Введение

Аудит - форма независимого, нейтрального контроля какого-либо направления деятельности коммерческого предприятия, широко используемая в практике рыночной экономики, особенно в сфере бухгалтерского учета. Не менее важным с точки зрения общего развития предприятия является его аудит безопасности, который включает анализ рисков, связанных с возможностью осуществления угроз безопасности, особенно в отношении информационных ресурсов, оценку текущего уровня защищенности информационных систем (ИС), локализацию узких мест в системе их защиты, оценку соответствия ИС существующим стандартам в области информационной безопасности и выработку рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.

Если говорить о главной цели аудита информационной безопасности, то можно ее определить как проведение оценки уровня безопасности информационной системы предприятия для управления им в целом с учетом перспектив его развития.

В современных условиях, когда информационные системы пронизывают все сферы деятельности предприятия, а с учетом необходимости их связи с Интернет они оказываются открытыми для реализации внутренних и внешних угроз, проблема информационной безопасности становится не менее важной, чем экономическая или физическая безопасность.

Несмотря на важность рассматриваемой проблемы для подготовки специалистов по защите информации, она до настоящего времени не была включена в виде отдельного курса в существующие учебные планы и не рассматривалась в учебниках и учебных пособиях. Это было связано с отсутствием необходимой нормативной базы, неподготовленностью специалистов и недостаточным практическим опытом в области проведения аудита информационной безопасности.

Общая структура работы включает следующую последовательность рассматриваемых вопросов:

описывается модель построения системы информационной безопасности (ИБ), учитывающая угрозы, уязвимости, риски и принимаемые для их снижения или предотвращения контрмеры;

рассматриваются методы анализа и управления рисками;

излагаются базовые понятия аудита безопасности и дается характеристика целей его проведения;

анализируются основные международные и российские стандарты, используемые при проведении аудита ИБ;

показываются возможности использования программных средств для проведения аудита ИБ;

Выбор описанной структуры учебного пособия был сделан с целью максимальной ориентации студента на практическое использование рассматриваемого материала, во-первых, при изучении лекционного курса, во-вторых, при прохождении производственных практик (анализ состояния информационной безопасности на предприятии), в-третьих, при выполнении курсовых и дипломных работ.

Представленный материал может быть полезен руководителям и сотрудникам служб безопасности и служб защиты информации предприятия для подготовки и проведения внутреннего и обоснования необходимости внешнего аудита информационной безопасности.

Глава I. Аудит безопасности и методы его проведения

1 Понятие аудита безопасности

Аудит представляет собой независимую экспертизу отдельных областей функционирования организации. Различают внешний и внутренний аудит. Внешний аудит - это, как правило, разовое мероприятие, проводимое по инициативе руководства организации или акционеров. Рекомендуется проводить внешний аудит регулярно, а, например, для многих финансовых организаций и акционерных обществ это является обязательным требованием со стороны их учредителей и акционеров. Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании «Положения о внутреннем аудите» и в соответствии с планом, подготовка которого осуществляется подразделениями службы безопасноти и утверждается руководством организации.

Целями проведения аудита безопасности являются:

анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов;

оценка текущего уровня защищенности ИС;

локализация узких мест в системе защиты ИС;

оценка соответствия ИС существующим стандартам в области информационной безопасности;

Аудит безопасности предприятия (фирмы, организации) должен рассматриваться как конфиденциальный инструмент управления, исключающий в целях конспирации возможность предоставления информации о результатах его деятельности сторонним лицам и организациям.

Для проведения аудита безопасности предприятия может быть рекомендована следующая последовательность действий.

1. Подготовка к проведению аудита безопасности:

выбор объекта аудита (фирма, отдельные здания и помещения, отдельные системы или их компоненты);

составление команды аудиторов-экспертов;

определение объема и масштаба аудита и установление конкретных сроков работы.

2.Проведение аудита:

общий анализ состояния безопасности объекта аудита;

регистрация, сбор и проверка статистических данных и результатов инструментальных измерений опасностей и угроз;

оценка результатов проверки;

составление отчета о результатах проверки по отдельным составляющим.

3.Завершение аудита:

составление итогового отчета;

разработка плана мероприятий по устранению узких мест и недостатков в обеспечении безопасности фирмы.

Для успешного проведения аудита безопасности необходимо:

активное участие руководства фирмы в его проведении;

объективность и независимость аудиторов (экспертов), их компетентность и высокая профессиональность;

четко структурированная процедура проверки;

активная реализация предложенных мер обеспечения и усиления безопасности.

Аудит безопасности, в свою очередь, является действенным инструментом оценки безопасности и управления рисками. Предотвращение угроз безопасности означает в том числе и защиту экономических, социальных и информационных интересов предприятия.

Отсюда можно сделать вывод, что аудит безопасности становится инструментом экономического менеджмента.

В зависимости от объема анализируемых объектов предприятия определяются масштабы аудита:

-аудит безопасности всего предприятия в комплексе;

-аудит безопасности отдельных зданий и помещений (выделенные помещения);

-аудит оборудования и технических средств конкретных типов и видов;

-аудит отдельных видов и направлений деятельности: экономической, экологической, информационной, финансовой и т. д.

Следует подчеркнуть, что аудит проводится не по инициативе аудитора, а по инициативе руководства предприятия, которое в данном вопросе является основной заинтересованной стороной. Поддержка руководства предприятия является необходимым условием для проведения аудита.

Аудит представляет собой комплекс мероприятий, в которых помимо самого аудитора, оказываются задействованными представители большинства структурных подразделений компании. Действия всех участников этого процесса должны быть скоординированы. Поэтому на этапе инициирования процедуры аудита должны быть решены следующие организационные вопросы:

права и обязанности аудитора должны быть четко определены и документально закреплены в его должностных инструкциях, а также в положении о внутреннем (внешнем) аудите;

аудитором должен быть подготовлен и согласован с руководством план проведения аудита;

в положении о внутреннем аудите должно быть закреплено, в частности, что сотрудники предприятия обязаны оказывать содействие аудитору и предоставлять всю необходимую для проведения аудита информацию.

На этапе инициирования процедуры аудита должны быть определены границы проведения обследования. Если какие-то информационные подсистемы предприятия не являются достаточно критичными, их можно исключить из границ проведения обследования.

Другие подсистемы могут оказаться недоступными для аудита из-за соображений конфиденциальности.

Границы проведения обследования определяются в следующих категориях:

Список обследуемых физических, программных и информационных ресурсов.

2.Площадки (помещения), попадающие в границы обследования.

3.Основные виды угроз безопасности, рассматриваемые при проведении аудита.

4.Организационные (законодательные, административные и процедурные), физические, программно-технические и прочие аспекты обеспечения безопасности, которые необходимо учесть в ходе проведения обследования, и их приоритеты (в каком объеме они должны быть учтены).

План и границы проведения аудита обсуждается на рабочем собрании, в котором участвуют аудиторы, руководство компании и руководители структурных подразделений.

Для понимания аудита ИБ как комплексной системы может быть использована его концептуальная модель, показанная на рис. 1.1. Здесь выделены главные составляющие процесса:

объект аудита:

цель аудита:

Рис. 1.1 . Концептуальная модель аудита ИБ

предъявляемые требования;

используемые методы;

исполнители;

порядок проведения.

С точки зрения организации работ при проведении аудита ИБ выделяют три принципиальных этапа:

1.сбор информации;

2.анализ данных;

2 Методы анализа данных при аудите ИБ

В настоящее время используются три основных метода (подхода) к проведению аудита, которые существенно различаются между собой .

Первый метод, самый сложный, базируется на анализе рисков. Опираясь на методы анализа рисков, аудитор определяет для обследуемой ИС индивидуальный набор требований безопасности, в наибольшей степени учитывающий особенности данной ИС, среды ее функционирования и существующие в данной среде угрозы безопасности. Данный подход является наиболее трудоемким и требует наивысшей квалификации аудитора. На качество результатов аудита, в этом случае, сильно влияет используемая методология анализа и управления рисками и ее применимость к данному типу ИС.

Второй метод, самый практичный, опирается на использование стандартов информационной безопасности. Стандарты определяют базовый набор требований безопасности для широкого класса ИС, который формируется в результате обобщения мировой практики. Стандарты могут определять разные наборы требований безопасности, в зависимости от уровня защищенности ИС, который требуется обеспечить, ее принадлежности (коммерческая организация, либо государственное учреждение), а также назначения (финансы, промышленности, связь и т.п.). От аудитора в данном случае требуется правильно определить набор требований стандарта, соответствие которым требуется обеспечить для данной ИС. Необходима также методика, позволяющая оценить это соответствие. Из-за своей простоты (стандартный набор требований для проведения аудита уже заранее определен стандартом) и надежности (стандарт - есть стандарт и его требования никто не попытается оспорить), описанный подход наиболее распространен на практике (особенно при проведении внешнего аудита). Он позволяет при минимальных затратах ресурсов делать обоснованные выводы о состоянии ИС.

Третий метод, наиболее эффективный, предполагает комбинирование первых двух.

Если для проведения аудита безопасности выбран подход, базирующийся на анализе рисков, то на этапе анализа данных аудита обычно выполняются следующие группы задач :

Анализ ресурсов ИС, включая информационные ресурсы, программные и технические средства, а также людские ресурсы.

2.Анализ групп задач, решаемых системой, и бизнес процессов.

3.Построение (неформальной) модели ресурсов ИС, определяющей взаимосвязи между информационными, программными, техническими и людскими ресурсами, их взаимное расположение и способы взаимодействия.

4.Оценка критичности информационных ресурсов, а также программных и технических средств.

5.Определение критичности ресурсов с учетом их взаимозависимостей.

6.Определение наиболее вероятных угроз безопасности в отношении ресурсов ИС и уязвимостей защиты, делающих возможным осуществление этих угроз.

7.Оценка вероятности осуществления угроз, величины уязвимостей и ущерба, наносимого организации в случае успешного осуществления угроз.

8.Определение величины рисков для каждой тройки: угроза - группа ресурсов - уязвимость.

Перечисленный набор задач является достаточно общим. Для их решения могут использоваться различные формальные и неформальные, количественные и качественные, ручные и автоматизированные методики анализа рисков. Суть подхода от этого не меняется.

Оценка рисков может даваться с использованием различных как качественных, так и количественных шкал. Главное, чтобы существующие риски были правильно идентифицированы и про ранжированы в соответствии со степенью их критичности для организации. На основе такого анализа может быть разработана система первоочередных мероприятий по уменьшению величины рисков до приемлемого уровня.

При проведении аудита безопасности на соответствие требованиям стандарта, аудитор, полагаясь на свой опыт, оценивает применимость требований стандарта к обследуемой ИС и ее соответствие этим требованиям. Данные о соответствии различных областей функционирования ИС требованиям стандарта обычно представляются в табличной форме. Из таблицы видно, какие требования безопасности в системе не реализованы. Исходя из этого, делаются выводы о соответствии обследуемой ИС требованиям стандарта и даются рекомендации по реализации в системе механизмов безопасности, позволяющих обеспечить такое соответствие.

3 Анализ информационных рисков предприятия

Анализ рисков - это то, с чего должно начинаться построение любой системы информационной безопасности и то, что необходимо для проведения аудита ИБ. Он включает в себя мероприятия по обследованию безопасности предприятия с целью определения того, какие ресурсы и от каких угроз надо защищать, а также в какой степени те или иные ресурсы нуждаются в защите. Определение набора адекватных контрмер осуществляется в ходе управления рисками. Риск определяется вероятностью причинения ущерба и величиной ущерба, наносимого ресурсам информационных систем (ИС), в случае осуществления угрозы безопасности.

Анализ рисков состоит в том, чтобы выявить существующие риски и оценить их величину (дать им качественную, либо количественную оценку). Процесс анализа рисков предусматривает решение следующих задач:

1.Идентификация ключевых ресурсов ИС.

2.Определение важности тех или иных ресурсов для организации.

3.Идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз.

4.Вычисление рисков, связанных с осуществлением угроз безопасности.

Ресурсы ИС можно разделить на следующие категории:

информационные ресурсы;

программное обеспечение;

технические средства (серверы, рабочие станции, активное сетевое оборудование и т. п.);

людские ресурсы.

В каждой категории ресурсы делятся на классы и подклассы. Необходимо идентифицировать только те ресурсы, которые определяют функциональность ИС и существенны с точки зрения обеспечения безопасности.

Важность (или стоимость) ресурса определяется величиной ущерба, наносимого в случае нарушения конфиденциальности, целостности или доступности этого ресурса. Обычно рассматриваются следующие виды ущерба:

данные были раскрыты, изменены, удалены или стали недоступны;

аппаратура была повреждена или разрушена;

нарушена целостность программного обеспечения.

Ущерб может быть нанесен организации в результате успешного осуществления следующих видов угроз безопасности:

локальные и удаленные атаки на ресурсы ИС;

стихийные бедствия;

ошибки, либо умышленные действия персонала ИС;

сбои в работе ИС, вызванные ошибками в программном обеспечении или неисправностями аппаратуры.

Величина риска может быть определена на основе стоимости ресурса, вероятности осуществления угрозы и величины уязвимости по следующей формуле:

стоимость ресурса х вероятность угрозы Риск = величина уязвимости

Задача управления рисками заключается в выборе обоснованного набора контрмер, позволяющих снизить уровни рисков до приемлемой величины. Стоимость реализации контрмер должна быть меньше величины возможного ущерба. Разница между стоимостью реализации контрмер и величиной возможного ущерба должна быть обратно пропорциональна вероятности причинения ущерба.

Подход на основе анализа информационных рисков предприятия является наиболее значимым для практики обеспечения информационной безопасности. Это объясняется тем, что анализ риска позволяет эффективно управлять ИБ предприятия. Для этого в начале работ по анализу риска необходимо определить, что именно подлежит защите на предприятии, воздействию каких угроз это подвержено, и по практике защиты. Анализ риска производится исходя из непосредственных целей и задач по защите конкретного вида информации конфиденциального характера. Одной из важнейших задач в рамках защиты информации является обеспечение ее целостности и доступности. При этом следует иметь в виду, что нарушение целостности может произойти не только вследствие преднамеренных действий, но и по ряду других причин:

·сбоев оборудования, ведущих к потере или искажению информации;

·физических воздействии, в том числе в результате стихийных бедствий;

·ошибок в программном обеспечении(в том числе недокументированных возможностей).

Поэтому под термином«атака» более перспективно понимать не только человеческие воздействия на информационные ресурсы, но и воздействия окружающей среды, в которой функционирует система обработки информации предприятия.

При проведении анализа риска разрабатываются:

·общая стратегия и тактика проведения потенциальным нарушителем «наступательных операций и боевых действий»;

·возможные способы проведения атак на систему обработки и защиты информации;

·сценарий осуществления противоправных действий;

·характеристики каналов утечки информации и НСД;

·вероятности установления информационного контакта (реализации угроз);

·перечень возможных информационных инфекций;

·модель нарушителя;

·методика оценки информационной безопасности.

Кроме того, для построения надежной системы защиты информации предприятия необходимо:

·выявить все возможные угрозы безопасности информации;

·оценить последствия их проявления;

·определить необходимые меры и средства защиты с учетом требований нормативных документов, экономической

·целесообразности, совместимости и бесконфликтности с используемым программным обеспечением;

·оценить эффективность выбранных мер и средств защиты.

Рис. 1.2. Сценарий анализа информационных ресурсов

Здесь представлены все 6 этапов анализа риска. На первом и втором этапах определяются сведения, которые составляют для предприятия коммерческую тайну и которые предстоит защищать. Понятно, что такие сведения хранятся вопределенных местах и на конкретных носителях, передаются по каналам связи. При этом определяющим фактором в технологии обращения с информацией является архитектура ИС, которая во многом определяет защищенность информационных ресурсов предприятия. Третий этап анализа риска - построение каналов доступа, утечки или воздействия на информационные ресурсы основных узлов ИС. Каждый канал доступа характеризуется множеством точек, с которых можно «снять» информацию. Именно они и представляют уязвимости и требуют применения средств недопущения нежелательных воздействий на информацию.

Четвертый этап анализа способов защиты всех возможных точека так соответствует целям защиты и его результатом должна быть характеристика возможных брешей в обороне, в том числе за счет неблагоприятного стечения обстоятельств.

На пятом этапе исходя из известных на данный момент способов и средств преодоления оборонительных рубежей определяются вероятности реализации угроз по каждой из возможных точек атак.

На заключительном, шестом, этапе оценивается ущерб организации в случае реализации каждой из атак, который вместе с оценками уязвимости позволяет получить ранжированный список угроз информационным ресурсам. Результаты работы представляются в виде, удобном для ихвосприятия и выработки решений по коррекции существующей системы защиты информации. При этом каждый информационный ресурс может быть подвержен воздействию нескольких потенциальных угроз. Принципиальное же значение имеет суммарная вероятность доступа к информационным ресурсам, которая складывается из элементарных вероятностей доступа к отдельным точкам прохождения информации.

Величина информационного риска по каждому ресурсу определяется как произведение вероятности нападения на ресурс, вероятности реализации и угрозы и ущерба от информационного вторжения. В этом произведении могут использоваться различные способы взвешивания составляющих.

Сложение рисков по всем ресурсам дает величину суммарного риска при принятой архитектуре ИС и внедренной в нее системы защиты информации.

Таким образом, варьируя варианты построения системы защиты информации и архитектуры ИС, становится возможным представить и рассмотреть различные значения суммарного риска за счет изменения вероятности реализации угроз. Здесь весьма важным шагом является выбор одного из вариантов в соответствии с отобранным критерием принятия решения. Таким критерием может быть допустимая величина риска или отношение затрат на обеспечение информационной без-опасности к остаточному риску.

При построении систем обеспечения информационной безопасности также нужно определить стратегию управления рисками на предприятии.

На сегодня известно несколько подходов к управлению рисками.

Один из наиболее распространенных- уменьшение риска путем использования соответствующих способов и средств защиты. Близким по сути является подход, связанный с уклонением от риска. Известно, что от некоторых классов рисков можно уклониться: например, вынесение Web-сервера организации за пределы локальной сети позволяет избежать риска несанкционированного доступа в локальную сеть со стороны Web-клиентов.

Наконец, в некоторых случаях допустимо принятие риска. Здесь важно определиться со следующей дилеммой: что для предприятия выгоднее- бороться с рисками или же с их последствиями. В этом случае приходится решать оптимизационную задачу.

После того как определена стратегия управления рисками, производится окончательная оценка мероприятий по обеспечению информационной безопасности с подготовкой экспертного заключения о защищенности информационных ресурсов. В экспертное заключение включаются все материалы анализа рисков и рекомендации по их снижению.

1.4 Методы оценивания информационных рисков предприятия

На практике используются различные методы оценки и управления информационными рисками на предприятиях. При этом оценка информационных рисков предусматривает выполнение следующих этапов:

·идентификация и количественная оценка информационных ресурсов предприятий, значимых для бизнеса;

·оценивание возможных угроз;

·оценивание существующих уязвимостей;

·оценивание эффективности средств обеспечения информационной безопасности.

Предполагается, что значимые для бизнеса уязвимые информационные ресурсы компании предприятия подвергаются риску, если по отношению к ним существуют какие-либо угрозы. Другими словами, риски характеризуют опасность, которой могут подвергаться компоненты корпоративной системы Internet/Intranet. При этом информационные риски компании зависят:

·от показателей ценности информационных ресурсов;

·вероятности реализации угроз для ресурсов;

·эффективности существующих или планируемых средств обеспечения ИБ.

Цель оценивания рисков состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов. В результате оценки рисков становится возможным выбрать средства, обеспечивающие желаемый уровень ИБ предприятия. При оценивании рисков учитываются ценность ресурсов, значимость угроз и уязвимостей, эффективность существующих и планируемых средств защиты. Сами показатели ресурсов, значимости угроз и уязвимостей, эффективность средств защиты могут быть определены как количественными методами, например при определении стоимостных характеристик, так и, качественными, например учитывающими штатные или чрезвычайно опасные нештатные воздействия внешней среды.

Возможность реализации угрозы оценивается вероятностью ее реализации в течение заданного отрезка времени для некоторого ресурса предприятия. При этом вероятность того, что угроза реализуется, определяется следующими основными показателями:

·привлекательностью ресурса используется при рассмотрении угрозы от умышленного воздействия со стороны человека;

·возможностью использования ресурса для получения дохода при рассмотрении угрозы от умышленного воздействия со стороны человека;

·техническими возможностями реализации угрозы применяется при умышленном воздействии со стороны человека;

·степенью легкости, с которой уязвимость может быть использована.

В настоящее время известно множество табличных методов оценки информационных рисков компании. Важно, чтобы работники службы безопасности выбрали для себя подходящий метод, который обеспечивал бы корректные и достоверные воспроизводимые результаты.

Количественные показатели информационных ресурсов рекомендуется оценивать по результатам опросов сотрудников предприятия- владельцев информации, то есть должностных лиц, которые могут определить ценность информации, ее характеристики и степень критичности, исходя из фактического положения дел. На основе результатов опроса производится оценивание показателей и степени критичности информационных ресурсов для наихудшего варианта развития событий вплоть до рассмотрения потенциальных воздействий на бизнес-деятельность предприятия при возможном несанкционированном ознакомлении с конфиденциальной информацией, нарушении ее целостности, недоступности на различные сроки, вызванных отказами в обслуживании систем обработки данных и даже физическом уничтожении. При этом процесс получения количественных показателей может дополняться соответствующими методиками оценивания других критически важных ресурсов предприятия, учитывающих:

·безопасность персонала;

·разглашение частной информации;

·требования по соблюдению законодательных и нормативных положений;

·ограничения, вытекающие из законодательства;

·коммерческие и экономические интересы;

·финансовые потери и нарушения в производственной деятельности;

·общественные отношения;

·коммерческую политику и коммерческие операции;

·потерю репутации компании.

Далее количественные показатели используются там, где это допустимо и оправдано, а качественные - где количественные оценки по ряду причин затруднены. При этом наибольшее распространение получило оценивание качественных показателей при помощи специально разработанных для этих целей балльных шкал, например, с четырех бальной шкалой.

Следующей операцией является заполнение пар опросных листов, в которых по каждому из типов угроз и связанной с ним группе ресурсов оцениваются уровни угроз как вероятность реализации угроз и уровни уязвимостей как степень легкости, с которой реализованная угроза способна привести к негативному воздействию. Оценивание производится в качественных шкалах. Например, уровень угроз и уязвимостей оценивается по шкале «высокий-низкий». Необходимую информацию собирают, опрашивая ТОР-менеджеров компании, сотрудников коммерческих, технических, кадровых и сервисных служб, выезжая на места и анализируя документацию компании.

Наряду с табличными методами оценки информационных рисков, могут быть использованы современные математические методы, например метод типа Дельфи, а также специальные автоматизированные системы, отдельные из которых будут рассмотрены ниже.

Общий алгоритм процесса оценивания рисков (рис.1.3.) в этих системах включает следующие этапы.

·описание объекта и мер защиты;

·идентификация ресурса и оценивание его количественных показателей (определение потенциального негативного воздействия на бизнес);

·анализ угроз информационной безопасности;

·оценивание уязвимостей;

·оценивание существующих и предполагаемых средств

обеспечения информационной безопасности;

·оценивание рисков.

5 Управление информационными рисками

В настоящее время управление информационными рисками представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области защиты информации. Его основная задача объективно идентифицировать и оценить наиболее значимые для бизнеса информационные риски компании, а также адекватность используемых средств контроля рисков для увеличения эффективности и рентабельности экономической деятельности предприятия. Поэтому под термином «управление информационными рисками» обычно понимается системный процесс идентификации, контроля и уменьшения информационных рисков компаний в соответствии с определенными ограничениями российской нормативно-правовой базы в области защиты информации и собственной корпоративной политики безопасности.

Рис. 1.3. Алгоритм оценивания рисков

Использование информационных систем связано с определенной совокупностью рисков. Когда возможный ущерб неприемлемо велик, необходимо экономически оправданные меры защиты. Периодическая (пере)оценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменений обстановки.

Суть мероприятий по управлению рисками состоит в том, чтобы оценить их размер, выработать эффективные и экономичные меры снижения рисков, а затем убедиться, что риски заключены в приемлемые рамки(и остаются таковыми). Следовательно, управление рисками включает в себя два вида деятельности, которые чередуются циклически:

)(пере) оценка (измерение) рисков;

)выбор эффективных и экономичных защитных средств (нейтрализация рисков).

По отношению к выявленным рискам возможны следующие действия:

·ликвидация риска(например, за счет устранения причины);

·уменьшение риска(например, за счет использования дополнительных защитных средств);

·принятие риска(путем выработки плана действия в соответствующих условиях):

·переадресация риска(например, путем заключения страхового соглашения).

Процесс управления рисками можно разделить на следующие этапы:

1.Выбор анализируемых объектов и уровня детализации их рассмотрения.

2.Выбор методологии оценки рисков.

.Идентификация активов.

.Анализ угроз и их последствий, выявление уязвимых мест в защите.

.Оценка рисков.

.Выбор защитных мер.

.Реализация и проверка выбранных мер.

.Оценка остаточного риска.

Этапы6 и относятся к выбору защитных средств(нейтрализациии рисков), остальные- к оценке рисков.

Уже перечисление этапов показывает, что управление рисками процесс циклический. По существу, последний этап- это оператор конца цикла, предписывающий вернуться к началу. Риски нужно контролировать постоянно, периодически проводя их переоценку. Следует отметить, что выполненная и тщательно документированная оценка может существенно упростить последующую деятельность.

Управление рисками, как и любую другую деятельность в области информационной безопасности, необходимо интегрировать в жизненный цикл ИС. Тогда эффект оказывается наибольшим, а затраты минимальными.

Управление рисками необходимо проводить на всех этапах жизненного цикла информационнойсистемы:инициация-разработка-установка эксплуатация- утилизация(вывод из эксплуатации).

На этапе инициации известные риски следует учесть при выработке требований к системе вообще и средствам безопасности в частности.

На этапе разработки знание рисков помогает выбирать соответствующие архитектурные решения, которые играют ключевую роль в обеспечении безопасности.

На этапе установки выявленные риски следует учитывать при конфигурировании, тестировании и проверке ранее сформулированных

требований, а полный цикл управления рисками должен предшествовать внедрению системы в эксплуатацию.

На этапе эксплуатации управление рисками должно сопровождать все существенные изменения в системе.

При выведении системы из эксплуатации управление рисками помогает убедиться в том, что миграция данных происходит безопасным образом.

Глава II. Стандарты информационной безопасности

1 Предпосылки создания стандартов ИБ

Проведение аудита информационной безопасности основывается на использовании многочисленных рекомендаций, которые изложены преимущественно в международных стандартах ИБ.

Одним из результатов проведения аудита в последнее время все чаще становится сертификат, удостоверяющий соответствие обследуемой ИС определенному признанному международному стандарту. Наличие такого сертификата позволяет организации получать конкурентные преимущества, связанные с большим доверием со стороны клиентов и партнеров.

Использование стандартов способствует решению следующих пяти задач.

Во-первых, строго определяются цели обеспечения информационной безопасности компьютерных систем. Во-вторых, создается эффективная система управления информационной безопасностью. В-третьих, обеспечивается расчет совокупности детализированных не только качественных, но и количественны показателей для оценки соответствия информационной безопасности заявленным целям. В-четвертых, создаются условия применения имеющегося инструментария(программных средств) обеспечения информационной безопасности и оценки ее текущего состояния. В-пятых, открывается возможность использования методик управления безопасностью с обоснованной системой метрик и мер обеспечения разработчиков информационных систем.

Начиная с начала80-х годов были созданы десятки международных и национальных стандартов в области информационной безопасности, которые в определенной мере дополняют друг друга. Ниже будут рассмотрены наиболее известные стандарты по хронологии их создания:

)Критерий оценки надежности компьютерных систем «Оранжевая книга» (США);

)Гармонизированные критерии европейских стран;

)Рекомендации Х.800;

)Германский стандартBSI;

)Британский стандартBS 7799;

)СтандартISO 17799;

)Стандарт«Общие критерии» ISO 15408;

)СтандартCOBIT

Эти стандарты можно разделить на два вида:

·Оценочные стандарты, направленные на классификацию информационных систем и средств защиты по требованиям безопасности;

·Технические спецификации, регламентирующие различные аспекты реализации средств защиты.

Важно отметить, что между этими видами нормативных документов нет глухой стены. Оценочные стандарты выделяют важнейшие, с точки зрения ИБ, аспекты ИС, играя роль архитектурных спецификаций. Другие технические спецификации определяют, как строить ИС предписанной архитектуры.

2 Стандарт «Критерии оценки надежности компьютерных систем» (Оранжевая книга)

Исторически первым оценочным стандартом, получившим широкое распространение и оказавшим огромное влияние на базу стандартизации ИБ во многих странах, стал стандарт Министерства обороны США«Критерии оценки доверенных компьютерных систем».

Данный труд, называемый чаще всего по цвету обложки «Оранжевой книгой», был впервые опубликован в августе1983 года. Уже одно его название требует комментария. Речь идет не о безопасных, а о доверенных системах, то есть системах, которым можно оказатьопределенную степень доверия.

«Оранжевая книга» поясняет понятие безопасной системы, которая«управляет, с помощью соответствующих средств, доступом к информации, так что только должным образом авторизованные лица или процессы, действующие от их имени, получают право читать, записывать, создавать и удалять информацию».

Очевидно, однако, что абсолютно безопасных систем не существует, это абстракция. Есть смысл оценивать лишь степень доверия, которое можно оказать той или иной системе.

В«Оранжевой книге» доверенная система определяется как «система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа».

Следует отметить, что в рассматриваемых критериях и безопасность и доверие оцениваются исключительно с точки зрения управления доступом к данным, что является одним из средств обеспечения конфиденциальности и целостности информации. При этом вопросы доступности«Оранжевая книга» не затрагивает.

Степень доверия оценивается по двум основным критериям.

.Политика безопасности - набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. В частности, правила определяют, в каких случаях пользователь может оперировать конкретными наборами данных. Чем выше степень доверия системе, тем строже и многообразнее должна быть политика безопасности. В зависимости от сформулированной политики можно выбирать конкретные механизмы обеспечения безопасности. Политика безопасности - это активный аспект защиты, включающий в себя анализ возможных угроз и выбор мер противодействия.

.Уровень гарантированности- мера доверия, которая может быть оказана архитектуре и реализации ИС. Доверие безопасности может проистекать как из анализа результатов тестирования, так и из проверки(формальной или нет) общего замысла и реализации системы в целом и отдельных ее компонентов. Уровень гарантированности показывает, насколько корректны механизмы, отвечающие за реализацию политики безопасности. Это пассивный аспект защиты.

Основным средством обеспечения безопасности определяется механизм подотчетности (протоколирования). Доверенная система должна фиксировать все события, касающиеся безопасности. Ведение протоколов должно дополняться аудитом, то есть анализом регистрационной информации. Концепция доверенной вычислительной базы является центральной при оценке степени доверия безопасности. Доверенная вычислительная база - это совокупность защитных механизмов ИС (включая аппаратное и программное обеспечение), отвечающих за проведение в жизнь политики безопасности. Качество вычислительной базы определяется исключительно ее реализацией и корректностью исходных данных, которые вводит системный администратор.

Рассматриваемые компоненты вне вычислительной базы могут не быть доверенными, однако это не должно влиять на безопасность системы в целом. В результате, для оценки доверия безопасности ИС авторы стандарта рекомендуют рассматривать только ее вычислительную базу.

Основное назначение доверенной вычислительной базы - выполнять функции монитора обращений, то есть контролировать допустимость выполнения субъектами (пользователями) определенных операций над объектами (пассивными сущностями). Монитор проверяет каждое обращение пользователя к программам или данным на предмет согласованности с набором действий, допустимых для пользователя.

Монитор обращений должен обладать тремя качествами:

Изолированность. Необходимо предупредить возможность отслеживания работы монитора.

Полнота. Монитор должен вызываться при каждом обращении, не должно быть способов обойти его.

Верифицируемость. Монитор должен быть компактным, чтобы его можно было проанализировать и протестировать, будучи уверенным в полноте тестирования.

Реализация монитора обращений называется ядром безопасности. Ядро безопасности - это основа, на которой строятся все защитные механизмы. Помимо перечисленных выше свойств монитора обращений, ядро должно гарантировать собственную неизменность.

Границу доверенной вычислительной базы называют периметром безопасности. Как уже указывалось, компоненты, лежащие вне периметра безопасности, вообще говоря, могут не быть доверенными. С развитием распределенных систем понятию «периметр безопасности» все чаще придают другой смысл, имея в виду границу владений определенной организации. То, что находится внутри владений, считается доверенным, а то, что вне, - нет.

Согласно «Оранжевой книге», политика безопасности должна обязательно включать в себя следующие элементы:

·произвольное управление доступом;

·безопасность повторного использования объектов;

·метки безопасности;

·принудительное управление доступом.

Произвольное управление доступом - это метод разграничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управления состоит в том, что некоторое лицо(обычно владелец объекта) может по своему усмотрению предоставлять другим субъектам или отбирать у них права доступа к объекту.

Безопасность повторного использования объектов - важное дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения конфиденциальной информации из «мусора». Безопасность повторного использования должна гарантироваться для областей оперативной памяти(в частности, для буферов с образами экрана, расшифрованными паролями и т.п.), для дисковых блоков и магнитных носителей в целом.

3 Германский стандарт BSI

В 1998 году в Германии вышло "Руководство по защите информационных технологий для базового уровня". Руководство представляет собой гипертекст объемом около 4 МБ (в форматеHTML). В дальнейшем оно было оформлено в виде германского стандарта BSI. В его основе лежит общая методология и компоненты управления информационной безопасностью:

·Общий метод управления информационной безопасностью (организация менеджмента в области ИБ, методология использования руководства).

·Описания компонентов современных информационных технологий.

·Основные компоненты (организационный уровень ИБ, процедурный уровень, организация защиты данных, планирование действий в чрезвычайных ситуациях).

·Инфраструктура (здания, помещения, кабельные сети, организация удаленного доступа).

·Клиентские компоненты различных типов (DOS, Windows, UNIX, мобильные компоненты, прочие типы).

·Сети различных типов (соединения «точка-точка», сети Novell NetWare, сети с OC ONIX и Windows, разнородные сети).

·Элементы систем передачи данных (электронная почта, модемы, межсетевые экраны и т.д.).

·Телекоммуникации (факсы, автоответчики, интегрированные системы на базе ISDN, прочие телекоммуникационные системы).

·Стандартное ПО.

·Базы данных.

·Описания основных компонентов организации режима информационной безопасности (организационный и технический уровни защиты данных, планирование действий в чрезвычайных ситуациях, поддержка непрерывности бизнеса).

·Характеристики объектов информатизации (здания, помещения, кабельные сети, контролируемые зоны).

·Характеристики основных информационных активов компании (в том числе аппаратное и программное обеспечение, например рабочие станции и сервера под управлением операционных систем семейства DOS, Windows и UNIX).

·Характеристики компьютерных сетей на основе различных сетевых технологий, например сети Novell Net Ware, сети UNIX и Windows).

·Характеристика активного и пассивного телекоммуникационного оборудования ведущих вендоров, например Cisco Systems.

·Подробные каталоги угроз безопасности и мер контроля (более 600 наименований в каждом каталоге).

Все виды угроз в стандарте BSI разделены на следующие классы:

·Форс-мажорные обстоятельства.

·Недостатки организационных мер.

·Ошибки человека.

·Технические неисправности.

·Преднамеренные действия.

Аналогично классифицированы контрмеры:

·Улучшение инфраструктуры;

·Административные контрмеры;

·Процедурные контрмеры;

·Программно-технические контрмеры;

·Уменьшение уязвимости коммуникаций; планирование действий в чрезвычайных ситуациях.

Все компоненты рассматриваются и описываются по следующему плану:

)общее описание;

)возможные сценарии угроз безопасности(перечисляются применимые к данной компоненте угрозы из каталога угроз безопасности);

)возможные контрмеры(перечисляются применимые к данной компоненте угрозы из каталога угроз безопасности);

4 Британский стандарт BS 7799

На предприятии должен проводиться аудит информационной безопасности. Рассмотрим, для чего это нужно и как осуществить проверку. Почти вся деятельность организаций связана с компьютерными обработками сведений.

Растет количество и объем операций, требующих широкого использования компьютеризированной информационной системы.
При наличии ошибок может блокироваться работа системы.

Может вызываться цепная реакция, в результате чего уменьшается доходность компаний и теряется их репутация. Именно поэтому стоит уделять особое внимание аудиту ИБ.

Что нужно знать

Проведение аудита ИБ – важная процедура, при которой преследуются определенные цели и выполняется ряд задач.

Необходимые термины

Информационной безопасности называют системную процедуру, при которой получают объективные качественные и количественные оценки о текущем положении информационной безопасности предприятия.

При этом придерживаются определенных критериев и показателей безопасности. Под информационной безопасностью понимают сохранность информационных ресурсов и защиту законного права личности и общества в информационной отрасли.

Зачем это нужно?

С помощью аудита можно дать оценку текущей безопасности работы информационной системы, оценку и прогнозирования рисков, управлять их воздействием на бизнес-процесс.

При грамотном проведении проверки возможна максимальная отдача от средств, что инвестируются в создание и обслуживание системы безопасности компании.

Цель осуществления аудиторской процедуры:

• анализ риска;
• оценивание текущих уровней защищенности информационной системы;
• локализация узкого места в защитной системе;
• дать рекомендации, как внедрить и повысить эффективность механизма безопасности информационной системы.

Задача:

• разработать политику безопасности по защите данных;
• установить задачи для ИТ-сотрудников;
• разбирать инциденты, что связаны с нарушениями информационной безопасности.

Правовое регулирование

Главные законодательные положения:

1. Методическая документация.

Аудит информационной безопасности предприятия

Основное направление проверки информационной безопасности:

Применяемые методики

Возможно использование методики:

Составление плана

При проведении аудита информационной безопасности составляют план работ и определения целевой задачи. Заказчики и исполнители должны согласовать область и структуру компании, которую затрагивает проверка.

Оговаривают ответственность каждой стороны. В плане должна отражаться:

• цель проверки;
• критерии;
• области проверки с учетом идентификации организационной и функциональной единицы и процесса, что подлежит аудиту;
• дата и место проведения аудита;
• длительность проверки;
• роль и обязательства членов аудиторских групп и сопровождающих лиц.

Возможно также включение:

• списка представителей проверяемого предприятия, что будет оказывать услуги сопровождения аудиторской группы;
• разделов отчета;
• технического обеспечения;
• рассмотрения вопросов конфиденциальности;
• сроков и целей следующей проверки информационной безопасности.

План анализируют и представляют проверяемому предприятию до того, как будет проводиться аудит. Пересмотренный документ согласовывают вовлеченной стороной до продолжения аудита.

Проведение внутреннего аудита

Аудит включает такие действия:

• инициируется процесс (определяют и закрепляют в документации права и обязательства аудитора, готовится план проведения аудита);
• собираются данные;
• анализируется информация;
• вырабатываются рекомендации;
• готовится отчет.

Для осуществления аудита определяют критерии, что отражены в нормативной документации. Сначала организуют проверку, анализируют документы и осуществляют подготовку к аудиту ИБ на месте его осуществления.

Обязательно назначают руководство аудиторских групп, определяют цели и область проверки, возможности, устанавливают начальные контакты с аудируемым предприятием.

Нюансы для малого предприятия

На малом предприятии обеспечению информационной безопасности уделяют не так много внимания, как на крупных фирмах.

Хотя техническая ситуация является таковой, что защита ИБ необходима как раз для малых компаний. Такие предприятия имеют небольшой ИТ-бюджет, что позволил бы купить все оборудование, ПО.

Именно поэтому аудит позволил бы своевременно устанавливать уязвимые места, проверив:

• как используется межсетевой экран для обеспечения безопасности информации;
• обеспечено ли защиту электронной почты (есть ли необходимые антивирусы);
• обеспечено ли антивирусную защиту;
• как организовано работы в 1С предприятие;
• как настроено ПК пользователей;
• как используется Proxy-сервер;
• обеспечено ли защиту информационной среды компании

При процедуре в банке

• проверка вокруг ПК;
• проверка с применением ПК.

Контроль может быть общим и прикладным. Общими считают операции, что обеспечивают уверенность в непрерывности работы компьютерной системы.

Осуществляются такие виды контроля:

• организационный;
• контроль компьютеров;
• операционных системы;
• контролирование доступа;
• контроль помещения с техническими объектами;
• разработок и поддержания функционирования систем.

Прикладным контролем называют запрограммированный процесс определенного прикладного программного обеспечения и ручные процессы.

Он необходим, чтобы обеспечить обоснованную уверенность в том, что автоматическая обработка информации является полной, точной и правильной.

Представлен:

• контролем ввода (это самое слабое место в информационных системах);
• обработок;
• вывода.

Программа проверок информационной системы банковских учреждений включает:

Чтобы не были допущены нежелательные проникновения и атаки в будущем, стоит:

Аудитор может проводить такие работы:

Организация для государственных информационных систем

Рассмотрим на примере школы. Осуществление аудита включает 3 стадии. Сначала учреждение должно представить все необходимые документы.

Определяют цель, задачи проверки, составляют . Устанавливают, что будет входить в состав аудиторской группы. Составляют программ проверки.

Сама проверка осуществляется в соответствии с программой аудита, что разрабатывалась и согласовывалась с руководством школы.

Проверяется и оценивается, насколько качественны нормативные документы, эффективны технические меры по защите данных, а также действия сотрудников. Устанавливают:

• правильно ли классифицировано ИСПДн;
• достаточны ли представленные сведения;
• выполняются ли требования по обеспечению безопасности информации.

При проведении технической проверки используют экспертные, экспертно-документальные, инструментальные методы. По итогам проверки готовят , где прописаны недочеты и даны рекомендации по их устранению.

Сертификация систем менеджмента

Проверка и сертификация соответствия стандартам направлены на усовершенствование управление предприятием, укрепление доверия.

Хотя и установлено международные стандарты, на данный момент сертификацию на соответствие ISO 17799 не проводят, поскольку отсутствует его 2 часть с описанием сертификации соответствия британским стандартам BS 7799.

Проводят сертификацию на соответствие британским стандартам. Проверка соответствия стандартам осуществляется аудиторскими/консалтинговыми фирмами, что являются членами UKAS

Сертификаты по BS 7799-2 влияют на качество построения систем управления ИБ. Решается ряд технических вопросов.

Государственных стандартов на управление системами не принято, а значит, аналог – Специальные требования и рекомендации по защите сведений технического плана Гостехкомиссии России.

Оформление результатов

При завершении аудита составляется отчетный документ, что передается заказчикам. Отчет должен содержать такие сведения:

• рамки регламент проведения аудита;
• структуру информационной системы предприятия;
• методы и средства, что применяются при проведении аудита;
• описания обнаруженных уязвимых моментов и недостатков с учетом уровня их риска;
• рекомендации по улучшению комплексных систем обеспечения ИБ;
• предложения к планам реализации мероприятия, что должны минимизировать выявленные риски.

В отчете должна отражаться полная, четкая и точная информация по проверке безопасности информации. Указывается, где проводился аудит, кто является заказчиком и исполнителем, какова цель проверки.

Отчеты могут включать и такие данные:

• план проверки;
• список сопровождающих аудиторов лиц;
• краткая суть процедуры, с учетом элемента неопределенности и проблем, что могут отражаться на надежности заключения по итогам проверки;
• любые отрасли, что не охвачены проверкой и т. д.

Аудит информационной безопасности – это эффективный инструмент, который позволяет получить независимую и объективную оценку текущей стадии защищенности от ряда угроз.

Результат проверки даст основание для формирования стратегий развития систем по обеспечению ИБ компании.
Но стоит помнить, что аудит безопасности не является разовой процедурой.

Его проведение обязательно на постоянной основе. Только в таком случае будет реальная отдача и появится возможность усовершенствования безопасности информации.

Организация аудита информационной безопасности информационной системы

Андрушка Игорь Молдавская Экономическая Академия
TIE - 238

Введение

Современная информационная система организации представляет собой распределенную и неоднородную систему, использующую различные программно-аппаратные компоненты и имеющую точки выхода в сети общего пользования (например, Интернет) . В связи с этим значительно усложняется задача правильного и безопасного конфигурирования компонент и обеспечения защищенного взаимодействия между ними, и, как следствие, увеличивается количество уязвимых мест в системе.

Наличие уязвимостей в системе дает возможность потенциальному нарушителю провести успешную атаку и нанести ущерб деятельности организации. Появление «слабых мест» может быть обусловлено различными причинами, как объективного (например, недоработки в базовом программном обеспечении) , так и субъективного характера (например, неправильная настройка оборудования) .

Выявление и устранение уязвимостей, а также оценка общего уровня защищенности является чрезвычайно важной составляющей обеспечения безопасности, позволяющей существенно повысить уровень защищенности информационных и иных ресурсов системы.

Рис. 1 Роль аудита информационной безопасности

Цели и назначение аудита

К основным целям аудита информационной безопасности можно отнести следующие:

· Получение объективной и независимой оценки текущего состояния защищенности информационных ресурсов.

· Получение максимальной отдачи от средств, инвестируемых в создание системы информационной безопасности.

· Оценка возможного ущерба от несанкционированных действий.

· Разработка требований к построению системы защиты информации.

· Определение зон ответственности сотрудников подразделений.

· Расчет необходимых ресурсов.

· Разработка порядка и последовательности внедрения системы информационной безопасности.

Аудит может проводится в следующих вариантах:

· Комплексный аудит – перед созданием системы информационной безопасности

· Точечный – формирование требований к проведению модернизации системы защиты

· Периодичный – внешняя регламентная проверка уровня защищенности системы.

· Проверочный – экспертиза и оценка используемых, либо планируемых к использованию систем и решений.

Этапы аудита

Процесс аудита информационных систем можно представить в виде своеобразных весов (рис. 2) , где на одной чаше рассматриваются системы безопасности доступа, на другой - контроль бизнес-процессов, а в качестве опоры служит техническая инфраструктура, которая, в свою очередь, основана на принятых методах авторизации, конфигурации системы, а также на политиках и процедурах, принятых в организации.

Рис. 2 Процесс аудита информационных систем

Работы по аудиту безопасности ИС включают в себя ряд последовательных этапов (рис. 3), которые в целом соответствуют этапам проведения комплексного аудита ИС, который включает в себя следующее:

2. проведение оценки защищенности - включает работы по обнаружению уязвимостей технических средств, анализу технологической защищенности, а также адекватности организационных процедур. На основе выявленных недостатков проводиться оценка рисков, включающая основные способы преодоления системы защиты, степень критичности и возможность реализации;

3. аттестация системы - включает мероприятия по обследованию (оценки) существующих мер и мероприятий по защите информации, оценки их адекватности, а также соответствие требования ведущих стандартов;

4. по результатам Аудита разрабатывается План исправления выявленных недостатков. Задача планирования состоит в определении приоритетов исправления обнаруженных недостатков, разработки очередности и методологии их устранения. Дополнительно предусматривается разработка концептуальных и процедурных документов, таких как Концепция информационной безопасности, Общие требования и рекомендации по защите информации, Политики безопасности и др.

Рис 3. Этапы проведения аудита информационной безопасности

В зависимости от целей и способа проведения аудита информационной безопасности инициатором этого мероприятия, как уже было отмечено выше, является заинтересованная сторона. Наиболее часто инициатором аудита является организация в лице его руководства.

Как правило на этапе обследования решаются следующие организационные вопросы:

· права и обязанности аудитора четко определяются и документально закрепляются в его должностных инструкциях, а также в положении о внутреннем (внешнем) аудите;

· аудитором подготавливается и согласовывается с руководством план проведения аудита информационной безопасности.

На этапе обследования также определяются границы проведения обследования. Границы проведения обследования обычно определяются в следующих терминах:

· список обследуемых физических, программных и информационных ресурсов;

· площадки (помещения) , попадающие в границы обследования;

· основные виды угроз безопасности, рассматриваемые при проведении аудита;

· организационные (законодательные, административные и процедурные) , физические, программно-технические и прочие аспекты обеспечения безопасности, которые необходимо учесть в ходе проведения обследования, и их приоритеты (в каком объеме они должны быть учтены) .

Далее следует сбор информации аудита, который является наиболее сложным и длительным. Это, как правило, связано с отсутствием необходимой документации на информационную систему и с необходимостью плотного взаимодействия аудитора со многими должностными лицами организации.

Компетентные выводы относительно положения дел в компании с информационной безопасностью могут быть сделаны аудитором только при условии наличия всех необходимых исходных данных для анализа. Получение информации об организации, функционировании и текущем состоянии ИС осуществляется аудитором в ходе специально организованных интервью с ответственными лицами компании, путем изучения технической и организационно-распорядительной документации, а также исследования ИС с использованием специализированного программного инструментария.

Обеспечение информационной безопасности организации – это комплексный процесс, требующий четкой организации и дисциплины. Он должен начинаться с определения ролей и распределения ответственности среди должностных лиц, занимающихся информационной безопасностью. Поэтому первый пункт аудиторского обследования начинается с получения информации об организационной структуре пользователей ИС и обслуживающих подразделений. В связи с этим аудитору требуется документация, касающаяся схемы организационной структуры ИС. Обычно, в ходе интервью аудитор задает опрашиваемым вопросы, касающиеся использования информации, циркулирующей внутри ИС.

Назначение и принципы функционирования ИС во многом определяют существующие риски и требования безопасности, предъявляемые к системе. Поэтому на следующем этапе аудитора интересует информация о назначении и функционировании ИС. На данном этапе аудитор может использовать документацию, содержащую следующие данные:

· описание автоматизированных функций;

· схема информационных потоков;

· описание структуры комплекса технических средств информационной системы;

· описание структуры программного обеспечения;

· описание структуры информационного обеспечения;

· описание технических заданий используемых приложений;

Далее, аудитору требуется более детальная информация о структуре ИС. Это позволяет выяснить, каким образом осуществляется распределение механизмов безопасности по структурным элементам и уровням функционирования ИС.

Подготовка значительной части документации на ИС, обычно, осуществляется уже в процессе проведения аудита. Когда все необходимые данные по ИС, включая документацию, подготовлены, можно перейти к следующему этапу - их анализу

Используемые аудиторами методы анализа данных определяются выбранными подходами к проведению аудита, которые могут существенно различаться. Но в общем, можно выделить 3 подхода:

Первый подход , самый сложный, базируется на анализе рисков. Опираясь на методы анализа рисков, аудитор определяет для обследуемой ИС индивидуальный набор требований безопасности, в наибольшей степени учитывающий особенности данной ИС, среды ее функционирования и существующие в данной среде угрозы безопасности. Данный подход является наиболее трудоемким и требует наивысшей квалификации аудитора. На качество результатов аудита, в этом случае, сильно влияет используемая методология анализа и управления рисками и ее применимость к данному типу ИС.

Сегодня всем известна чуть ли не сакральная фраза о том, что владеющий информацией владеет миром. Именно поэтому в наше время красть пытаются все кому не лень. В связи с этим принимаются и беспрецедентные шаги по внедрению средств защиты от возможных атак. Однако иногда может потребоваться провести аудит предприятия. Что это такое и зачем все это нужно, сейчас и попробуем разобраться.

Что представляет собой аудит информационной безопасности в общем определении?

Сейчас не будем затрагивать заумные научные термины, а постараемся определить для себя основные понятия, описав их самым простым языком (в народе это можно было назвать аудитом для «чайников»).

Название этого комплекса мероприятий говорит само за себя. Аудит информационной безопасности представляет собой независимую проверку или обеспечения безопасности информационной системы (ИС) какого-либо предприятия, учреждения или организации на основе специально разработанных критериев и показателей.

Говоря простым языком, например, аудит информационной безопасности банка сводится к тому, чтобы оценить уровень защиты баз данных клиентов, проводимых банковских операций, сохранности электронных денежных средств, сохранности банковской тайны и т. д. в случае вмешательства в деятельность учреждения посторонними лицами извне, использующими электронные и компьютерные средства.

Наверняка, среди читателей найдется хотя бы один человек, которому звонили домой или на мобильный телефон с предложением оформления кредита или депозитного вклада, причем из банка, с которым он никак не связан. То же самое касается и предложения покупок от каких-то магазинов. Откуда всплыл ваш номер?

Все просто. Если человек ранее брал кредит или вкладывал деньги на депозитный счет, естественно, его данные были сохранены в единой При звонке из другого банка или магазина можно сделать единственный вывод: информация о нем незаконно попала в третьи руки. Как? В общем случае можно выделить два варианта: либо она была украдена, либо передана сотрудниками банка третьим лицам осознанно. Для того чтобы такие вещи не происходили, и нужно вовремя проводить аудит информационной безопасности банка, причем это касается не только компьютерных или «железных» средств защиты, но всего персонала банковского учреждения.

Основные направления аудита информационной безопасности

Что касается сферы применения такого аудита, как правило, их различают несколько:

• полная проверка объектов, задействованных в процессах информатизации (компьютерные автоматизированные системы, средства коммуникации, приема, передачи и обработки информационных данных, технических средств, помещений для проведения конфиденциальных встреч, систем наблюдения и т.д.);
• проверка надежности защиты конфиденциальной информации с ограниченным доступом (определение возможных каналов утечки и потенциальных дыр в системе безопасности, позволяющих получить к ней доступ извне с использованием стандартных и нестандартных методов);
• проверка всех электронных технических средств и локальных компьютерных систем на предмет воздействия на них электромагнитного излучения и наводок, позволяющих отключить их или привести в негодность;
• проектная часть, включающая в себя работы по созданию концепции безопасности и применения ее в практическом исполнении (защита компьютерных систем, помещений, средств связи и т.д.).

Когда возникает необходимость проведения аудита?

Не говоря о критических ситуациях, когда защита уже была нарушена, аудит информационной безопасности в организации может проводиться и в некоторых других случаях.

Как правило, сюда включают расширение компании, слияния, поглощения, присоединения другими предприятиями, смену концепции курса бизнеса или руководства, изменения в международном законодательстве или в правовых актах внутри отдельно взятой страны, достаточно серьезных изменения в информационной инфраструктуре.

Виды аудита

Сегодня сама классификация такого типа аудита, по мнению многих аналитиков и экспертов, является не устоявшейся. Поэтому и разделение на классы в некоторых случаях может быть весьма условным. Тем не менее в общем случае аудит информационной безопасности можно разделить на внешний и внутренний.

Внешний аудит, проводимый независимыми экспертами, имеющими на это право, обычно представляет собой разовую проверку, которая может быть инициирована руководством предприятия, акционерами, правоохранительными органами и т.д. Считается, что внешний аудит информационной безопасности рекомендован (а не обязателен) для проведения регулярно в течение установленного промежутка времени. Но для некоторых организаций и предприятий, согласно законодательства, он является обязательным (например, финансовые учреждения и организации, акционерные общества и др.).

Информационной безопасности является процессом постоянным. Он базируется на специальном «Положении о внутреннем аудите». Что это такое? По сути, это аттестационные мероприятия, проводимые в организации, в сроки, утвержденные руководством. Проведение аудита информационной безопасности обеспечивается специальными структурными подразделением предприятия.

Альтернативная классификация видов аудита

Кроме выше описанного разделения на классы в общем случае, можно выделить еще несколько составляющих, принятых в международной классификации:

• экспертная проверка состояния защищенности информации и информационных систем на основе личного опыта экспертов, ее проводящих;
• аттестация систем и мер безопасности на предмет соответствия международным стандартам (ISO 17799) и государственным правовым документам, регулирующим эту сферу деятельности;
• анализ защищенности информационных систем с применением технических средств, направленный на выявление потенциальных уязвимостей в программно-аппаратном комплексе.

Иногда может применяться и так называемый комплексный аудит, который включает в себя все вышеперечисленные виды. Кстати, именно он дает наиболее объективные результаты.

Постановочные цели и задачи

Любая проверка, будь то внутренняя или внешняя, начинается с постановки целей и задач. Если говорить проще, нужно определить, зачем, что и как будет проверяться. Это и предопределит дальнейшую методику проведения всего процесса.

Поставленных задач, в зависимости от специфики структуры самого предприятия, организации, учреждения и его деятельности, может быть достаточно много. Однако среди всего этого выделяют унифицированные цели аудита информационной безопасности:

• оценка состояния защищенности информации и информационных систем;
• анализ возможных рисков, связанных с угрозой проникновения в ИС извне, и возможных методов осуществления такого вмешательства;
• локализация дыр и прорех в системе безопасности;
• анализ соответствия уровня безопасности информационных систем действующим стандартам и нормативно-правовым актам;
• разработка и выдача рекомендаций, предполагающих устранение существующих проблем, а также усовершенствование существующих средств защиты и внедрение новых разработок.

Методика и средства проведения аудита

Теперь несколько слов о том, как проходит проверка и какие этапы и средства она в себя включает.

Проведение аудита информационной безопасности состоит из нескольких основных этапов:

• инициирование процедуры проверки (четкое определение прав и обязанностей аудитора, подготовка аудитором плана проверки и его согласование с руководством, решение вопроса о границах проведения исследования, накладывание на сотрудников организации обязательства в помощи и своевременном предоставлении необходимой информации);
• сбор исходных данных (структура системы безопасности, распределение средств обеспечения безопасности, уровни функционирования системы безопасности, анализ методов получения и предоставления информации, определение каналов связи и взаимодействия ИС с другими структурами, иерархия пользователей компьютерных сетей, определение протоколов и т.д.);
• проведение комплексной или частичной проверки;
• анализ полученных данных (анализ рисков любого типа и соответствия стандартам);
• выдача рекомендаций по устранению возможных проблем;
• создание отчетной документации.

Первый этап является наиболее простым, поскольку его решение принимается исключительно между руководством предприятия и аудитором. Границы проведения анализа могут быть рассмотрены на общем собрании сотрудников или акционеров. Все это в большей степени относится к правовому полю.

Второй этап сбора исходных данных, будь то проведение внутреннего аудита информационной безопасности или внешней независимой аттестации, является наиболее ресурсоемким. Связано это с тем, что на этой стадии нужно не только изучить техническую документацию, касающуюся всего программно-аппаратного комплекса, но и провести узконаправленное интервьюирование сотрудников компании, причем в большинстве случаев даже с заполнением специальных опросных листов или анкет.

Что же касается технической документации, здесь важно получить данные о структуре ИС и приоритетных уровнях прав доступа к ней сотрудников, определить общесистемное и прикладное программное обеспечение (используемые операционные системы, приложения для ведения бизнеса, управления им и учета), а также установленные средства защиты софтверного и непрограммного типа (антивирусы, файрволлы и т.д.). Кроме того, сюда включается полная проверка сетей и провайдеров, предоставляющих услуги связи (организация сети, используемые протоколы для подключения, типы каналов связи, методы передачи и приема информационных потоков и многое другое). Как уже понятно, это занимает достаточно много времени.

На следующем этапе определяются методы аудита информационной безопасности. Их различают три:

• анализ рисков (самая сложная методика, базирующаяся на определении аудитором возможности проникновения в ИС и нарушения ее целостности с применением всех возможных методов и средств);
• оценка соответствия стандартам и законодательным актам (наиболее простой и самый практичный метод, основанный на сравнении текущего состояния дел и требований международных стандартов и внутригосударственных документов в сфере информационной безопасности);
• комбинированный метод, объединяющий два первых.

После получения результатов проверки начинается их анализ. Средства аудита информационной безопасности, которые применяются для анализа, могут быть достаточно разнообразными. Все зависит от специфики деятельности предприятия, типа информации, используемого программного обеспечения, средств защиты и пр. Однако, как можно заметить по первой методике, аудитору, главным образом, придется опираться на собственный опыт.

А это означает только то, что он должен обладать соответствующей квалификацией в сфере информационных технологий и защиты данных. На основе такого анализа аудитор и рассчитывает возможные риски.

Заметьте, он должен разбираться не только в операционных системах или программах, используемых, например, для ведения бизнеса или бухгалтерского учета, но и четко понимать, каким образом злоумышленник может проникнуть в информационную систему с целью кражи, порчи и уничтожения данных, создания предпосылок для нарушений в работе компьютеров, распространения вирусов или вредоносного ПО.

На основе проведенного анализа эксперт делает заключение о состоянии защиты и выдает рекомендации по устранению имеющихся или возможных проблем, модернизации системы безопасности и т.д. При этом рекомендации должны быть не только объективными, но и четко привязанными к реалиям специфики предприятия. Иными словами, советы по апгрейду конфигурации компьютеров или программного обеспечения не принимаются. В равной степени это относится и к советам по увольнению «ненадежных» сотрудников, установке новых систем слежения без конкретного указания их назначения, места установки и целесообразности.

Исходя из проведенного анализа, как правило, различают несколько групп рисков. При этом для составления сводного отчета используется два основных показателя: вероятность проведения атаки и ущерб, нанесенный компании в результате (потеря активов, снижение репутации, потеря имиджа и пр.). Однако показатели по группам не совпадают. Так, например, показатель низкого уровня для вероятности атаки является лучшим. Для ущерба - наоборот.

Только после этого составляется отчет, в котором детально расписываются все этапы, методы и средства проведенных исследований. Он согласовывается с руководством и подписывается двумя сторонами - предприятием и аудитором. Если аудит внутренний, составляет такой отчет глава соответствующего структурного подразделения, после чего он, опять же, подписывается руководителем.

Аудит информационной безопасности: пример

Наконец, рассмотрим самый простой пример ситуации, которая уже случалась. Многим, кстати, она может показаться очень знакомой.

Так, например, некий сотрудник компании, занимающейся закупками в США, установил на компьютер мессенджер ICQ (имя сотрудника и название фирмы не называется по понятным соображениям). Переговоры велись именно посредством этой программы. Но «аська» является достаточно уязвимой в плане безопасности. Сам сотрудник при регистрации номера на тот момент либо не имел адреса электронной почты, либо просто не захотел его давать. Вместо этого он указал что-то похожее на e-mail, причем даже с несуществующим доменом.

Что бы сделал злоумышленник? Как показал аудит информационной безопасности, он бы зарегистрировал точно такой же домен и создал бы в нем другой регистрационный терминал, после чего мог отослать сообщение в компанию Mirabilis, которая владеет сервисом ICQ, с просьбой восстановления пароля по причине его утери (что и было бы сделано). Поскольку сервер получателя не являлся почтовым, на нем был включен редирект - перенаправление на существующую почту злоумышленника.

Как результат, он получает доступ к переписке с указанным номером ICQ и сообщает поставщику об изменении адреса получателя товара в определенной стране. Таким образом, груз отправляется неизвестно куда. И это самый безобидный пример. Так, мелкое хулиганство. А что говорить о более серьезных хакерах, которые способны куда на большее…

Заключение

Вот вкратце и все, что касается аудита безопасности ИС. Конечно, здесь затронуты далеко не все его аспекты. Причина состоит только в том, что на постановку задач и методы его проведения влияет очень много факторов, поэтому подход в каждом конкретном случае строго индивидуален. К тому же методы и средства аудита информационной безопасности могут быть разными для различных ИС. Однако, думается, общие принципы таких проверок для многих станут понятными хотя бы на начальном уровне.

Сакральная фраза – «владение информацией – владение миром» актуальна как никогда. Потому, сегодня «красть информацию» присуща большинству злоумышленников. Избежать этого можно путем внедрения ряда защиты от атак, а также своевременное проведение аудита информационной безопасности. Аудит информационной безопасности – понятие новое, которое подразумевает актуально и динамическое развивающееся направление оперативного и стратегического менеджмента, которое касается безопасности информационной системы.

Информационный аудит – теоретические основы

Объем информации в современном мире растет стремительно быстро, так как во всем мире наблюдается тенденция глобализации использования компьютерной техники во всем слоях человеческого общества. В жизни рядового человека, информационные технологии являются основной составляющей.

Это выражается в использовании Интернета, как в рабочих целях, так и с целью игры и развлечения. Параллельно с развитием информационных технологий, растет монетизация сервисов, а значит и количество времени, которое затрачивается на совершение разных платежных операций с использованием пластиковых карт. В их число входит безналичный расчет за разные товары и потребленные услуги, транзакции в платежной системе онлайн банкинга, обмен валют, прочие платежные операции. Это все влияет на пространство во всемирной паутине, делая ее больше.

Информации о владельцах карт становится также, больше. Это является основой для расширения поля деятельности мошенников, которые на сегодняшний день, ухищряются произвести колоссальную массу атак, среди которых атаки поставщика услуг и конечного пользователя. В последнем случае, предотвратить атаку можно за счет использования соответствующего ПО, а вот если это касается вендора, необходимо применение комплекса мер, которые минимизируют перебои работы, утечку данных, взломы сервиса. Это осуществляется за счет своевременного проведения аудита информационной безопасности.

Задача, которую преследует информационные аудит лежит в своевременной и точной оценке состояния безопасности информации в текущий момент конкретного субъекта хозяйствования, а также соответствие поставленной цели и задачи ведения деятельности, с помощью которого должно производиться повышение рентабельности и эффективности экономической деятельности.

Иными словами, аудит информационной безопасности – это проверка того или иного ресурса на возможность противостоять потенциальным или реальным угрозам.

• Аудит информационной безопасности преследует следующие цели:
• Оценить состояние информационной системы информации на предмет защищенности.
• Аналитическом выявлении потенциальных рисков, которые связаны с внешним проникновением в информационную сеть.
• Выявлением локализации прорех в системе безопасности.
• Аналитическом выявлении соответствия между уровнем безопасности и действующим стандартам законодательной базы.
• Инициирование новых методов защиты, их внедрение на практике, а также создание рекомендаций, с помощью которых будет происходить усовершенствование проблем средств защиты, а также поиск новых разработок в данном направлении.

Применяется аудит при:

• Полной проверке объекта, который задействован в информационном процессе. Частности, речь идет о компьютерных системах, системах средств коммуникации, при приеме, передаче, а также обработке данных определенного объема информации, технических средств, систем наблюдения т.д.
• Полной проверке электронных технических средств, а также компьютерных системе на предмет воздействия излучения и наводок, которые будут способствовать их отключению.
• При проверке проектной части, в которые включены работы по созданию стратегий безопасности, а также их практического исполнения.
• Полной проверке надежности защиты конфиденциальной информации, доступ к которой ограничен, а также определение «дыр» с помощью которых данная информация обнародуется с применением стандартных и нестандартным мер.

Когда возникает необходимость проведения аудита?

Важно отметить, что необходимость проведения информационного аудита возникает при нарушении защиты данных. Также, проверка рекомендована к проведению при:

• Слиянии компании.
• Расширении бизнеса.
• Поглощении или присоединении.
• Смене руководства.

Виды аудита информационных систем

На сегодняшний день, существует внешний и внутренний информационный аудит.

Для внешнего аудита характерно привлечение посторонних, независимых экспертов, которые имеют право на осуществление таковой деятельности. Как правило, данный вид проверки носит разовый характер и инициируется руководителем предприятия, акционером или органами правоохранения. Проведение внешнего аудита не является обязательным, носит, скорее всего, рекомендованный характер. Однако есть нюансы, закрепленные законодательством, при которых внешний аудит информационной безопасности является обязательным. К примеру, под действие закона попадают финансовые учреждения, акционерные общества, а также финансовые организации.

Внутренний аудит безопасности информационных потоков представляет собой постоянный процесс, проведение которого регламентировано соответствующим документом «Положением о проведении внутреннего аудита». Это мероприятие, в рамках компании имеет аттестационный характер, проведение которого отрегулировано соответствующим приказом по предприятию. За счет проведения внутреннего аудита, в компании обеспечивается за счет специального подразделения в компании.

Аудит классифицируют также как:

• Экспертный.
• Аттестационный.
• Аналитический.

Экспертный включает в себя проверку состояния защиты информационных потоков и систем, которые основываются на опыте экспертов и тех, кто проводит эту проверку.

Аттестационный вид аудита касается систем, а также мер безопасности, в частности их соответствие принятым стандартам в международном обществе, а также соответствующими государственными документами, которые регулирую правовую основу данной деятельности.

Аналитический вид аудита касается проведения глубокого анализа информационной системы, с применением технических приспособлений. Данные действия должны быть направлены на то, чтобы выявить уязвимые места программно-аппаратного комплекса.

Методика и средства для проведения аудита на практике

Аудит проводится поэтапно и включает в себя:

Первый этап считается самым простым. Он определяет права и обязанности проводящего аудит, разработку пошагового плана действий и согласование с руководством. При этом на собрании сотрудников определяются границы анализа.

На втором этапе применяются большие объемы потребления ресурсов. Это обосновано тем, что изучается вся техническая документация, которая касается программно-аппаратного комплекса.

Третий этап проводится с помощью одного из трех методов, а именно:

• Анализа рисков.
• Анализа соответствия стандартам и законодательству.
• Комбинации анализа рисков и соответствия закона.

Четвертый этап позволяет систематизировать полученные данные провести глубокий анализ. При этом проверяющий обязательно должен быть компетентным в этом вопросе.

Как пройти , чтобы не возникло проблем? Для чего нужна такая проверка? Наша статья расскажет об этом.

Что такое аудиторская проверка и какие виды аудита бывают? Об этом написано .

Вы узнаете, что такое налоговая проверка и для каких целей она нужна.

После проведения проверки обязательно должно быть составлено заключение, которое отражено в соответствующем отчетном документе. В отчете, как правило, отражаются такие сведенья:

1. Регламент проведенного аудита.
2. Структуру системы информационных потоков на предприятии.
3. Какими методами и средствами была проведена проверка
4. Точное описание уязвимых мест и недостатков, с учетом риска и уровня недостатков.
5. Рекомендованные действия по устранению опасных мест, а также улучшению комплекса всей системы.
   Реальные практические советы, с помощью которых должны быть реализованы мероприятия, направлены на минимизацию рисков, которые были выявлены при проверке.

Аудит информационной безопасности на практике

На практике, довольно распространенным безобидным примером, является ситуация при которой сотрудник А, занимающийся закупками торгового оборудования вел переговоры с помощью определенной программы «В».

При этом сама программа является уязвимой, а при регистрации, сотрудник не указал ни электронного адреса, ни номера, а использовал альтернативный абстрактный адрес почты с несуществующим доменом.

По итогу, злоумышленник может зарегистрировать аналогичный домен и создать регистрационный терминал. Это позволит ему отправлять сообщения компании, которая владеет сервисом программы «В», с просьбой выслать утерянный пароль. При этом сервер будет отправлять почту на существующий адрес мошенника, так как у него работает редирект. В результате этой операции, мошенник имеет доступ к переписке, оглашает поставщику иные информационные данные, и управляет направлением груза по неизвестному, для сотрудника, направлению.

Актуальность информационного аудита в современном мире, становится все более востребование, в виду роста числа пользователей, как пространства всемирной паутины, так и применения различных способов монетизации в различных сервисах. Таким образом, данные каждого из пользователей становятся доступными для злоумышленников. Защитить их можно путем выявления очага проблемы – слабых мест информационных потоков.

Вконтакте