атак, приводящих к значительным финансовым и материальным потерям. Для того, чтобы гарантировать эффективную защиту от информационных атак злоумышленников компаниям необходимо иметь объективную оценку текущего уровня безопасности АС. Именно для этих целей и применяется аудит безопасности, различные аспекты которого рассматриваются в рамках настоящей статьи.

1. Что такое аудит безопасности?

Не смотря на то, что в настоящее время ещё не сформировалось устоявшегося определения аудита безопасности, в общем случае его можно представить в виде процесса сбора и анализа информации об АС, необходимой для последующего проведения качественной или количественной оценки уровня защиты от атак злоумышленников. Существует множество случаев, в которых целесообразно проводить аудит безопасности. Вот лишь некоторые из них:

аудит АС с целью подготовки технического задания на проектирование и разработку системы защиты информации;
аудит АС после внедрения системы безопасности для оценки уровня её эффективности;
аудит, направленный на приведение действующей системы безопасности в соответствие требованиям российского или международного законодательства;
аудит, предназначенный для систематизации и упорядочивания существующих мер защиты информации;
аудит в целях расследования произошедшего инцидента, связанного с нарушением информационной безопасности.

Как правило, для проведения аудита привлекаются внешние компании, которые предоставляют консалтинговые услуги в области информационной безопасности. Инициатором процедуры аудита может являться руководство предприятия, служба автоматизации или служба информационной безопасности. В ряде случаев аудит также может проводиться по требованию страховых компаний или регулирующих органов. Аудит безопасности проводится группой экспертов, численность и состав которой зависит от целей и задач обследования, а также сложности объекта оценки.

2. Виды аудита безопасности

В настоящее время можно выделить следующие основные виды аудита информационной безопасности:

экспертный аудит безопасности, в процессе которого выявляются недостатки в системе мер защиты информации на основе имеющегося опыта экспертов, участвующих в процедуре обследования;
оценка соответствия рекомендациям Международного стандарта ISO 17799, а также требованиям руководящих документов ФСТЭК (Гостехкомиссии);
инструментальный анализ защищённости АС, направленный на выявление и устранение уязвимостей программно-аппаратного обеспечения системы;
комплексный аудит, включающий в себя все вышеперечисленные формы проведения обследования.

Каждый из вышеперечисленных видов аудита может проводиться по отдельности или в комплексе в зависимости от тех задач, которые необходимо решить предприятию. В качестве объекта аудита может выступать как АС компании в целом, так и её отдельные сегменты, в которых проводится обработка информации, подлежащей защите.

3. Состав работ по проведению аудита безопасности

В общем случае аудит безопасности, вне зависимости от формы его проведения, состоит из четырёх основных этапов, каждый из которых предусматривает выполнение определённого круга задач (рис. 1).

Рисунок 1: Основные этапы работ при проведении аудита безопасности

На первом этапе совместно с Заказчиком разрабатывается регламент, устанавливающий состав и порядок проведения работ. Основная задача регламента заключается в определении границ, в рамках которых будет проведено обследование. Регламент является тем документом, который позволяет избежать взаимных претензий по завершению аудита, поскольку чётко определяет обязанности сторон. Как правило, регламент содержит следующую основную информацию:

состав рабочих групп от Исполнителя и Заказчика, участвующих в процессе проведения аудита;
перечень информации, которая будет предоставлена Исполнителю для проведения аудита;
список и местоположение объектов Заказчика, подлежащих аудиту;
перечень ресурсов, которые рассматриваются в качестве объектов защиты (информационные ресурсы, программные ресурсы, физические ресурсы и т.д.);
модель угроз информационной безопасности, на основе которой проводится аудит;
категории пользователей, которые рассматриваются в качестве потенциальных нарушителей;
порядок и время проведения инструментального обследования автоматизированной системы Заказчика.

На втором этапе, в соответствии с согласованным регламентом, осуществляется сбор исходной информации. Методы сбора информации включают интервьюирование сотрудников Заказчика, заполнение опросных листов, анализ предоставленной организационно-распорядительной и технической документации, использование специализированных инструментальных средств.

Третий этап работ предполагает проведение анализа собранной информации с целью оценки текущего уровня защищённости АС Заказчика. По результатам проведённого анализа на четвёртом этапе проводится разработка рекомендаций по повышению уровня защищённости АС от угроз информационной безопасности.

Ниже в более подробном варианте рассмотрены этапы аудита, связанные со сбором информации, её анализом и разработкой рекомендаций по повышению уровня защиты АС.

4. Сбор исходных данных для проведения аудита

Качество проводимого аудита безопасности во многом зависит от полноты и точности информации, которая была получена в процессе сбора исходных данных. Поэтому информация должна включать в себя: существующую организационно-распорядительную документацию, касающуюся вопросов информационной безопасности, сведения о программно-аппаратном обеспечении АС, информацию о средствах защиты, установленных в АС и т.д. Более подробный перечень исходных данных представлен в таблице 1.

Таблица 1: Перечень исходных данных, необходимых для проведения аудита безопасности

№	Тип информации	Описание состава исходных данных
1	Организационно-распорядительная документация по вопросам информационной безопасности	1. политика информационной безопасности АС; 2. руководящие документы (приказы, распоряжения, инструкции) по вопросам хранения, порядка доступа и передачи информации; 3. регламенты работы пользователей с информационными ресурсами АС.
2	Информация об аппаратном обеспечении хостов	1. перечень серверов, рабочих станций и коммуникационного оборудования, установленного в АС; 2. информация об аппаратной конфигурации серверов и рабочих станций; 3. информация о периферийном оборудовании, установленном в АС.
3	Информация об общесистемном ПО	1. информация об операционных системах, установленных на рабочих станциях и серверах АС; 2. данные о СУБД, установленных в АС.
4	Информация о прикладном ПО	1. перечень прикладного ПО общего и специального назначения, установленного в АС; 2. описание функциональных задач, решаемых с помощью прикладного ПО, установленного в АС.
5	Информация о средствах защиты, установленных в АС	1. информация о производителе средства защиты; 2. конфигурационные настройки средства защиты; 3. схема установки средства защиты.
6	Информация о топологии АС	1. карта локальной вычислительной сети, включающей схему распределения серверов и рабочих станций по сегментам сети; 2. информация о типах каналов связи, используемых в АС; 3. информация об используемых в АС сетевых протоколах; 4. схема информационных потоков АС.

Как уже отмечалось выше, сбор исходных данных может осуществляться с использованием следующих методов:

интервьюирование сотрудников Заказчика, обладающих необходимой информацией. При этом интервью, как правило, проводится как с техническими специалистами, так и с представителями руководящего звена компании. Перечень вопросов, которые планируется обсудить в процессе интервью, согласовывается заранее;
предоставление опросных листов по определённой тематике, самостоятельно заполняемых сотрудниками Заказчика. В тех случаях, когда представленные материалы не полностью дают ответы на необходимые вопросы, проводится дополнительное интервьюирование;
анализ существующей организационно-технической документации, используемой Заказчиком;
использование специализированных программных средств, которые позволяют получить необходимую информацию о составе и настройках программно-аппаратного обеспечения автоматизированной системы Заказчика. Так, например, в процессе аудита могут использоваться системы анализа защищённости (Security Scanners), которые позволяют провести инвентаризацию имеющихся сетевых ресурсов и выявить имеющиеся в них уязвимости. Примерами таких систем являются Internet Scanner (компании ISS) и XSpider (компании Positive Technologies).

5. Оценка уровня безопасности АС

После сбора необходимой информации проводится её анализ с целью оценки текущего уровня защищённости системы. В процессе такого анализа определяются риски информационной безопасности, которым может быть подвержена компания. Фактически риск представляет собой интегральную оценку того, насколько эффективно существующие средства защиты способны противостоять информационным атакам.

Обычно выделяют две основные группы методов расчёта рисков безопасности. Первая группа позволяет установить уровень риска путём оценки степени соответствия определённому набору требований по обеспечению информационной безопасности. В качестве источников таких требований могут выступать (рис. 2):

Нормативно-правовые документы предприятия, касающиеся вопросов информационной безопасности;
Требования действующего российского законодательства – руководящие документы ФСТЭК (Гостехкомиссии), СТР-К, требования ФСБ РФ, ГОСТы и др.;
Рекомендации международных стандартов – ISO 17799, OCTAVE, CoBIT и др.;
Рекомендации компаний-производителей программного и аппаратного обеспечения – Microsoft, Oracle, Cisco и др.

Рисунок 2: Источники требований информационной безопасности, на основе которых может проводиться оценка рисков

Вторая группа методов оценки рисков информационной безопасности базируется на определении вероятности реализации атак, а также уровней их ущерба. В данном случае значение риска вычисляется отдельно для каждой атаки и в общем случае представляется как произведение вероятности проведения атаки на величину возможного ущерба от этой атаки. Значение ущерба определяется собственником информационного ресурса, а вероятность атаки вычисляется группой экспертов, проводящих процедуру аудита.

Методы первой и второй группы могут использовать количественные или качественные шкалы для определения величины риска информационной безопасности. В первом случае риск и все его параметры выражаются в числовых значениях. Так, например, при использовании количественных шкал вероятность проведения атаки может выражаться числом в интервале, а ущерб атаки может задаваться в виде денежного эквивалента материальных потерь, которые может понести организация в случае успешного проведения атаки. При использовании качественных шкал числовые значения заменяются на эквивалентные им понятийные уровни. Каждому понятийному уровню в этом случае будет соответствовать определённый интервал количественной шкалы оценки. Количество уровней может варьироваться в зависимости от применяемых методик оценки рисков. В таблицах 2 и 3 приведены примеры качественных шкал оценки рисков информационной безопасности, в которых для оценки уровней ущерба и вероятности атаки используется пять понятийных уровней.

Таблица 2: Качественная шкала оценки уровня ущерба

№	Уровень ущерба	Описание
1	Малый ущерб	Приводит к незначительным потерям материальных активов, которые быстро восстанавливаются, или к незначительному влиянию на репутацию компании
2	Умеренный ущерб	Вызывает заметные потери материальных активов или к умеренному влиянию на репутацию компании
3	Ущерб средней тяжести	Приводит к существенным потерям материальных активов или значительному урону репутации компании
4	Большой ущерб	Вызывает большие потери материальных активов и наносит большой урон репутации компании
5	Критический ущерб	Приводит к критическим потерям материальных активов или к полной потере репутации компании на рынке, что делает невозможным дальнейшую деятельность организации

Таблица 3: Качественная шкала оценки вероятности проведения атаки

№	Уровень вероятности атаки	Описание
1	Очень низкая	Атака практически никогда не будет проведена. Уровень соответствует числовому интервалу вероятности
5	Очень высокая	Атака почти наверняка будет проведена. Уровень соответствует числовому интервалу вероятности (0.75, 1]

При использовании качественных шкал для вычисления уровня риска применяются специальные таблицы, в которых в первом столбце задаются понятийные уровни ущерба, а в первой строке – уровни вероятности атаки. Ячейки же таблицы, расположенные на пересечении первой строки и столбца, содержат уровень риска безопасности. Размерность таблицы зависит от количества концептуальных уровней вероятности атаки и ущерба. Пример таблицы, на основе которой можно определить уровень риска, приведён ниже.

Таблица 4: Пример таблицы определения уровня риска информационной безопасности

Вероятность атаки	Очень низкая	Низкая	Средняя	Высокая	Очень высокая
Ущерб	Очень низкая	Низкая	Средняя	Высокая	Очень высокая
Малый ущерб	Низкий Риск	Низкий риск	Низкий риск	Средний риск	Средний риск
Умеренный ущерб	Низкий Риск	Низкий риск	Средний риск	Средний риск	Высокий риск
Ущерб средней тяжести	Низкий Риск	Средний риск	Средний риск	Средний риск	Высокий риск
Большой ущерб	Средний риск	Средний риск	Средний риск	Средний риск	Высокий риск
Критический ущерб	Средний риск	Высокий риск	Высокий риск	Высокий риск	Высокий риск

При расчете значений вероятности проведения атаки, а также уровня возможного ущерба могут использоваться статистические методы, методы экспертных оценок или элементы теории принятия решений. Статистические методы предполагают анализ уже накопленных данных о реально случавшихся инцидентах, связанных с нарушением информационной безопасности. На основе результатов такого анализа строятся предположения о вероятности проведения атак и уровнях ущерба от них в других АС. Однако применение статистических методов не всегда возможно из-за отсутствия в полном объёме статистических данных о ранее проведённых атаках на информационные ресурсы АС, аналогичной той, которая выступает в качестве объекта оценки.

При использовании аппарата экспертных оценок проводится анализ результатов работы группы экспертов, компетентных в области информационной безопасности, которые на основе имеющегося у них опыта определяют количественные или качественные уровни риска. Элементы теории принятия решений позволяют применять для вычисления значения риска безопасности более сложные алгоритмы обработки результатов работы группы экспертов.

В процессе проведения аудита безопасности могут использоваться специализированные программные комплексы, позволяющие автоматизировать процесс анализа исходных данных и расчёта значений рисков. Примерами таких комплексов являются «Гриф» и «Кондор» (компании «Digital Security»), а также «АванГард» (Института Системного Анализа РАН).

6. Результаты аудита безопасности

На последнем этапе проведения аудита информационной безопасности разрабатываются рекомендации по совершенствованию организационно-технического обеспечения предприятия. Такие рекомендации могут включать в себя следующие типы действий, направленных на минимизацию выявленных рисков:

уменьшение риска за счёт использования дополнительных организационных и технических средств защиты, позволяющих снизить вероятность проведения атаки или уменьшить возможный ущерб от неё. Так, например, установка межсетевых экранов в точке подключения АС к сети Интернет позволяет существенно снизить вероятность проведения успешной атаки на общедоступные информационные ресурсы АС, такие как Web-серверы, почтовые серверы и т.д.;
уклонение от риска путём изменения архитектуры или схемы информационных потоков АС, что позволяет исключить возможность проведения той или иной атаки. Так, например, физическое отключение от сети Интернет сегмента АС, в котором обрабатывается конфиденциальная информация, позволяет исключить атаки на конфиденциальную информацию из этой сети;
изменение характера риска в результате принятия мер по страхованию. В качестве примеров такого изменения характера риска можно привести страхование оборудования АС от пожара или страхование информационных ресурсов от возможного нарушения их конфиденциальности, целостности или доступности. В настоящее время российских компаний уже предлагают услуги по страхованию информационных рисков;
принятие риска в том случае, если он уменьшен до того уровня, на котором он не представляет опасности для АС.

Как правило, разработанные рекомендации направлены не на полное устранение всех выявленных рисков, а лишь на их уменьшение до приемлемого остаточного уровня. При выборе мер по повышению уровня защиты АС учитывается одно принципиальное ограничение – стоимость их реализации не должна превышать стоимость защищаемых информационных ресурсов.

В завершении процедуры аудита его результаты оформляются в виде отчётного документа, который предоставляется Заказчику. В общем случае этот документ состоит из следующих основных разделов:

описание границ, в рамках которых был проведён аудит безопасности;
описание структуры АС Заказчика;
методы и средства, которые использовались в процессе проведения аудита;
описание выявленных уязвимостей и недостатков, включая уровень их риска;
рекомендации по совершенствованию комплексной системы обеспечения информационной безопасности;
предложения по плану реализации первоочередных мер, направленных на минимизацию выявленных рисков.

7. Заключение

Аудит информационной безопасности является сегодня одним из наиболее эффективных инструментов для получения независимой и объективной оценки текущего уровня защищённости предприятия от угроз информационной безопасности. Кроме того, результаты аудита являются основой для формирования стратегии развития системы обеспечения информационной безопасности организации.

Однако, необходимо представлять, что аудит безопасности не является однократной процедурой, а должен проводиться на регулярной основе. Только в этом случае аудит будет приносить реальную отдачу и способствовать повышению уровня информационной безопасности компании.

8. Список литературы

Вихорев С.В., Кобцев Р.Ю., Как узнать – откуда напасть или откуда исходит угроза безопасности информации // Конфидент, №2, 2001.
Симонов С. Анализ рисков, управление рисками // Информационный бюллетень Jet Info № 1(68). 1999. с. 1-28.
ISO/IEC 17799, Information technology – Code of practice for information security management, 2000
Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) – security risk evaluation – www.cert.org/octave.
Risk Management Guide for information Technology Systems, NIST, Special Publication 800-30.

В современном мире информационные системы (ИС) играют ключевую роль в обеспечении эффективности работы коммерческих и государственных организаций. ИС используются для хранения, обработки и передачи информации. С каждым днем растет число внешних и внутренних угроз информационной безопасности (ИБ), которые могут привести к значительным финансовым и репутационным потерям.

Аудит информационной безопасности (ИБ) – крайне важный процесс, позволяющий получить объективную информацию о текущем состоянии средств обеспечения ИБ на предприятии, оценить степень защищенности данных и ИТ-систем, их соответствие определенным требованиям и критериям. Аудит ИБ проводится как в качестве первого этапа при внедрении решений по защите информации, так и в ряде случаев вне проекта, когда требуется получить независимую оценку реальной защищенности систем. Проведение аудита дает возможность заранее выявить угрозы и проблемы, чтобы в дальнейшем определить методы их устранения, позволяет существенно повысить уровень безопасности и соответствие средств защиты реальным потребностям бизнеса. Так, по мнению специалистов, проведение внеплановых аудитов позволяет сэкономить до 20% временных и 15% материальных ресурсов на обеспечение ИБ, определяя точки приложения усилий и оптимальные пути решения.

Исходя из целеполагания, «АСТ» предоставляет услуги по проведению трех основных видов аудита информационной безопасности:

Экспертный аудит, в рамках которого проводится оценка текущего состояния систем и средств защиты, выявление недостатков и уязвимостей.
Аудит соответствия требованиям, в рамках которого оценивается соответствие средств защиты требуемым международным и отраслевым стандартам.
Тестирование на проникновение, в ходе которого моделируются действия злоумышленника, направленные на проведение успешной атаки. Цель такого аудита – повышение защищенности за счет выявления и последующего устранения реальных векторов атак.

Аудит осуществляется в несколько этапов:

Определение задач проекта. Собирается исходная информация о защищаемых объектах, информации и критериях оценки, проводятся организационные действия по подготовке к аудиту.
Согласование условий и границ проведения тестирования на проникновение (внешнее/внутреннее, whitebox/blackbox, сроки/время, границы погружения и прочие важные параметры)
Обследование и обработка результатов. Проводится сбор всего комплекса данных о ресурсах, системах средствах защиты, организационных мерах в области ИБ и т.п. По результатам вырабатывается консолидированная отчетность, ложащаяся в основы проведения анализа рисков, анализ соответствия требованиям и разработки рекомендаций.
Проведение ручного тестирования на проникновение.
Анализ рисков. Комплексная процедура оценки уровня защищенности информационных систем, учитывающая как предоставленную информацию, так и результаты тестирования на проникновение (актуальные вектора атак). Процедурой предусмотрены разработка модели угроз и модели нарушителей.
Анализ соответствия стандартам и требованиям стандартов и нормативной документации. В результате соответствие либо подтверждается, либо на этапе разработки рекомендаций определяются пути доводки систем ИБ до требуемого уровня защищенности.
Разработка рекомендаций. В их основу ложится весь комплекс полученной в результате обследования информации, аналитики и выводов. Рекомендации охватывают весь комплекс необходимых организационных и технических мер для обеспечения требуемого уровня обеспечения ИБ.

Объектами аудита ИБ могут выступать как отдельные компоненты ИТ-систем и инфраструктуры компании, так и весь комплекс ИТ-решений, содержащих информацию, которая подлежит защите.

8.1. Понятие аудита информационной безопасности

Аудит информационной безопасности (ИБ) представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области безопасности КС и вызывает постоянный интерес специалистов. Его основная задача - объективно оценить текущее состояние ИБ организации, а также ее адекватность поставленным целям и задачам бизнеса.

Под аудитом ИБ понимается системный процесс получения объективных качественных и количественных оценок текущего состояния ИБ организации в соответствии с определенными критериями и показателями на всех основных уровнях обеспечения безопасности: нормативно-методологическом, организационно-управленческом, процедурном и программно-техническом

Результаты квалифицированно выполненного аудита ИБ организации позволяют построить оптимальную по эффективности и затратам систему обеспечения информационной безопасности (СОИБ), представляющую собой комплекс технических средств, а также процедурных, организационных и правовых мер, объединенных на основе модели управления ИБ.

В результате проведения аудита могут быть получены как качественные, так и количественные оценки. При качественном оценивании, например, может быть приведен перечень уязвимостей в программно-аппаратном обеспечении с их классификацией по трехуровневой шкале опасности: высокая, средняя и низкая. Количественные оценки чаще всего применяются при оценке риска для активов организации, создаваемого угрозами безопасности. В качестве количественных оценок могут выступать, например, цена риска, вероятность риска, размер риска и т. п.

Объективность аудита обеспечивается, в частности, тем, что оценка состояния ИБ производится специалистами на основе определенной методики, позволяющей объективно проанализировать все составляющие СОИБ.

Аудит ИБ может представлять собой услугу, которую предлагают специализированные фирмы, тем не менее в организации должен проводиться внутренний аудит ИБ, выполняемый, например, администраторами безопасности.

Традиционно выделяют три типа аудита ИБ, которые различаются перечнем анализируемых компонентов СОИБ и получаемыми результатами:

− активный аудит;

− экспертный аудит;

− аудит на соответствие стандартам ИБ.

8.1.1. Активный аудит

Активный аудит представляет собой обследование состояния защищенности определенных подсистем информационной безопасности (ПИБ), относящихся к программно-техническому уровню. Например, вариант активного аудита, называемый тестом на проникновение (Penetration test), предполагает обследование подсистемы защиты сетевых взаимодействий. Активный аудит включает:

− анализ текущей архитектуры и настроек элементов ПИБ;

− интервьюирование ответственных и заинтересованных лиц;

− проведение инструментальных проверок, охватывающих определенные

Анализ архитектуры и настроек элементов ПИБ проводится специалистами, обладающими знаниями по конкретным подсистемам, представленным

в обследуемой системе (например, могут требоваться специалисты по активному сетевому оборудованию фирмы Cisco или по ОС семейства Microsoft), а также системными аналитиками, которые выявляют возможные изъяны в организации подсистем. Результатом этого анализа является набор опросных листов и инструментальных тестов.

Опросные листы используются в процессе интервьюирования лиц, отвечающих за администрирование АИС, для получения субъективных характеристик АИС, для уточнения полученных исходных данных и для идентификации некоторых мер, реализованных в рамках СОИБ. Например, опросные листы могут включать вопросы, связанные с политикой смены и назначения паролей, жизненным циклом АИС и степенью критичности отдельных ее подсистем для АИС и бизнес-процессов организации в целом.

Параллельно с интервьюированием проводятся инструментальные проверки (тесты), которые могут включать следующие мероприятия:

− визуальный осмотр помещений, обследование системы контроля доступа в помещения;

− получение конфигураций и версий устройств и ПО;

− проверка соответствия реальных конфигураций предоставленным исходным данным;

− получение карты сети специализированным ПО;

− использование сканеров защищенности (как универсальных, так и специализированных);

− моделирование атак, использующих уязвимости системы;

− проверка наличия реакции на действия, выявляемые механизмами обнаружения и реагирования на атаки.

Аудитор может исходить из следующих моделей, описывающих степень его знания исследуемой АИС (модель знания):

− модель «черного ящика» – аудитор не обладает никакими априорными знаниями об исследуемой АИС. Например, при проведении внешнего актив-

ного аудита (то есть в ситуации, когда моделируются действия злоумышленника, находящегося вне исследуемой сети), аудитор может, зная только имя или IP-адрес web-сервера, пытаться найти уязвимости в его защите;

− модель «белого ящика» – аудитор обладает полным знанием о структуре исследуемой сети. Например, аудитор может обладать картами и диаграммами сегментов исследуемой сети, списками ОС и приложений. Применение данной модели не в полной мере имитирует реальные действия злоумышленника, но позволяет, тем не менее, представить «худший» сценарий, когда атакующий обладает полным знанием о сети. Кроме того, это позволяет построить сценарий активного аудита таким образом, чтобы инструментальные тесты имели минимальные последствия для АИС и не нарушали ее нормальной работы;

− модель «серого ящика» или «хрустального ящика» – аудитор имитирует действия внутреннего пользователя АИС, обладающего учетной записью доступа в сеть с определенным уровнем полномочий. Данная модель позволяет оценить риски, связанные с внутренними угрозами, например от неблагонадежных сотрудников компании.

Аудиторы должны согласовывать каждый тест, модель знания, применяемую в тесте, и возможные негативные последствия теста с лицами, заинтересованными в непрерывной работе АИС (руководителями, администраторами системы и др.).

По результатам инструментальной проверки проводится пересмотр результатов предварительного анализа и, возможно, организуется дополнительное обследование (рис. 8.1).

Инструментальная проверка

Рис. 8.1. Схема проведения активного аудита ИБ

По результатам активного аудита создается аналитический отчет, состоящий из описания текущего состояния технической части СОИБ, списка найденных уязвимостей АИС со степенью их критичности и результатов упрощенной оценки рисков, включающей модель нарушителя и модель угроз.

Дополнительно может быть разработан план работ по модернизации технической части СОИБ, состоящий из перечня рекомендаций по обработке рисков.

8.1.2. Экспертный аудит

Экспертный аудит предназначен для оценивания текущего состояния ИБ на нормативно-методологическом, организационно-управленческом и процедурном уровнях. Экспертный аудит проводится преимущественно внешними аудиторами, его выполняют силами специалистов по системному управлению. Сотрудники организации-аудитора совместно с представителями заказчика проводят следующие виды работ:

− сбор исходных данных об АИС, ее функциях и особенностях, используемых технологиях автоматизированной обработки и передачи информации (с учетом ближайших перспектив развития);

− сбор информации об имеющихся организационно-распорядительных документах по обеспечению ИБ и их анализ;

− определение защищаемых активов, ролей и процессов СОИБ.

Важнейшим инструментом экспертной оценки является сбор данных об АИС путем интервьюирования технических специалистов и руководства заказчика.

Основные цели интервьюирования руководящего состава организации:

− определение политики и стратегии руководства в вопросах обеспечения

− выявление целей, которые ставятся перед СОИБ;

− выяснение требований, которые предъявляются к СОИБ;

− получение оценок критичности тех или иных подсистем обработки информации, оценок финансовых потерь при возникновении тех или иных инцидентов.

Основные цели интервьюирования технических специалистов:

− сбор информации о функционировании АИС;

− получение схемы информационных потоков в АИС;

− получение информации о технической части СОИБ;

− оценка эффективности работы СОИБ.

В рамках экспертного аудита проводится анализ организационнораспорядительных документов, таких как политика безопасности, план защиты, различного рода положения и инструкции. Организационнораспорядительные документы оцениваются на предмет достаточности и непротиворечивости декларируемым целям и мерам ИБ, а также на предмет соответствия стратегической политике руководства в вопросах ИБ.

Результаты экспертного аудита могут содержать рекомендации по совершенствованию нормативно-методологических, организационноуправленческих и процедурных компонентов СОИБ.

Аудит информационной безопасности может не только дать банку право осуществления определенных видов деятельности, но и показать слабые места в системах банка. Поэтому подходить к решению о проведении и выборе формы аудита необходимо взвешенно.

Согласно Федеральному закону от 30.12.2008 №307-ФЗ «Об аудиторской деятельности», аудит — это «независимая проверка бухгалтерской (финансовой) отчетности аудируемого лица в целях выражения мнения о достоверности такой отчетности». К информационной безопасности данный термин, упомянутый в этом законе, отношения не имеет. Однако так уж сложилось, что специалисты по информационной безопасности достаточно активно его используют в своей речи. В этом случае под аудитом понимается процесс независимой оценки деятельности организации, системы, процесса, проекта или продукта. В тоже время надо понимать, что в различных отечественных нормативных актах термин «аудит информационной безопасности» применяется не всегда — его часто заменяют либо термин «оценка соответствия», либо немного устаревший, но все еще употребляемый термин «аттестация». Иногда еще применяется термин «сертификация», но применительно к международным зарубежным нормативным актам. Аудит информационной безопасности проводится либо с целью проверки выполнения нормативных актов, либо с целью проверки обоснованности и защищенности применяемых решений. Но какой бы термин не использовался, по сути, аудит информационной безопасности проводится либо с целью проверки выполнения нормативных актов, либо с целью проверки обоснованности и защищенности применяемых решений. Во втором случае аудит носит добровольный характер, и решение о его проведении принимается самой организацией. В первом же случае отказаться от проведения аудита невозможно, та как это влечет за собой нарушение установленных нормативными актами требований, что приводит к наказанию в виде штрафа, приостановлению деятельности или иным формам наказания. В случае обязательности аудита он может проводиться как самой организацией, например, в форме самооценки (правда, в этом случае о «независимости» уже речи не идет и термин «аудит» применять здесь не совсем правильно), так и внешними независимыми организациями — аудиторами. Третий вариант проведения обязательного аудита — контроль со стороны регулирующих органов, наделенных правом осуществлять соответствующие надзорные мероприятия. Этот вариант чаще называется не аудитом, а инспекционной проверкой. Так как добровольный аудит может проводиться абсолютно по любому поводу (для проверки защищенности системы ДБО, контроля активов приобретенного банка, проверки вновь открываемого филиала и т.п.), то данный вариант рассматривать не будем. В этом случае невозможно ни четко очертить его границы, ни описать формы его отчетности, ни говорить о регулярности — все это решается договором между аудитором и проверяемой организацией. Поэтому рассмотрим лишь формы обязательного аудита, присущие именно банкам.

Международный стандарт ISO 27001

Иногда можно услышать о прохождении тем или иным банком аудита на соответствие требованиям международного стандарта «ISO/IEC 27001:2005» (его полный российский аналог — «ГОСТ Р ИСО/МЭК 27001-2006 — Информационная технология — Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности — Требования»). По сути, данный стандарт — это набор лучших практик по управлению информационной безопасностью в крупных организациях (небольшие организации, в том числе и банки, не всегда в состоянии выполнить требования этого стандарта в полном объеме). Как и любой стандарт в России, ISO 27001 — сугубо добровольный документ, принимать который или не принимать решает каждый банк самостоятельно. Но ISO 27001 является стандартом де-факто по всему миру, и специалисты многих стран используют этот стандарт как некий универсальный язык, которым следует руководствоваться, занимаясь информационной безопасностью. С ISO 27001 связаны и несколько не самых очевидных и не часто упоминаемых моментов. Однако с ISO 27001 связаны и несколько не самых очевидных и не часто упоминаемых моментов. Во-первых, аудиту по данному стандарту подлежит не вся система обеспечения информационной безопасности банка, а только одна или несколько из ее составных частей. Например, система защиты ДБО, система защиты головного офиса банка или система защиты процесса управления персоналом. Иными словами, получение сертификата соответствия на один из оцениваемых в рамках аудита процессов не дает гарантии, что остальные процессы находятся в таком же близком к идеальному состоянию. Второй момент связан с тем, что ISO 27001 является стандартом универсальным, то есть применимым к любой организации, а значит, не учитывающим специфику той или иной отрасли. Это привело к тому, что в рамках международной организации по стандартизации ISO уже давно ведутся разговоры о создании стандарта ISO 27015, который является переложением ISO 27001/27002 на финансовую отрасль. В разработке этого стандарта активное участие принимает и Банк России. Однако Visa и MasterCard против проекта этого стандарта, который уже разработан. Первая считает, что проект стандарта содержит слишком мало нужной для финансовой отрасли информации (например, по платежным системам), а если ее туда добавить, то стандарт надо переносить в другой комитет ISO. MasterCard также предлагает прекратить разработку ISO 27015, но мотивация другая — мол, в финансовой отрасли и так полно регулирующих тему информационной безопасности документов. В-третьих, необходимо обращать внимание, что многие предложения, встречающиеся на российском рынке, говорят не об аудите соответствия, а о подготовке к аудиту. Дело в том, что право проводить сертификацию соответствия требованиям ISO 27001 имеет всего несколько организаций в мире. Интеграторы же всего лишь помогают компаниям выполнить требования стандарта, которые затем будут проверены официальными аудиторами (их еще называют регистраторами, органами по сертификации и т.д.). Пока продолжаются споры о том, внедрять банкам ISO 27001 или нет, отдельные смельчаки идут на это и проходят 3 стадии аудита соответствия:

Предварительное неформальное изучение аудитором основных документов (как на территории заказчика аудита, так и вне нее).
Формальный и более глубокий аудит внедренных защитных мер, оценка их эффективности и изучение разработанных необходимых документов. Этим этапом обычно заканчивается подтверждение соответствия, и аудитор выдает соответствующий сертификат, признаваемый во всем мире.
Ежегодное выполнение инспекционного аудита для подтверждения ранее полученного сертификата соответствия.

Кому же нужен ISO 27001 в России? Если рассматривать этот стандарт не только как набор лучших практик, которые можно внедрять и без прохождения аудита, но и как процесс сертификации, знаменующий собой подтверждение соответствия банка международным признанным требованиям по безопасности, то ISO 27001 имеет смысл внедрять либо банкам, входящим в международные банковские группы, где ISO 27001 является стандартом, либо банкам, планирующим выход на международную арену. В остальных случаях аудит соответствия ISO 27001 и получение сертификата, на мой взгляд, не нужно. Но только для банка и только в России. А все потому, что у нас есть свои стандарты, построенные на базе ISO 27001. Де-факто инспекционные проверки Банка России проводились до недавнего времени именно в соответствии с требованиями СТО БР ИББС.

Комплекс документов Банка России СТО БР ИББС

Таким стандартом, а точнее набором стандартов, является комплекс документов Банка России, описывающий единый подход к построению системы обеспечения ИБ организаций банковской сферы с учетом требований российского законодательства. В основе данного набора документов (далее СТО БР ИББС), содержащего три стандарта и пять рекомендаций по стандартизации, лежит и ISO 27001 и ряд других международных стандартов по управлению информационными технологиями и информационной безопасностью. Вопросы аудита и оценки соответствия требованиям стандарта, как и для ISO 27001, прописаны в отдельных документах — «СТО БР ИББС-1.1-2007. Аудит информационной безопасности», «СТО БР ИББС-1.2-2010. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2010» и «РС БР ИББС-2.1-2007. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0». Во время оценки соответствия по СТО БР ИББС проверяется выполнение 423 частных показателей ИБ, сгруппированных в 34 групповых показателя. Результатом оценки является итоговый показатель, который должен находиться на 4-м или 5-м уровне по пятибалльной шкале, установленной Банком России. Это, кстати, очень сильно отличает аудит по СТО БР ИББС от аудита по другим нормативным актам в области ИБ. В СТО БР ИББС не бывает несоответствия, просто уровень соответствия может быть разный: от нуля до пяти. И только уровни выше 4-го считаются положительными. По состоянию на конец 2011 года около 70-75% банков внедрили или находятся в процессе внедрения этого набора стандартов. Несмотря ни на что они де-юре носят рекомендательный характер, но де-факто инспекционные проверки Банка России проводились до недавнего времени именно в соответствии с требованиями СТО БР ИББС (хотя явно это никогда и нигде не звучало). Ситуация изменилась с 1 июля 2012 года, когда в полную силу вступил закон «О национальной платежной системе» и разработанные для его исполнения нормативные документы Правительства России и Банка России. С этого момента вопрос необходимости проведения аудита соответствия требованиям СТО БР ИББС вновь встал на повестке дня. Дело в том, что методика оценки соответствия, предложенная в рамках законодательства о национальной платежной системе (НПС), и методика оценки соответствия СТО БР ИББС могут очень сильно расходиться в итоговых значениях. При этом оценка по первой методике (для НПС) стала обязательной, в то время как оценка по СТО БР ИББС по-прежнему де-юре носит рекомендательный характер. Да и в самом Банке России на момент написания статьи еще не было принято решение о дальнейшей судьбе этой оценки. Если раньше все нити сходились в Главное управление безопасности и защиты информации Банка России (ГУБЗИ), то с разделением полномочий между ГУБЗИ и Департаментом регулирования расчетов (LHH) вопрос пока остается открытым. Уже сейчас ясно, что законодательные акты о НПС требуют обязательной оценки соответствия, то есть аудита.

Законодательство о национальной платежной системе

Законодательство о НПС находится только на заре своего становления, и нас ждет немало новых документов, в том числе и по вопросам обеспечения информационной безопасности. Но уже сейчас ясно, что выпущенное и утвержденное 9-го июня 2012 года Положение 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» требует в п.2.15 обязательной оценки соответствия, то есть аудита. Такая оценка осуществляется либо самостоятельно, либо с привлечением сторонних организаций. Как уже сказано выше, проводимая в рамках 382-П оценка соответствия похожа по своей сути на то, что описано в методике оценки соответствия СТО БР ИББС, но выдает совершенно иные результаты, что связано с вводом специальных корректирующих коэффициентов, которые и определяют отличающиеся результаты. Никаких особых требований к привлекаемым для аудита организациям положение 382-П не устанавливает, что вступает в некоторое противоречие с Постановлением Правительства от 13 июня 2012 года №584 «О защите информации в платежной системе», которое также требует организации и проведения контроля и оценки выполнения требований к защите информации один раз в 2 года. Однако Постановление Правительства, разработанное ФСТЭК, требует, чтобы внешний аудит проводился только организациями, имеющей лицензию на деятельность по технической защите конфиденциальной информации. Дополнительные требования, которые сложно отнести к одной из форм аудита, но которые накладывают на банки новые обязанности, перечислены в разделе 2.16 Положения 382-П. Согласно этим требованиям оператор платежных систем обязан разработать, а банки, присоединившиеся к этой платежной системе, обязаны выполнять, требования по регулярному информированию оператора платежной системы о различных вопросах информационной безопасности в банке: о выполнении требований по защите информации, о выявленных инцидентах, о проведенных самооценках, о выявленных угрозах и уязвимостях. Дополнительно к аудиту, проводимому на договорной основе, ФЗ-161 о НПС также устанавливает, что контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в 584-м Постановлении и Банком России в 382-м Положении, осуществляются ФСБ ФСТЭК и Банком России соответственно. На момент написания статьи ни ФСТЭК, ни ФСБ не имели разработанного порядка проведения такого надзора, в отличие от Банка России, который выпустил Положение от 31 мая 2012 года №380-П «О порядке осуществления наблюдения в национальной платежной системе» (для кредитных организаций) и Положение от 9 июня 2012 года №381-П «О порядке осуществления надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального Закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе», принятых в соответствии с ним нормативных актов Банка России». Нормативные акты в области защиты информации в национальной платежной системе находятся только в начале подробной разработки. С 1 июля 2012 года Банк России начал их апробацию и сбор фактов по правоприменительной практике. Поэтому сегодня преждевременно говорить о том, как будут применяться эти нормативные акты, как будет проводиться надзор по 380-П, какие выводы будут делаться по итогам самооценки, проводимой раз в 2 года и отправляемой в Банк России.

Стандарт безопасности платежных карт PCI DSS

Payment Card Industry Data Security Standard (PCI DSS) — стандарт безопасности данных платежных карт, разработанный Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), который был учрежден международными платежными системами Visa, MasterCard, American Express, JCB и Discover. Стандарт PCI DSS представляет собой совокупность 12 высокоуровневых и свыше 200 детальных требований по обеспечению безопасности данных о держателях платежных карт, которые передаются, хранятся и обрабатываются в информационных системах организаций. Требования стандарта распространяются на все компании, работающие с международными платежными системами Visa и MasterCard. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определенный уровень с соответствующим набором требований, которые эти компании должны выполнять. Эти уровни отличаются в зависимости от платежной системы. Успешное прохождение аудита еще не означает, что с безопасностью в банке все хорошо — существует множество уловок, позволяющих проверяемой организации скрыть какие-то недочеты в своей системе защиты. Проверка выполнения требований стандарта PCI DSS осуществляется в рамках обязательнойсертификации, требования к которой отличаются в зависимости от типа проверяемой компании — торгово-сервисное предприятие, принимающее платежные карты за оплату товаров и услуг, или поставщик услуг, оказывающий услуги торгово-сервисным предприятиям, банкам-эквайерам, эмитентам и т.п. (процессинговые центры, платежные шлюзы и т.п.). Такая оценка может осуществляться в разных формах:

ежегодные аудиторские проверки с помощью аккредитованных компаний, имеющих статус Qualified Security Assessors (QSA);
ежегодное проведение самооценки;
ежеквартальное сканирование сетей с помощью уполномоченных организаций, имеющих статус Approved Scanning Vendor (ASV).

Законодательство о персональных данных

Последний нормативный документ, также имеющий отношение к банковской индустрии и устанавливающий требования по оценке соответствия, — Федеральный закон «О персональных данных». Однако ни форма такого аудита, ни его периодичность, ни требования к организации, проводящей такой аудит, пока не установлены. Возможно, этот вопрос будет снят осенью 2012 года, когда выйдет очередная порция документов Правительства РФ, ФСТЭК и ФСБ, вводящих новые нормативы в области защиты персональных данных. Пока же банки могут спать спокойно и самостоятельно определять особенности аудита вопросов защиты персональных данных. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных 19-й статьей 152-ФЗ, осуществляются ФСБ и ФСТЭК, но только для государственных информационных систем персональных данных. Контроль коммерческих организаций в области обеспечения информационной безопасности персональных данных пока осуществлять по закону некому. Чего не скажешь о вопросах защиты прав субъектов персональных данных, то есть клиентов, контрагентов и просто посетителей банка. Эту задачу взял на себя Роскомнадзор, который очень активно осуществляет свои надзорные функции и считает банки одними из злостных нарушителей закона о персональных данных.

Заключительные положения

Выше рассмотрены основные нормативные акты в области информационной безопасности, касающиеся кредитных организаций. Этих нормативных актов немало, и каждый из них устанавливает свои требования по проведению оценки соответствия в той или иной форме — от самооценки в виде заполнения опросных листов (PCI DSS) до прохождения обязательного аудита один раз в два года (382-П) или один раз в год (ISO 27001). Между этими самыми распространенными формами оценки соответствия существуют и другие — уведомления оператора платежной системы, ежеквартальные сканирования и т.п. Стоит также помнить и понимать, что в стране до сих пор отсутствует единая система взглядов не только на государственное регулирование процессов аудита информационной безопасности организаций и систем информационных технологий, но и вообще саму тему аудита информационной безопасности. В Российской Федерации существует целый ряд ведомств и организаций (ФСТЭК, ФСБ, Банк России, Роскомнадзор, PCI SSC и т.п.), ответственных за информационную безопасность. И все они действуют на основании своих собственных нормативных документов и руководств. Разные подходы, разные стандарты, разные уровни зрелости… Все это мешает установлению единых правил игры. Картину портит и появление фирм-однодневок, которые в погоне за прибылью предлагают очень некачественные услуги в области оценки соответствия требованиям по информационной безопасности. И к лучшему ситуация вряд ли изменится. Раз есть потребность, то будут и желающие ее удовлетворить, в то время как на всех квалифицированных аудиторов просто не хватит. При небольшом их числе (показано в таблице) и длительности аудита от нескольких недель до нескольких месяцев очевидно, что потребности в аудите серьезно превышают возможности аудиторов. В так и не принятой ФСТЭК «Концепции аудита информационной безопасности систем информационных технологий и организаций» была такая фраза: «в то же время в отсутствие необходимых национальных регуляторов такая деятельность /по нерегулируемому законодательством аудиту со стороны частных фирм/ может нанести непоправимый вред организациям». В заключение, авторы Концепции предлагали унифицировать подходы к аудиту и законодательно установить правила игры, включая правила аккредитации аудиторов, требования к их квалификации, процедуре проведения аудита и т.п., но воз и ныне там. Хотя, учитывая то внимание, которое отечественные регуляторы в области информационной безопасности (а у нас их 9) уделяют вопросам защиты информации (только за прошедший календарный год было принято или разработано 52 нормативных акта по вопросам информационной безопасности — один нормативный акт в неделю!), не исключаю, что к этой теме вскоре вновь вернутся.

СТАНДАРТЫ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В таких условиях, к сожалению, приходится признавать, что основная цель аудита информационной безопасности банка — повышение доверия к его деятельности — в России недостижима. У нас мало кто из клиентов банка обращает внимание на уровень его безопасности или на результаты проведенного в банке аудита. К аудиту у нас обращаются либо в случае выявления очень серьезного инцидента, приведшего к нанесению серьезного материального ущерба банку (или его акционерам и владельцам), либо в случае законодательных требований, которых у нас, как было показано выше, немало. И на ближайшие полгода требованием №1, ради которого стоит обратить свое внимание на аудит безопасности, является положение Банка России 382-П. Уже есть первые прецеденты запроса со стороны территориальных управлений ЦБ сведений об уровне защищенности банков и выполнении требований 382-П, а получаются эти сведения именно в результате внешнего аудита или проведенной самооценки. На второе место я бы поставил аудит выполнения требований закона «О персональных данных». Но проводить такой аудит стоит не раньше весны, когда будут выпущены все обещанные ФСТЭК и ФСБ документы и когда станет понятная судьба СТО БР ИББС. Тогда же можно будет поднять и вопрос проведения аудита соответствия требованиям СТО БР ИББС. Уже станет понятным не только будущее комплекса документов Банка России, но и его статус по отношению к похожему, но все-таки отличному 382-П, а также по-прежнему ли будет СТО БР ИББС покрывать вопросы защиты персональных данных. Успешное прохождение аудита еще не означает, что с безопасностью в банке все хорошо — существует множество уловок, позволяющих проверяемой организации скрыть какие-то недочеты в своей системе защиты. Да и от квалификации и независимости аудиторов зависит очень многое. Опыт прошедших лет показывает, что даже в организациях, успешно прошедших аудит соответствия стандартам PCI DSS, ISO 27001 или СТО БР ИББС, бывают инциденты, и инциденты серьезные.

МНЕНИЕ ЭКСПЕРТА

Дмитрий Маркин, Начальник отдела аудита и консалтинга АМТ-ГРУП:

До недавнего времени вопросы прохождения обязательного аудита состояния ИБ для кредитных организаций в рамках российского законодательства регламентировались только ФЗ-152 «О персональных данных» в части осуществления внутреннего контроля за принимаемыми мерами по обеспечению безопасности ПДн, а также Положением ЦБ РФ №242-П «Об орган изации внутреннего контроля в кредитных организациях и банковских группах». Причем, согласно требованиям Положения №242-П порядок контроля за обеспечением ИБ устанавливается внутренними документами кредитной организации самостоятельно без привязки к конкретным требованиям по обеспечению ИБ. В связи с вступлением в силу ст.27 ФЗ-161 «О национальной платежной системе», определяющей требования по защите информации в платежной системе, вышли в свет Постановление Правительства РФ №584 «Об утверждении Положения о защите информации в платежной системе» и Положение ЦБ РФ №382-П. Согласно требованиям Постановления №584 и Положения №382-П защита информации в платежной системе должна осуществляться по требованиям данных нормативных актов и требованиям, включенным операторами платежных систем в правила платежных систем. Ключевым моментом здесь является закрепление на уровне национального законодательства права операторов платежных систем (например, Visa и MasterCard) самостоятельно устанавливать требования к защите информации. В Положении №382-П также указана обязанность проведения кредитными организациями оценки выполнения требований к обеспечению ИБ не реже 1 раза в 2 года, четко определены методика оценки соответствия, критерии аудита и порядок документирования ее результатов. На наш взгляд, появление вышеуказанных нормативных актов должно повысить статистику прохождения кредитными организациями сертификации по требованиям стандарта безопасности данных индустрии платежных карт PCI DSS 2.0, разработанного при участии ведущих международных платежных систем Visa и MasterCard.