Банковское обозрение. Как провести аудит информационной безопасности

Сакральная фраза – «владение информацией – владение миром» актуальна как никогда. Потому, сегодня «красть информацию» присуща большинству злоумышленников. Избежать этого можно путем внедрения ряда защиты от атак, а также своевременное проведение аудита информационной безопасности. Аудит информационной безопасности – понятие новое, которое подразумевает актуально и динамическое развивающееся направление оперативного и стратегического менеджмента, которое касается безопасности информационной системы.

Информационный аудит – теоретические основы

Объем информации в современном мире растет стремительно быстро, так как во всем мире наблюдается тенденция глобализации использования компьютерной техники во всем слоях человеческого общества. В жизни рядового человека, информационные технологии являются основной составляющей.

Это выражается в использовании Интернета, как в рабочих целях, так и с целью игры и развлечения. Параллельно с развитием информационных технологий, растет монетизация сервисов, а значит и количество времени, которое затрачивается на совершение разных платежных операций с использованием пластиковых карт. В их число входит безналичный расчет за разные товары и потребленные услуги, транзакции в платежной системе онлайн банкинга, обмен валют, прочие платежные операции. Это все влияет на пространство во всемирной паутине, делая ее больше.

Информации о владельцах карт становится также, больше. Это является основой для расширения поля деятельности мошенников, которые на сегодняшний день, ухищряются произвести колоссальную массу атак, среди которых атаки поставщика услуг и конечного пользователя. В последнем случае, предотвратить атаку можно за счет использования соответствующего ПО, а вот если это касается вендора, необходимо применение комплекса мер, которые минимизируют перебои работы, утечку данных, взломы сервиса. Это осуществляется за счет своевременного проведения аудита информационной безопасности.

Задача, которую преследует информационные аудит лежит в своевременной и точной оценке состояния безопасности информации в текущий момент конкретного субъекта хозяйствования, а также соответствие поставленной цели и задачи ведения деятельности, с помощью которого должно производиться повышение рентабельности и эффективности экономической деятельности.

Иными словами, аудит информационной безопасности – это проверка того или иного ресурса на возможность противостоять потенциальным или реальным угрозам.

• Аудит информационной безопасности преследует следующие цели:
• Оценить состояние информационной системы информации на предмет защищенности.
• Аналитическом выявлении потенциальных рисков, которые связаны с внешним проникновением в информационную сеть.
• Выявлением локализации прорех в системе безопасности.
• Аналитическом выявлении соответствия между уровнем безопасности и действующим стандартам законодательной базы.
• Инициирование новых методов защиты, их внедрение на практике, а также создание рекомендаций, с помощью которых будет происходить усовершенствование проблем средств защиты, а также поиск новых разработок в данном направлении.

Применяется аудит при:

• Полной проверке объекта, который задействован в информационном процессе. Частности, речь идет о компьютерных системах, системах средств коммуникации, при приеме, передаче, а также обработке данных определенного объема информации, технических средств, систем наблюдения т.д.
• Полной проверке электронных технических средств, а также компьютерных системе на предмет воздействия излучения и наводок, которые будут способствовать их отключению.
• При проверке проектной части, в которые включены работы по созданию стратегий безопасности, а также их практического исполнения.
• Полной проверке надежности защиты конфиденциальной информации, доступ к которой ограничен, а также определение «дыр» с помощью которых данная информация обнародуется с применением стандартных и нестандартным мер.

Когда возникает необходимость проведения аудита?

Важно отметить, что необходимость проведения информационного аудита возникает при нарушении защиты данных. Также, проверка рекомендована к проведению при:

• Слиянии компании.
• Расширении бизнеса.
• Поглощении или присоединении.
• Смене руководства.

Виды аудита информационных систем

На сегодняшний день, существует внешний и внутренний информационный аудит.

Для внешнего аудита характерно привлечение посторонних, независимых экспертов, которые имеют право на осуществление таковой деятельности. Как правило, данный вид проверки носит разовый характер и инициируется руководителем предприятия, акционером или органами правоохранения. Проведение внешнего аудита не является обязательным, носит, скорее всего, рекомендованный характер. Однако есть нюансы, закрепленные законодательством, при которых внешний аудит информационной безопасности является обязательным. К примеру, под действие закона попадают финансовые учреждения, акционерные общества, а также финансовые организации.

Внутренний аудит безопасности информационных потоков представляет собой постоянный процесс, проведение которого регламентировано соответствующим документом «Положением о проведении внутреннего аудита». Это мероприятие, в рамках компании имеет аттестационный характер, проведение которого отрегулировано соответствующим приказом по предприятию. За счет проведения внутреннего аудита, в компании обеспечивается за счет специального подразделения в компании.

Аудит классифицируют также как:

• Экспертный.
• Аттестационный.
• Аналитический.

Экспертный включает в себя проверку состояния защиты информационных потоков и систем, которые основываются на опыте экспертов и тех, кто проводит эту проверку.

Аттестационный вид аудита касается систем, а также мер безопасности, в частности их соответствие принятым стандартам в международном обществе, а также соответствующими государственными документами, которые регулирую правовую основу данной деятельности.

Аналитический вид аудита касается проведения глубокого анализа информационной системы, с применением технических приспособлений. Данные действия должны быть направлены на то, чтобы выявить уязвимые места программно-аппаратного комплекса.

Методика и средства для проведения аудита на практике

Аудит проводится поэтапно и включает в себя:

Первый этап считается самым простым. Он определяет права и обязанности проводящего аудит, разработку пошагового плана действий и согласование с руководством. При этом на собрании сотрудников определяются границы анализа.

На втором этапе применяются большие объемы потребления ресурсов. Это обосновано тем, что изучается вся техническая документация, которая касается программно-аппаратного комплекса.

Третий этап проводится с помощью одного из трех методов, а именно:

• Анализа рисков.
• Анализа соответствия стандартам и законодательству.
• Комбинации анализа рисков и соответствия закона.

Четвертый этап позволяет систематизировать полученные данные провести глубокий анализ. При этом проверяющий обязательно должен быть компетентным в этом вопросе.

Как пройти , чтобы не возникло проблем? Для чего нужна такая проверка? Наша статья расскажет об этом.

Что такое аудиторская проверка и какие виды аудита бывают? Об этом написано .

Вы узнаете, что такое налоговая проверка и для каких целей она нужна.

После проведения проверки обязательно должно быть составлено заключение, которое отражено в соответствующем отчетном документе. В отчете, как правило, отражаются такие сведенья:

1. Регламент проведенного аудита.
2. Структуру системы информационных потоков на предприятии.
3. Какими методами и средствами была проведена проверка
4. Точное описание уязвимых мест и недостатков, с учетом риска и уровня недостатков.
5. Рекомендованные действия по устранению опасных мест, а также улучшению комплекса всей системы.
   Реальные практические советы, с помощью которых должны быть реализованы мероприятия, направлены на минимизацию рисков, которые были выявлены при проверке.

Аудит информационной безопасности на практике

На практике, довольно распространенным безобидным примером, является ситуация при которой сотрудник А, занимающийся закупками торгового оборудования вел переговоры с помощью определенной программы «В».

При этом сама программа является уязвимой, а при регистрации, сотрудник не указал ни электронного адреса, ни номера, а использовал альтернативный абстрактный адрес почты с несуществующим доменом.

По итогу, злоумышленник может зарегистрировать аналогичный домен и создать регистрационный терминал. Это позволит ему отправлять сообщения компании, которая владеет сервисом программы «В», с просьбой выслать утерянный пароль. При этом сервер будет отправлять почту на существующий адрес мошенника, так как у него работает редирект. В результате этой операции, мошенник имеет доступ к переписке, оглашает поставщику иные информационные данные, и управляет направлением груза по неизвестному, для сотрудника, направлению.

Актуальность информационного аудита в современном мире, становится все более востребование, в виду роста числа пользователей, как пространства всемирной паутины, так и применения различных способов монетизации в различных сервисах. Таким образом, данные каждого из пользователей становятся доступными для злоумышленников. Защитить их можно путем выявления очага проблемы – слабых мест информационных потоков.

Вконтакте

В статье обобщается практика проведения аудита безопасности информационных систем (ИС), дается понятие аудита безопасности, рассматриваются цели его проведения, применяемые методы и этапы выполнения работ, методы анализа и управления рисками, используемые аудиторами, и средства их реализации, действующие стандарты и системы сертификации ИС, в рамках которых проводится аудит безопасности.

Александр Астахов, CISA, 2002

Эпиграф

• Содействовать приведению информационных систем в соответствие с принятыми стандартами и руководствами;
• Осуществлять свою деятельность в соответствии со стандартами в области аудита информационных систем, принятыми ISACA;
• Действовать в интересах работодателей, акционеров, клиентов и общества в старательной, лояльной и честной манере;
• Сознательно не принимать участия в незаконной, либо недобросовестной деятельности;
• Соблюдать конфиденциальность информации, полученной при выполнении своих должностных обязанностей;
• Не использовать конфиденциальную информацию для получения личной выгоды и не передавать ее третьим лицам без разрешения ее владельца;
• Выполнять свои должностные обязанности, оставаясь независимым и объективным;
• Избегать деятельности, которая ставит по угрозу независимость аудитора;
• Поддерживать на должном уровне свою компетентность в областях знаний, связанных с проведением аудита информационных систем, принимая участие в профессиональных мероприятиях;
• Проявлять старательность при получении и документировании фактографических материалов, на которых базируются выводы и рекомендации аудитора;
• Информировать все заинтересованные стороны о результатах проведения аудита;
• Способствовать повышению осведомленности руководства организаций, клиентов и общества в вопросах, связанных с проведением аудита информационных систем;
• Соответствовать высоким этическим стандартам в профессиональной и личной деятельности;
• Совершенствовать свои личностные качества.

Этический кодекс аудитора информационных систем
(ISACA Code of Professional Ethics)

Понятие аудита безопасности и цели его проведения

Аудит представляет собой независимую экспертизу отдельных областей функционирования организации. Различают внешний и внутренний аудит. Внешний аудит – это, как правило, разовое мероприятие, проводимое по инициативе руководства организации или акционеров. Рекомендуется проводить внешний аудит регулярно, а, например, для многих финансовых организаций и акционерных обществ это является обязательным требованием. Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании «Положения о внутреннем аудите» и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации. Аудит безопасности информационных систем является одной из составляющих ИТ аудита. Целями проведения аудита безопасности являются:

анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС

Примечание:

Пожалуй, этим и исчерпывается набор целей проведения аудита безопасности, но только в том случае, если речь идет о внешнем аудите. В число дополнительных задач, стоящих перед внутренним аудитором, помимо оказания помощи внешним аудиторам, могут также входить:

• разработка политик безопасности и других организационно-распорядительных документом по защите информации и участие в их внедрении в работу организации;
• постановка задач для ИТ персонала, касающихся обеспечения защиты информации;
• участие в обучении пользователей и обслуживающего персонала ИС вопросам обеспечения информационной безопасности;
• участие в разборе инцидентов, связанных с нарушением информационной безопасности;
• и другие.

Необходимо отметить, что все перечисленные выше «дополнительные» задачи, стоящие перед внутренним аудитором, за исключением участия в обучении, по существу аудитом не являются. Аудитор по определению должен осуществлять независимую экспертизу реализации механизмов безопасности в организации, что является одним из основных принципов аудиторской деятельности. Если аудитор принимает деятельное участие в реализации механизмов безопасности, то независимость аудитора утрачивается, а вместе с ней утрачивается и объективность его суждений, т. к. аудитор не может осуществлять независимый и объективных контроль своей собственной деятельности. Однако, на практике, внутренний аудитор, порой, являясь наиболее компетентным специалистом в организации в вопросах обеспечения информационной безопасности, не может оставаться в стороне от реализации механизмов защиты. (А если он таким специалистам не является, то какая от него может быть практическая польза?) К тому же почти всегда существует дефицит квалифицированных кадров именно в этой области.

По крайней мере, деятельное участие во внедрении той же подсистемы аудита безопасности, которая смогла бы предоставлять аудитору исходные данные для анализа текущей ситуации, он принять может и должен. Конечно, в этом случае, аудитор уже не сможет объективно оценить реализацию этот подсистемы и она естественным образом выпадает из плана проведения аудита. Точно также, внутренний аудитор может принять деятельное участие в разработке политик безопасности, предоставив возможность оценивать качество этих документов внешним аудиторам.

Этапность работ по проведению аудита безопасности информационных систем

Работы по аудиту безопасности ИС включают в себя ряд последовательных этапов, которые в целом соответствуют этапам проведения комплексного ИТ аудита АС, который включает в себя следующее:

• Сбор информации аудита
• Анализ данных аудита
• Выработка рекомендаций
• Подготовка аудиторского отчета

Инициирование процедуры аудита

Аудит проводится не по инициативе аудитора, а по инициативе руководства компании, которое в данном вопросе является основной заинтересованной стороной. Поддержка руководства компании является необходимым условием для проведения аудита.

Аудит представляет собой комплекс мероприятий, в которых помимо самого аудитора, оказываются задействованными представители большинства структурных подразделений компании. Действия всех участников этого процесса должны быть скоординированы. Поэтому на этапе инициирования процедуры аудита должны быть решены следующие организационные вопросы:

• права и обязанности аудитора должны быть четко определены и документально закреплены в его должностных инструкциях, а также в положении о внутреннем (внешнем) аудите;
• аудитором должен быть подготовлен и согласован с руководством план проведения аудита;
• в положении о внутреннем аудите должно быть закреплено, в частности, что сотрудники компании обязаны оказывать содействие аудитору и предоставлять всю необходимую для проведения аудита информацию.

На этапе инициирования процедуры аудита должны быть определены границы проведения обследования. Одни информационные подсистемы компании не являются достаточно критичными и их можно исключить из границ проведения обследования. Другие подсистемы могут оказаться недоступными для аудита из-за соображений конфиденциальности.

Границы проведения обследования определяются в следующих терминах:

• Список обследуемых физических, программных и информационных ресурсов;
• Площадки (помещения), попадающие в границы обследования;
• Основные виды угроз безопасности, рассматриваемые при проведении аудита;
• Организационные (законодательные, административные и процедурные), физические, программно-технические и прочие аспекты обеспечения безопасности, которые необходимо учесть в ходе проведения обследования, и их приоритеты (в каком объеме они должны быть учтены).

План и границы проведения аудита обсуждается на рабочем собрании, в котором участвуют аудиторы, руководство компании и руководители структурных подразделений.

Сбор информации аудита

Этап сбора информации аудита, является наиболее сложным и длительным. Это связано с отсутствием необходимой документации на информационную систему и с необходимостью плотного взаимодействия аудитора со многими должностными лицами организации.

Компетентные выводы относительно положения дел в компании с информационной безопасностью могут быть сделаны аудитором только при условии наличия всех необходимых исходных данных для анализа. Получение информации об организации, функционировании и текущем состоянии ИС осуществляется аудитором в ходе специально организованных интервью с ответственными лицами компании, путем изучения технической и организационно-распорядительной документации, а также исследования ИС с использованием специализированного программного инструментария. Остановимся на том, какая информация необходима аудитору для анализа.

Обеспечение информационной безопасности организации – это комплексный процесс, требующий четкой организации и дисциплины. Он должен начинаться с определения ролей и распределения ответственности среди должностных лиц, занимающихся информационной безопасностью. Поэтому первый пункт аудиторского обследования начинается с получения информации об организационной структуре пользователей ИС и обслуживающих подразделений. В связи с этим аудитору требуется следующая документация:

• Схема организационной структуры пользователей;
• Схема организационной структуры обслуживающих подразделений.

Обычно, в ходе интервью аудитор задает опрашиваемым следующие вопросы:

• Кто является владельцем информации?
• Кто является пользователем (потребителем) информации?
• Кто является провайдером услуг?

Назначение и принципы функционирования ИС во многом определяют существующие риски и требования безопасности, предъявляемые к системе. Поэтому на следующем этапе аудитора интересует информация о назначении и функционировании ИС. Аудитор задает опрашиваемым примерно следующие вопросы:

• Какие услуги и каким образом предоставляются конечным пользователям?
• Какие основные виды приложений, функционирует в ИС?
• Количество и виды пользователей, использующих эти приложения?

Ему понадобиться также следующая документация, конечно, если таковая вообще имеется в наличие (что, вообще говоря, случается нечасто):

• Функциональные схемы;
• Описание автоматизированных функций;
• Описание основных технических решений;
• Другая проектная и рабочая документация на информационную систему.

Далее, аудитору требуется более детальная информация о структуре ИС. Это позволит уяснить, каким образом осуществляется распределение механизмов безопасности по структурным элементам и уровням функционирования ИС. Типовые вопросы, которые обсуждаются в связи с этим во время интервью, включают в себя:

• Из каких компонентов (подсистем) состоит ИС?
• Функциональность отдельных компонент?
• Где проходят границы системы?
• Какие точки входа имеются?
• Как ИС взаимодействует с другими системами?
• Какие каналы связи используются для взаимодействия с другими ИС?
• Какие каналы связи используются для взаимодействия между компонентами системы?
• По каким протоколам осуществляется взаимодействие?
• Какие программно-технические платформы используются при построении системы?

На этом этапе аудитору необходимо запастись следующей документацией:

• Структурная схема ИС;
• Схема информационных потоков;
• Описание структуры комплекса технических средств информационной системы;
• Описание структуры программного обеспечения;
• Описание структуры информационного обеспечения;
• Размещение компонентов информационной системы.

Подготовка значительной части документации на ИС, обычно, осуществляется уже в процессе проведения аудита. Когда все необходимые данные по ИС, включая документацию, подготовлены, можно переходить к их анализу.

Анализ данных аудита

Используемые аудиторами методы анализа данных определяются выбранными подходами к проведению аудита, которые могут существенно различаться.

Первый подход, самый сложный, базируется на анализе рисков. Опираясь на методы анализа рисков, аудитор определяет для обследуемой ИС индивидуальный набор требований безопасности, в наибольшей степени учитывающий особенности данной ИС, среды ее функционирования и существующие в данной среде угрозы безопасности. Данный подход является наиболее трудоемким и требует наивысшей квалификации аудитора. На качество результатов аудита, в этом случае, сильно влияет используемая методология анализа и управления рисками и ее применимость к данному типу ИС.

Второй подход, самый практичный, опирается на использование стандартов информационной безопасности. Стандарты определяют базовый набор требований безопасности для широкого класса ИС, который формируется в результате обобщения мировой практики. Стандарты могут определять разные наборы требований безопасности, в зависимости от уровня защищенности ИС, который требуется обеспечить, ее принадлежности (коммерческая организация, либо государственное учреждение), а также назначения (финансы, промышленности, связь и т.п.). От аудитора в данном случае требуется правильно определить набор требований стандарта, соответствие которым требуется обеспечить для данной ИС. Необходима также методика, позволяющая оценить это соответствие. Из-за своей простоты (стандартный набор требований для проведения аудита уже заранее определен стандартом) и надежности (стандарт - есть стандарт и его требования никто не попытается оспорить), описанный подход наиболее распространен на практике (особенно при проведении внешнего аудита). Он позволяет при минимальных затратах ресурсов делать обоснованные выводы о состоянии ИС.

Третий подход, наиболее эффективный, предполагает комбинирование первых двух. Базовый набор требований безопасности, предъявляемых к ИС, определяется стандартом. Дополнительные требования, в максимальной степени учитывающие особенности функционирования данной ИС, формируются на основе анализа рисков. Этот подход является намного проще первого, т.к. большая часть требований безопасности уже определена стандартом, и, в то же время, он лишен недостатка второго подхода, заключающего в том, что требования стандарта могут не учитывать специфики обследуемой ИС.

В чем заключается анализ рисков и управление рисками?

Анализ рисков - это то, с чего должно начинаться построение любой системы информационной безопасности. Он включает в себя мероприятия по обследованию безопасности ИС, с целью определения того какие ресурсы и от каких угроз надо защищать, а также в какой степени те или иные ресурсы нуждаются в защите. Определение набора адекватных контрмер осуществляется в ходе управления рисками. Риск определяется вероятностью причинения ущерба и величиной ущерба, наносимого ресурсам ИС, в случае осуществления угрозы безопасности.

Анализ рисков состоит в том, чтобы выявить существующие риски и оценить их величину (дать им качественную, либо количественную оценку). Процесс анализа рисков можно разделить на несколько последовательных этапов:

• Идентификация ключевых ресурсов ИС;
• Определение важности тех или иных ресурсов для организации;
• Идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз;
• Вычисление рисков, связанных с осуществлением угроз безопасности.

Ресурсы ИС можно разделить на следующие категории:

• Информационные ресурсы;
• Программное обеспечение;
• Технические средства (серверы, рабочие станции, активное сетевое оборудование и т. п.);
• Людские ресурсы.

В каждой категории ресурсы делятся на классы и подклассы. Необходимо идентифицировать только те ресурсы, которые определяют функциональность ИС и существенны с точки зрения обеспечения безопасности.

Важность (или стоимость) ресурса определяется величиной ущерба, наносимого в случае нарушения конфиденциальности, целостности или доступности этого ресурса. Обычно рассматриваются следующие виды ущерба:

• Данные были раскрыты, изменены, удалены или стали недоступны;
• Аппаратура была повреждена или разрушена;
• Нарушена целостность программного обеспечения.

Ущерб может быть нанесен организации в результате успешного осуществления следующих видов угроз безопасности:

• локальные и удаленные атаки на ресурсы ИС;
• стихийные бедствия;
• ошибки, либо умышленные действия персонала ИС;
• сбои в работе ИС, вызванные ошибками в программном обеспечении или неисправностями аппаратуры.

Под уязвимостями обычно понимают свойства ИС, делающие возможным успешное осуществление угроз безопасности.

Величина риска определяется на основе стоимости ресурса, вероятности осуществления угрозы и величины уязвимости по следующей формуле:

Риск = (стоимость ресурса * вероятность угрозы) / величина уязвимости

Задача управления рисками заключается в выборе обоснованного набора контрмер, позволяющих снизить уровни рисков до приемлемой величины. Стоимость реализации контрмер должна быть меньше величины возможного ущерба. Разница между стоимостью реализации контрмер и величиной возможного ущерба должна быть обратно пропорциональна вероятности причинения ущерба.

Использование методов анализа рисков

Если для проведения аудита безопасности выбран подход, базирующийся на анализе рисков, то на этапе анализа данных аудита обычно выполняются следующие группы задач:

• Анализ ресурсов ИС, включая информационные ресурсы, программные и технические средства, а также людские ресурсы
• Анализ групп задач, решаемых системой, и бизнес процессов
• Построение (неформальной) модели ресурсов ИС, определяющей взаимосвязи между информационными, программными, техническими и людскими ресурсами, их взаимное расположение и способы взаимодействия
• Оценка критичности информационных ресурсов, а также программных и технических средств
• Определение критичности ресурсов с учетом их взаимозависимостей
• Определение наиболее вероятных угроз безопасности в отношении ресурсов ИС и уязвимостей защиты, делающих возможным осуществление этих угроз
• Оценка вероятности осуществления угроз, величины уязвимостей и ущерба, наносимого организации в случае успешного осуществления угроз
• Определение величины рисков для каждой тройки: угроза – группа ресурсов – уязвимость
• Перечисленный набор задач, является достаточно общим. Для их решения могут использоваться различные формальные и неформальные, количественные и качественные, ручные и автоматизированные методики анализа рисков. Суть подхода от этого не меняется.

Оценка рисков может даваться с использованием различных как качественных, так и количественных шкал. Главное, чтобы существующие риски были правильно идентифицированы и проранжированы в соответствии со степенью их критичности для организации. На основе такого анализа может быть разработана система первоочередных мероприятий по уменьшению величины рисков до приемлемого уровня.

Оценка соответствия требованиям стандарта

В случае проведения аудита безопасности на соответствие требованиям стандарта, аудитор, полагаясь на свой опыт, оценивает применимость требований стандарта к обследуемой ИС и ее соответствие этим требованиям. Данные о соответствии различных областей функционирования ИС требованиям стандарта, обычно, представляются в табличной форме. Из таблицы видно, какие требования безопасности в системе не реализованы. Исходя из этого, делаются выводы о соответствии обследуемой ИС требованиям стандарта и даются рекомендации по реализации в системе механизмов безопасности, позволяющих обеспечить такое соответствие.

Рекомендации, выдаваемые аудитором по результатам анализа состояния ИС, определяются используемым подходом, особенностями обследуемой ИС, состоянием дел с информационной безопасностью и степенью детализации, используемой при проведении аудита.

В любом случае, рекомендации аудитора должны быть конкретными и применимыми к данной ИС, экономически обоснованными, аргументированными (подкрепленными результатами анализа) и отсортированными по степени важности. При этом мероприятия по обеспечению защиты организационного уровня практически всегда имеют приоритет над конкретными программно-техническими методами защиты.

В то же время, наивно ожидать от аудитора, в качестве результата проведения аудита, выдачи технического проекта подсистемы информационной безопасности, либо детальных рекомендаций по внедрению конкретных программно технических средств защиты информации. Это требует более детальной проработки конкретных вопросов организации защиты, хотя, внутренние аудиторы могут принимать в этих работах самое активное участие.

Подготовка отчетных документов

Аудиторский отчет является основным результатом проведения аудита. Его качество характеризует качество работы аудитора. Структура отчета может существенно различаться в зависимости от характера и целей проводимого аудита. Однако определенные разделы должны обязательно присутствовать в аудиторском отчете. Он должен, по крайней мере, содержать описание целей проведения аудита, характеристику обследуемой ИС, указание границ проведения аудита и используемых методов, результаты анализа данных аудита, выводы, обобщающие эти результаты и содержащие оценку уровня защищенности АС или соответствие ее требованиям стандартов, и, конечно, рекомендации аудитора по устранению существующих недостатков и совершенствованию системы защиты.

Для примера, приведем образец структуры аудиторского отчета по результатам анализа рисков, связанных с осуществлением угроз безопасности в отношении обследуемой ИС.

Структура отчета по результатам аудита безопасности ИС и анализу рисков

1. Вводная часть

• 1.1 Введение
• 1.2 Цели и задачи проведения аудита
• 1.3 Описание ИС
• 1.3.1 Назначение и основные функции системы
• 1.3.2 Группы задач, решаемых в системе
• 1.3.3 Классификация пользователей ИС
• 1.3.4 Организационная структура обслуживающего персонала ИС
• 1.3.5 Структура и состав комплекса программно-технических средств ИС
• 1.3.6 Виды информационных ресурсов, хранимых и обрабатываемых в системе
• 1.3.7 Структура информационных потоков
• 1.3.8 Характеристика каналов взаимодействия с другими системами и точек входа
• 1.4 Границы проведения аудита
• 1.4.1 Компоненты и подсистемы ИС, попадающие в границы проведения аудита
• 1.4.2 Размещение комплекса программно-технических средств ИС по площадкам (помещениям)
• 1.4.3 Основные классы угроз безопасности, рассматриваемых в ходе проведения аудита
• 1.5 Методика проведения аудита
• 1.5.1 Методика анализа рисков
• 1.5.2 Исходные данные
• 1.5.3 Этапность работ
• 1.6 Структура документ

2. Оценка критичности ресурсов ИС

• 2.1 Критерии оценки величины возможного ущерба, связанного с осуществлением угроз безопасности
• 2.2 Оценка критичности информационных ресурсов
• 2.2.1 Классификация информационных ресурсов
• 2.2.2 Оценка критичности по группам информационных ресурсов
• 2.3 Оценка критичности технических средств
• 2.4 Оценка критичности программных средств
• 2.5 Модель ресурсов ИС, описывающая распределение ресурсов по группам задач

3. Анализ рисков, связанных с осуществлением угроз безопасности в отношении ресурсов ИС

• 3.1 Модель нарушителя информационной безопасности
• 3.1.1 Модель внутреннего нарушителя
• 3.1.2 Модель внешнего нарушителя
• 3.2 Модель угроз безопасности и уязвимостей информационных ресурсов
• 3.2.1 Угрозы безопасности, направленные против информационных ресурсов
• 3.2.1.1 Угрозы несанкционированного доступа к информации при помощи программных средств
• 3.2.1.2 Угрозы, осуществляемые с использованием штатных технических средств
• 3.2.1.3 Угрозы, связанные с утечкой информации по техническим каналам
• 3.2.2 Угрозы безопасности, направленные против программных средств
• 3.2.3 Угрозы безопасности направленные против технических средств
• 3.3 Оценка серьезности угроз безопасности и величины уязвимостей
• 3.3.1 Критерии оценки серьезности угроз безопасности и величины уязвимостей
• 3.3.2 Оценка серьезности угроз
• 3.3.3 Оценка величины уязвимостей
• 3.4 Оценка рисков для каждого класса угроз и группы ресурсов

4. Выводы по результатам обследования

• 5.1 Рекомендуемые контрмеры организационного уровня
• 5.2 Рекомендуемые контрмеры программно-технического уровня

Обзор программных продуктов, предназначенных для анализа и управления рисками

В настоящее время имеется большое разнообразие как методов анализа и управления рисками, так и реализующих их программных средств. Приведем примеры некоторых, по мнению автора, наиболее распространенных.

CRAMM

Метод CRAMM (the UK Goverment Risk Analysis and Managment Method) был разработан Службой Безопасности Великобритании (UK Security Service) по заданию Британского правительства и взят на вооружение в качестве государственного стандарта. Он используется, начиная с 1985 г. правительственными и коммерческими организациями Великобритании. За это время CRAMM приобрел популярность во всем мире. Фирма Insight Consulting Limited занимается разработкой и сопровождением одноименного программного продукта, реализующего метод CRAMM.

Метод CRAMM выбран нами для более детального рассмотрения и это не случайно. В настоящее время CRAMM – это довольно мощный и универсальный инструмент, позволяющий, помимо анализа рисков, решать также и ряд других аудиторских задач, включая:

• Проведение обследования ИС и выпуск сопроводительной документации на всех этапах его проведения;

В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетая количественные и качественные методы анализа. Метод является универсальным и подходит как для больших, так и для мелких организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (profiles). Для коммерческих организаций имеется Коммерческий профиль (Commercial Profile), для правительственных организаций – Правительственный профиль (Government profile). Правительственный вариант профиля, также позволяет проводить аудит на соответствие требованиям американского стандарта ITSEC («Оранжевая книга»).

Грамотное использование метода CRAMM позволяет получать очень хорошие результаты, наиболее важным из которых, пожалуй, является возможность экономического обоснования расходов организации на обеспечение информационной безопасности и непрерывности бизнеса. Экономически обоснованная стратегия управления рисками позволяет, в конечном итоге, экономить средства, избегая неоправданных расходов.

CRAMM предполагает разделение всей процедуры на три последовательных этапа. Задачей первого этапа является ответ на вопрос: «Достаточно ли для защиты системы применения средств базового уровня, реализующих традиционные функции безопасности, или необходимо проведение более детального анализа?» На втором этапе производится идентификация рисков и оценивается их величина. На третьем этапе решается вопрос о выборе адекватных контрмер.

Методика CRAMM для каждого этапа определяет набор исходных данных, последовательность мероприятий, анкеты для проведения интервью, списки проверки и набор отчетных документов.

Если по результатам проведения первого этапа, установлено, что уровень критичности ресурсов является очень низким и существующие риски заведомо не превысят некоторого базового уровня, то к системе предъявляются минимальный набор требований безопасности. В этом случае большая часть мероприятий второго этапа не выполняется, а осуществляется переход к третьему этапу, на котором генерируется стандартный список контрмер для обеспечения соответствия базовому набору требований безопасности.

На втором этапе производится анализ угроз безопасности и уязвимостей. Исходные данные для оценки угроз и уязвимостей аудитор получает от уполномоченных представителей организации в ходе соответствующих интервью. Для проведения интервью используются специализированные опросники.

На третьем этапе решается задача управления рисками, состоящая в выборе адекватных контрмер.

Решение о внедрении в систему новых механизмов безопасности и модификация старых принимает руководство организации, учитывая связанные с этим расходы, их приемлемость и конечную выгоду для бизнеса. Задачей аудитора является обоснование рекомендуемых контрмер для руководства организации.

В случае принятия решения о внедрении новых контрмер и модификации старых, на аудитора может быть возложена задача подготовки плана внедрения новых контрмер и оценки эффективности их использования. Решение этих задач выходит за рамки метода CRAMM.

Концептуальная схема проведения обследования по методу CRAMM показана на рисунке.

Процесс анализа и управления рисками по методу CRAMM

Процедура аудита в методе CRAMM является формализованной. На каждом этапе генерируется довольно большое количество промежуточных и результирующих отчетов.

Так, на первом этапе создаются следующие виды отчетов:

• Модель ресурсов, содержащая описание ресурсов, попадающих в границы исследования, и взаимосвязей между ними;
• Оценка критичности ресурсов;
• Результирующий отчет по первому этапу анализа рисков, в котором суммируются результаты, полученные в ходе обследования.

На втором этапе проведения обследования создаются следующие виды отчетов:

• Результаты оценки уровня угроз и уязвимостей;
• Результаты оценки величины рисков;
• Результирующий отчет по второму этапу анализа рисков.

По результатам третьего этапа обследования создаются следующие виды отчетов:

• Рекомендуемые контрмеры;
• Детальная спецификация безопасности;
• Оценка стоимости рекомендуемых контрмер;
• Список контрмер, отсортированный в соответствии с их приоритетами;
• Результирующий отчет по третьему этапу обследования;
• Политика безопасности, включающая в себя описание требований безопасности, стратегий и принципов защиты ИС;
• Список мероприятий по обеспечению безопасности.

Грамотно применять метод CRAMM в состоянии только высококвалифицированный аудитор, прошедший обучение. Если организация не может себе позволить содержать в штате такого специалиста, тогда самым правильным решением будет приглашение аудиторской фирмы, располагающей штатом специалистов, имеющих практический опыт применения метода CRAMM.

Обобщая практический опыт использования метода CRAMM при проведении аудита безопасности, можно сделать следующие выводы, относительно сильных и слабых сторон этого метода:

К сильным сторонам метода CRAMM относится следующее:

• CRAMM является хорошо структурированным и широко опробованным методом анализа рисков, позволяющим получать реальные практические результаты;
• Программный инструментарий CRAMM может использоваться на всех стадиях проведения аудита безопасности ИС;
• В основе программного продукта лежит достаточно объемная база знаний по контрмерам в области информационной безопасности, базирующаяся на рекомендациях стандарта BS 7799;
• Гибкость и универсальность метода CRAMM позволяет использовать его для аудита ИС любого уровня сложности и назначения;
• CRAMM можно использовать в качестве инструмента для разработки плана непрерывности бизнеса и политик информационной безопасности организации;
• CRAMM может использоваться в качестве средства документирования механизмов безопасности ИС.

К недостаткам метода CRAMM можно отнести следующее:

• Использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора;
• CRAMM в гораздо большей степени подходит для аудита уже существующих ИС, находящихся на стадии эксплуатации, нежели чем для ИС, находящихся на стадии разработки;
• Аудит по методу CRAMM – процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора;
• Программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике;
• CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся;
• Возможность внесения дополнений в базу знаний CRAMM не доступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации.

RiskWatch

Программное обеспечение RiskWatch, разрабатываемое американской компанией RiskWatch, Inc., является мощным средством анализа и управления рисками. В семейство RiskWatch входят программные продукты для проведения различных видов аудита безопасности. Оно включает в себя следующие средства аудита и анализа рисков:

• RiskWatch for Physical Security –для физических методов защиты ИС;
• RiskWatch for Information Systems – для информационных рисков;
• HIPAA-WATCH for Healthcare Industry – для оценки соответствия требованиям стандарта HIPAA;
• RiskWatch RW17799 for ISO17799 – для оценки требованиям стандарта ISO17799.

В методе RiskWatch в качестве критериев для оценки и управления рисками используются «предсказание годовых потерь» (Annual Loss Expectancy – ALE) и оценка «возврата от инвестиций» (Return on Investment – ROI). Семейство программных продуктов RiskWatch, имеет массу достоинств. К недостаткам данного продукта можно отнести его относительно высокую стоимость.

COBRA

Система COBRA (Consultative Objective and Bi-Functional Risk Analysis), разрабатываемая компанией Risk Associates, является средством анализа рисков и оценки соответствия ИС стандарту ISO17799. COBRA реализует методы количественной оценки рисков, а также инструменты для консалтинга и проведения обзоров безопасности. При разработке инструментария COBRA были использованы принципы построения экспертных систем, обширная база знаний по угрозам и уязвимостям, а также большое количество вопросников, с успехом применяющихся на практике. В семейство программных продуктов COBRA входят COBRA ISO17799 Security Consultant, COBRA Policy Compliance Analyst и COBRA Data Protection Consultant.

Buddy System

Программный продукт Buddy System, разрабатываемый компанией Countermeasures Corporation, является еще одним программным продуктом, позволяющим осуществлять как количественный, так и качественный анализ рисков. Он содержит развитые средства генерации отчетов. Основной акцент при использовании Buddy System делается на информационные риски, связанные с нарушением физической безопасности и управление проектами.

Стандарты, используемые при проведении аудита безопасности информационных систем

В настоящем разделе дается обзор стандартов информационной безопасности, являющихся наиболее значимыми и перспективными с точки зрения их использования для проведения аудита безопасности ИС.

Результатом проведения аудита, в последнее время, все чаще становится сертификат, удостоверяющих соответствие обследуемой ИС требованиям признанного международного стандарта. Наличие такого сертификата позволяет организации получать конкурентные преимущества, связанные с большим доверием со стороны клиентов и партнеров.

Значение международных стандартов ISO17799 и ISO15408 трудно переоценить. Эти стандарты служат основой для проведения любых работ в области информационной безопасности, в том числе и аудита. ISO17799 сосредоточен на вопросах организации и управления безопасностью, в то время как ISO15408 определяет детальные требования, предъявляемые к программно-техническим механизмам защиты информации.

Спецификация SysTrust выбрана для рассмотрения, т.к. она в настоящее время достаточно широко используется аудиторскими компаниями, традиционно выполняющими финансовый аудит для своих клиентов и предлагающих услугу ИТ аудита в качестве дополнения к финансовому аудиту.

Немецкий стандарт «BSI\IT Baseline Protection Manual» содержит, пожалуй, наиболее содержательное руководство по обеспечению безопасности ИТ и представляет несомненную практическую ценность для всех специалистов, занимающихся вопросами информационной безопасности.

Практические стандарты и руководства по обеспечению информационной безопасности, разрабатываемые в рамках проекта SCORE, ориентированны на технических специалистов и являются в техническом плане наиболее совершенными в настоящее время.

Программа сертификации Интернет сайтов по требованиям информационной безопасности и соответствующая спецификация «SANS/GIAC Site Certification», предложенная институтом SANS, заслуживает рассмотрения в связи с неизменно возрастающей актуальностью вопросов защиты ИС организаций от атак со стороны сети Интернет и увеличением доли соответствующих работ при проведении аудита безопасности.

ISO 17799: Code of Practice for Information Security Management

Наиболее полно критерии для оценки механизмов безопасности организационного уровня представлены в международном стандарте ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной безопасностью), принятом в 2000 году. ISO 17799 был разработан на основе британского стандарта BS 7799.

ISO 17799 может использоваться в качестве критериев для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты.

Практические правила разбиты на следующие 10 разделов:

• Политика безопасности
• Организация защиты
• Классификация ресурсов и их контроль
• Безопасность персонала
• Физическая безопасность
• Администрирование компьютерных систем и вычислительных сетей
• Управление доступом
• Разработка и сопровождение информационных систем
• Планирование бесперебойной работы организации
• Контроль выполнения требований политики безопасности

Десять средств контроля, предлагаемых в ISO 17799 (они обозначены как ключевые), считаются особенно важными. Под средствами контроля в данном контексте понимаются механизмы управления информационной безопасностью организации.

При использовании некоторых из средств контроля, например, шифрования данных, могут потребоваться советы специалистов по безопасности и оценка рисков, чтобы определить, нужны ли они и каким образом их следует реализовывать. Для обеспечения более высокого уровня защиты особенно ценных ресурсов или оказания противодействия особенно серьезным угрозам безопасности, в ряде случаев могут потребоваться более сильные средства контроля, которые выходят за рамки ISO 17799.

Десять ключевых средств контроля, перечисленные ниже, представляют собой либо обязательные требования, например, требования действующего законодательства, либо считаются основными структурными элементами информационной безопасности, например, обучение правилам безопасности. Эти средства контроля актуальны для всех организаций и сред функционирования АС и составляют основу системы управления информационной безопасностью.

Ключевыми являются следующие средства контроля:

• документ о политике информационной безопасности;
• распределение обязанностей по обеспечению информационной безопасности;
• обучение и подготовка персонала к поддержанию режима информационной безопасности;
• уведомление о случаях нарушения защиты;
• средства защиты от вирусов;
• планирование бесперебойной работы организации;
• контроль над копированием программного обеспечения, защищенного законом об авторском праве;
• защита документации организации;
• защита данных;
• контроль соответствия политике безопасности.

Процедура аудита безопасности ИС включает в себя проверку наличия перечисленных ключевых средств контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования. Составной частью работ по аудиту безопасности ИС также является анализ и управление рисками.

ISO 15408: Common Criteria for Information Technology Security Evaluation

Наиболее полно критерии для оценки механизмов безопасности программно-технического уровня представлены в международном стандарте ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие критерии оценки безопасности информационных технологий), принятом в 1999 году.

Общие критерии оценки безопасности информационных технологий (далее «Общие критерии») определяют функциональные требования безопасности (security functional requirements) и требования к адекватности реализации функций безопасности (security assurance requirements).

При проведении работ по анализу защищенности ИС, «Общие критерии» целесообразно использовать в качестве основных критериев, позволяющих оценить уровень защищенности АС с точки зрения полноты реализованных в ней функций безопасности и надежности реализации этих функций.

Хотя применимость «Общих критериев» ограничивается механизмами безопасности программно-технического уровня, в них содержится определенный набор требований к механизмам безопасности организационного уровня и требований по физической защите, которые непосредственно связаны с описываемыми функциями безопасности.

Первая часть «Общих критериев» содержит определение общих понятий, концепции, описание модели и методики проведения оценки безопасности ИТ. В ней вводится понятийный аппарат, и определяются принципы формализации предметной области.

Требования к функциональности средств защиты приводятся во второй части «Общих критериев» и могут быть непосредственно использованы при анализе защищенности для оценки полноты реализованных в ИС функций безопасности.

Третья часть «Общих критериев», наряду с другими требованиями к адекватности реализации функций безопасности, содержит класс требований по анализу уязвимостей средств и механизмов защиты под названием AVA: Vulnerability Assessment. Данный класс требований определяет методы, которые должны использоваться для предупреждения, выявления и ликвидации следующих типов уязвимостей:

• Наличие побочных каналов утечки информации;
• Ошибки в конфигурации, либо неправильное использование системы, приводящее к переходу системы в небезопасное состояние;
• Недостаточная надежность (стойкость) механизмов безопасности, реализующих соответствующие функции безопасности;
• Наличие уязвимостей («дыр») в средствах защиты информации, позволяющих пользователям получать НСД к информации в обход существующих механизмов защиты.

При проведении работ по аудиту безопасности, данные требования могут использоваться в качестве руководства и критериев для анализа уязвимостей ИС.

SysTrust

По существу, аудит в области информационных технологий, хотя и не имеет никакого отношения к финансовому аудиту, часто является дополнением к нему в качестве коммерческой услуги, предлагаемой аудиторскими фирмами своим клиентам, в связи с повышением зависимости бизнеса клиентов от ИТ. Идея заключается в том, что использование надежных и безопасных ИТ систем до определенной степени гарантирует надежность финансовой отчетности организации. Хорошие результаты ИТ аудита в некоторых случаях позволяют проводить финансовый аудит в сокращенном варианте, экономя время и деньги клиентов.

Отвечая потребностям бизнеса, Американским Институтом Сертифицированных Публичных Бухгалтеров (American Institute of Certified Public Accountants (AICPA)) и Канадским Институтом Общественных Бухгалтеров (Canadian Institute of Chartered Accountants (CICA)) разработали стандарт SysTrust для проведения ИТ аудита, который является дополнением к финансовому аудиту. SysTrust позволяет финансовым аудиторам расширить область своей деятельности, путем использования простого и понятного набора требований для оценки надежности и безопасности ИС.

В стандарте SysTrust ИС оценивается в терминах ее доступности (Availability), безопасности (Security), целостности (Integrity) и эксплуатационной надежности (Maintainability).

Под доступностью традиционно понимается возможность ИС предоставлять информационные сервисы в любых режимах функционирования и при любых нагрузках, предусмотренных условиями ее эксплуатация, с задержками, не превышающими установленные требования.

Под безопасностью понимается защищенность ИС от физического и логического несанкционированного доступа. В качестве средств обеспечения безопасности в основном рассматриваются средства разграничения физического и логического доступа к ресурсам ИС.

Под целостностью понимается возможность ИС обеспечить сохранение таких свойств обрабатываемой в системе информации как полнота, точность, актуальность, своевременность и аутентичность.

Эксплуатационная надежность ИС определяется возможностью изменения конфигурации и обновления системы для обеспечения таких ее свойств как доступность, безопасность и целостность.

Критерии для оценки описанных четырех свойств ИС определены в документе «AICPA/CICA SysTrust Principles and Criteria for Systems Reliability, Version 2.0» (Принципы и критерии для оценки надежности систем).

В ходе сертификации по требованиям стандарта SysTrust (SysTrust engagement) аудитор оценивает соответствие ИС критериям доступности, безопасности, целостности и эксплуатационной надежности (SysTrust Principles and Criteria), проверяя наличие в системе необходимых механизмов контроля. Затем аудитор производит тестирование механизмов контроля с целью определения их работоспособности и эффективности. Если в результате тестирования подтверждается соответствие ИС критериям SysTrust, аудитор выпускает отчет по аттестации (unqualified attestation report). В отчете формулируется выводы относительно полноты и эффективности реализации руководством организации механизмов контроля в аттестуемой ИС. В дополнение к отчету по аттестации, аудитор готовит общее описание обследуемой ИС. Во многих случаях также готовится утверждение руководства организации (management"s assertion) относительно эффективности механизмов контроля, позволяющих обеспечить соответствие ИС критериям SysTrust. Обследование ИС и оценка ее соответствия критериям SysTrust производится в соответствии с «Руководством по Проведению Аттестации» (“Statement on Standards for Attestation Engagements (SSAE) No. 10, Attestation Standards, AT sec. 101"Attest Engagements"”.)

BSI\IT Baseline Protection Manual

Немецкий стандарт "Руководство по обеспечению безопасности ИТ базового уровня" (IT Baseline Protection Manual) разрабатывается Агенством Информационной Безопасность Германии (BSI - Bundesamt für Sicherheit in der Informationstechnik (German Information Security Agency).

Этот документ является пожалуй самым содержательным руководством по информационной безопасности и по многим параметрам превосходит все остальные стандарты. Приятен также тот факт, что этот ценнейший для аудитора источник информации имеется в свободном доступе в сети Интернет. В нем содержаться подробные руководства по обеспечению информационной безопасности применительно к различным аспектам функционирования ИС и различным областям ИТ.

Стандарт в настоящее время занимает три тома и содержит около 1600 страниц текста.

«BSI\IT Baseline Protection Manual» постоянно совершенствуется с целью обеспечения его соответствия текущему состоянию дел в области безопасности ИТ. К настоящему времени накоплена уникальная база знаний, содержащая информацию по угрозам и контрмерам в хорошо структурированном виде.

Практические стандарты SCORE и программа сертификации SANS/GIAC Site Certification

SCORE (Security Consensus Operational Readiness Evaluation) является совместным проектом института SANS и Центра безопасности Интернет (Center for Internet Security(CIS)). Профессионалы-практики в области информационной безопасности из различных организаций объединились в рамках проекта SCORE с целью разработки базового (минимально необходимого) набора практических стандартов и руководств по обеспечению безопасности для различных операционных платформ. Требования и рекомендации, предлагаемые для включения в стандарты, широко обсуждаются и проверяются участниками проекта SCORE, и только после их одобрения всеми участниками, передаются в CIS, который занимается их формализацией и оформлением, а также разрабатывает программные средства (minimum standards benchmarks) для оценки соответствия операционных платформ предложенным стандартам.

Разработанные базовые стандарты вместе с руководствами по обеспечению соответствия этим стандартам и средствами тестирования публикуются на Интернет сайте CIS.

Программа сертификации Интернет сайтов (GIAC Site Certification program), предложенная институтом SANS, позволяет организациям проводить аудит безопасности сегментов компьютерной сети, непосредственно подключенных к сети Интернет, в соответствии со стандартами SCORE.

Программа сертификации «GIAC Site Certification» определяет три уровня защищенности Интернет сайтов. На практике, в настоящее время, используются только первые два из них.

Сертификация сайта на первом уровне предполагает проверку внешних сетевых адресов организации, видимых из сети Интернет, на предмет уязвимости соответствующих хостов в отношении сетевых атак. На этом уровне должна быть обеспечена защита сайта от наиболее распространенных атак. Требуется отсутствие наиболее серьезных и часто встречающихся уязвимостей защиты. Предъявляются также определенные требования к уровню квалификации специалистов, отвечающих за обеспечение безопасности сайта.

На втором уровне требуется проведение всех проверок и соблюдение всех требований первого уровня, а кроме того требуется осуществлять периодический пересмотр политики и процедур обеспечения сетевой безопасности. Также на втором уровне производится проверка защищенности сайта от сетевых атак путем осуществления попыток проникновения и взлома систем, подключенных к сети Интернет.

На третьим уровне, помимо обеспечения соответствия всем требованиям второго уровня, требуется также регулярно проводить сканирование сети изнутри с целью защиты от угроз со стороны внутренних нарушителей, а также внешних злоумышленников, пытающихся преодолеть механизмы защиты внешнего периметра сети путем использования продвинутых методов, включая методы социального инженеринга.

От уровня к уровню ужесточаются требования, предъявляемые к квалификации специалистов, организационной структуре подразделений, занимающихся вопросами защиты, наличию формальных политик и процедур, а также строгости и глубине тестов, используемых для проверки механизмов защиты Интернет-сайта организации.

Выводы

Аудит представляет собой независимую экспертизу отдельных областей функционирования организации, проводимую по инициативе ее руководства или акционеров, либо в соответствии с планом проведения внутреннего аудита. Основными целями проведения аудита безопасности являются:

• анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС;
• оценка текущего уровня защищенности ИС;
• локализация узких мест в системе защиты ИС;
• оценка соответствия ИС существующим стандартам в области информационной безопасности;
• выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.

Работы по аудиту безопасности ИС включают в себя ряд последовательных этапов:

• Инициирование обследования
• Сбор информации
• Анализ полученных данных
• Выработка рекомендаций
• Подготовка отчета по результатам обследования
• Подходы к проведению аудита безопасности могут базироваться на анализе рисков, опираться на использование стандартов информационной безопасности, либо объединять оба эти подхода.

В настоящее время имеется большое разнообразие как методов анализа и управления рисками, так и реализующих их программных средств. Некоторые из них были рассмотрены в настоящей статье.

Одним из наиболее мощных и универсальных инструментов, анализа рисков является метод CRAMM. Программное обеспечение CRAMM, помимо анализа и управления рисками, позволяет решать также и ряд других аудиторских задач, включая:

• Проведение обследования ИС и выпуск сопроводительной документации на всех этапах проведения обследования;
• Проведение аудита в соответствии с требованиями Британского правительства, а также стандарта BS 7799:1995 - Code of Practice for Information Security Management BS7799;
• Разработка политики безопасности и плана обеспечения непрерывности бизнеса.

Грамотное использование метода CRAMM позволяет получать хорошие результаты, наиболее важным из которых, пожалуй, является возможность экономического обоснования расходов организации на обеспечение информационной безопасности и непрерывности бизнеса.

Результатом проведения аудита, в последнее время, все чаще становится сертификат, удостоверяющих соответствие обследуемой ИС требованиям признанного международного стандарта. В настоящей статье рассмотрено несколько стандартов и программ сертификации, имеющих практическое значение.

Международные стандарты ISO17799 и ISO15408 служат основой для проведения любых работ в области информационной безопасности, в том числе и аудита. ISO17799 сосредоточен на вопросах организации и управления безопасностью, в то время как ISO15408 определяет детальные требования, предъявляемые к программно-техническим механизмам защиты информации.

Спецификация SysTrust в настоящее время достаточно широко используется аудиторскими компаниями, традиционно выполняющими финансовый аудит для своих клиентов и предлагающих услугу ИТ аудита в качестве дополнения к финансовому аудиту.

Немецкий стандарт «BSI\IT Baseline Protection Manual» является наиболее содержательным руководством по обеспечению безопасности ИТ и представляет несомненную практическую ценность для всех специалистов, занимающихся вопросами информационной безопасности.

Практические стандарты и руководства по обеспечению информационной безопасности, разрабатываемые в рамках проекта SCORE, ориентированны на технических специалистов и являются в техническом плане наиболее совершенными.

Программа сертификации Интернет сайтов по требованиям информационной безопасности и соответствующая спецификация «SANS/GIAC Site Certification», совсем недавно предложенная институтом SANS, безусловно, заслуживает внимания в связи с неизменно возрастающей актуальностью вопросов защиты ИС организаций от атак со стороны сети Интернет и увеличением доли соответствующих работ при проведении аудита безопасности.

Литература и ссылки

• ISACA Russia Chapter. CISA Exam Preparation Course. April-May 2001.
• CRAMM v.4.0 User’s Guide.
• What is CRAMM? http://www.gammassl.co.uk/topics/hot5.html
• SANS/GIAC Site Certification Program, http://www.sans.org/SCORE
• SysTrust Services, http://www.aicpa.org/assurance/systrust/index.htm
• Ernst&Young (CIS) Limited, Independent Accountant"s Report, https://processcertify.ey.com/vimpelcom2/vimpelcom_opinion.html
• BSI/IT Baseline Protection Manual, http://www.bsi.bund.de/gshb/english/menue.htm
• Александр Астахов. Анализ защищенности автоматизированных систем, GLOBALTRUST.RU, 2002 г.,

Целью сбора информации является формирование свидетельств ау­дита.

Процесс сбора и обработки информации осуществляется по следую­щей схеме:

Выбор источников информации;

Сбор информации;

Формирование свидетельств аудита.

Выбор источников информации

Выбор источников информации осуществляется аудитором в зави­симости от объема и сложности проверки.

Источниками исходной информации для аудитора в ходе проверки выступают:

Документы, регламентирующие деятельность подразделения и/или процессы (положение о подразделении, должностные инст­рукции, процедуры, рабочие инструкции, методики, приказы, распоряжения, разрешения и др.),

Планы, акты, регистрационные журналы (журналы измерений), протоколы совещаний, программы и журналы обучения, средства труда, компьютерные базы, элементы инфраструктуры, произ­водственная среда и др.

Источником информации для аудитора могут быть данные, полученные за пределами аудитируемого подразделения, на­пример, от службы качества, от других подразделении и пр.

Методы сбора информации

Метод сбора информации – способ решения задачи, связанной со сбором информации.

Информация, относящаяся к целям, объектам и критериям аудиторской проверки, собирается аудитором различными методами.

Осмотр

Осмотр – обследование, сделанное в ходе проверки и основанное зрительном восприятии аудитора.

Известно, что благодаря зрению, человек получает до 85% поступающей к нему информации.

В ходе осмотра аудитор ищет главным образом материальные доказательства соответствия. Это особенно важно при проверке, проводимой в производственных помещениях, в лабораториях, на складах хранения про­дукции и т.п.

Объекты осмотра:

Документация – процедуры и записи (наличие, состояние, доступность);

Производственная среда – состояние рабочих мест (соответст­вие технологии, обеспечение безопасности);

Инфраструктура – оборудование, оснастка, инструмент, энерго­обеспечение, транспорт, связь (наличие, состояние, соответствие технологии);

Средства измерения, контроля и испытаний (наличие, состояние, соответствие технологии, метрологическим правилам и нормам);

Персонал (наличие, квалификация, поведение);

Продукция (порядок обращения, соответствие технологии).

При осмотре аудитор должен быть внимателен к деталям.

Опрос

Опрос - метод получения первичной информации об объеме ауди­торской проверки в виде ответов на вопросы. В приложении Ж приведены рекомендации по организации и технике беседы.

Опрос может проводиться в форме анкетирования (посредством оп­росного листа) или в форме непосредственной беседы (интервью). В приложении Ж приведены рекомендации по организации и технике беседы.

Методы проверки информации и формирования наблюдений аудита

Результатом сбора информации являются свидетельства аудита.

Свидетельство аудита – записи, изложение фактов или другая ин­формация, которые связаны с критериями аудита и могут быть провере­ны .

Свидетельства аудита могут быть качественными или количествен­ными.

С помощью методов проверки информации на базе собранных сви­детельств аудита формируются наблюдения аудита.

Наблюдения аудита - результаты оценки собранных свидетельств аудита в зависимости от критериев аудита.

Наблюдения аудита могут указывать на соответствие или несоот­ветствие критериям аудита или на возможности улучшения.

Наблюдения, в свою очередь, являются основой заключения по ре­зультатам аудита.

Выходные данные аудита, предоставленные группой по аудиту после рассмотрения целей аудита и всех наблюдений аудита.

К методам проверки информации и формирования наблюдений ау­дита относятся:

Доказательство

Оценивание.

Анализ

Анализ свидетельств аудита

Свидетельства аудита и любая другая информация, собранная в ходе аудита, анализируется с точки зрения целей аудиторской проверки. Для использования данных свидетельств для формирования наблюдений ауди­та, они должны быть систематизированы, обобщены и тщательно проана­лизированы, включая при необходимости статистические методы.

В ходе аналитического анализа важно отделить существенную ин­формацию от несущественной («выделить сигнал из шума»).

Для тех свидетельств, которые вызывают сомнения аудитора (на­пример, правильность интерпретации полученной информации), необхо­димо применить метод доказательства, обсудить в аудиторской группе, и только после такого обсуждения может быть принято окончательное ре­шение о формировании наблюдения аудита, к примеру, использование статистических методов.

Статистические методы

В тех случаях, когда получаемые аудитором данные имеют ко­личественную форму (например, данные результатов технического кон­троля, данные о количестве обнаруженных несоответствий, данные о при­чинах несоответствий и др.) их целесообразно представлять и ана­лизировать с помощью статистических методов.

Статистические приёмы используются во многих областях обслуживания и производства. Многие из этих приемов пригодны и для аудита. Наиболее часто встречающие инструменты, используемые на стадиях подготовки и проведения аудита:

· контрольные листы;

· анализ воспроизводимости оборудования;

· анализ воспроизводимости процесса;

· анализ Парето;

· планы выборочного контроля и проверки;

· кривые операционных характеристик;

· блок-схемы процессов/прослеживание;

· мозговой штурм;

· диаграммы причин и результатов;

· контрольные карты.

Эти средства могут пригодиться и аудиторам, и проверяемым. Эти приёмы – способ демонстрации продукции или услуги, которые нуждаются в улучшении. Примерами могут служить:

· несоответствие продукции (поступающие отчёты о проверке, отказы в эксплуатации и т.д.);

· низкая воспроизводимость процесса (параметры продукции находятся внутри поля допуска, но не центрированы);

· анализ стоимости продукции, обслуживания и проектирования;

· анализ эксплуатации (оценивание качества в ходе производства как альтернатива выходному контролю; число контейнеров с правильной маркировкой и неправильно обработанных заказов потребителей и т.д.).

Инспекция на месте. Обнаруживающий выборочный контроль

В ходе аудита для локализации хронических случаев несоответствия и неподтверждения системы качества, процессов или их элементов используется обнаруживающий выборочный контроль. Такой контроль предполагает, что отклонение случается с заданной вероятностью.

Объём выборки основан на вероятности того, что в неё попадает, по крайней мере, одно изделие с отклонением. Вот несколько примеров применения выборочного контроля:

· установленное число вопросов опросного листа, применимых к определённой категории проблем для обнаружения зоны несоответствия;

· если обнаружена рабочая инструкция, действующая без утверждения. В этом случае можно провести обнаруживающий выборочный контроль в различных отделах для определения того, действительно ли проблема имеет хронический характер, указывающий на «находку» аудита .

Выборочный обнаруживающий контроль требует большого числа образцов для достижения высоких уровней значимости даже там, хронические проблемы были очевидны в прошлом. Успешное пользование такого контроля зависит от частоты событий. Чем выше частота события, тем меньше образцов потребуется.

Естественно, если выявлено несоответствие для одного аспекта системы, аналогичные аспекты стоит проверить на предмет такие же несоответствия.

Выборочный контроль/проверка

Во время аудита системы мало времени для проверки определённых параметров. Выборочный контроль приходится ограничивать. В общем, несколько образцов достаточно, чтобы определить статус продукции или процесса (например, горсть деталей, случайно выбранных сверху, из середины и со дна контейнера, или проверка нескольких письменных документов). Наилучшее место для взятия образцов – области взаимодействия процесса и продукции (т.е. конец этапа).

При записи выборочных данных отмечается следующее:

· место взятых образцов (стадия процесса, участок, станок);

· наименование и номер детали;

· номер партии или другие идентификаторы;

· время и дата;

· непрерывные или дискретные результаты;

· любые наблюдения, которые могут повлиять на процесс (продукцию).

В зависимости от вида аудита, его цели и отведенного времени может понадобиться разработка планов выборочного контроля. Выборочный контроль применяется для:

· локализации проблемы в процессе;

· обеспечения информации об уровнях переделок и отходов;

· определения соответствия параметрам процесса;

· определения воспроизводимости.

Эти планы надо подготовить до проведения аудита. В связи с фактором времени стандартные выборочные планы более пригодны для внутреннего, чем внешнего аудита.

Прослеживание/блок-схемы (схемы потоков)

Другая широко применяемая и эффективная форма инспекции «на месте» - прослеживание. Здесь полезно использование блок-схемы. Можно изучать эффективность, соответствие или прослеживаемость продукции или процессы, делая выборки на каждой стадии, зафиксированной в блок-схеме процесса либо производства изделия. Это может вовлечь несколько отделов. Продукция или её часть можно исследовать следующими методами:

· Прослеживание вперёд. Обследование с «головы» процесса производства продукции, оказания, услуги или выполнения заказа до «хвоста» либо с иной заданной точки до конца до конца и, наконец, с другой заданной точки далее вниз по цепи процесса. Это полезно для получения целостной картины и определения практичности схемы;

· Прослеживание назад. Обратное прослеживаемости вперёд. Начинается от «хвоста» процесса производства продукции, оказания услуги или выполнения заказа и идёт к «голове» процесса либо к заданной точке. Преимущество этого метода – использование сведений о результате процесса. Эффективность других процессов можно оценивать по вкладу в желаемый результат;

· Случайный отбор (случайная проверка). Это не форма прослеживания, а альтернативный вариант, когда персонал и время ограничены. Случайный отбор может оказаться единственным методом, доступным аудитору. Недостатки: приходится делать много записей и труднее понять схему операций или процесса. Преимущества: аудит можно проводить более гибко и экономить время.

Прослеживание позволяет аудитору определить:

· где слабые места процесса или процедуры;

· есть ли ненужные, неэффективные, повторяющиеся шаги процесса или процедуры;

· какая стадия служит источником большинства проблем;

· общее состояние процесса и системы.

Отклонения от заданных значений должны рассматриваться в качестве потенциала для улучшений. При этом также необходимо проверять, не изменились ли действующие правила и целесообразны ли были проведённые изменения.

По возможности, каждое установленное отклонение должно немедленно устраняться, в целях исключений в последующем трудоёмкого дополнительного отслеживания мероприятий по устранению выявленных отклонений.

Необходимые мероприятия по улучшениям, которые не могут быть сразу реализованы, должны быть выработаны совместно с руководством подразделения и документированы в виде корректирующих мероприятий. Их пригодность для достижения поставленных целей должна быть основана.

Доказательство

Значимыми характеристиками аудиторского доказательства яв­ляются его достоверность и достаточность. Доказательство считается дос­товерным, если оно вызывает доверие аудитора, является объективным и проверяемым. Достаточность доказательства определяется его полнотой, что в большой мере зависит от объема собранной информации. Несоблю­дение требований к доказательству обесценивает результат аудиторской проверки.

Ниже приводится ряд положений, знание которых может быть полезным аудитору в этой области:

Свидетельства составляют основу аудиторского заключения и, сле­довательно, без необходимых доказательств такое заключение не может быть достоверным;

Получая свидетельства о соблюдении процедур (инструкций), ауди­тор должен быть уверен, что эти процедуры будут соблюдаться и в будущем, по крайней мере, до следующей аудиторской проверки;

Достоверность аудиторского свидетельства зависит от многих фак­торов, но прежде всего от степени его подтверждения и квалификации ау­дитора;

Чем достовернее свидетельство, тем ниже уровень риска оши­бочного аудиторского заключения (следует отметить, что никто не сво­боден от ошибочных выводов и поэтому определенные элементы риска присущи и аудиторскому заключению).

Объективными свидетельствами соответствия при проведении ауди­торской проверки являются факты, подтверждающие:

Идентичность (повторяемость по времени и местам применения) практических действий правилам и нормам, установленным в документа­ции системы менеджмента качества и (или) экологии;

Выполнение требований тех разделов ИСО 9001 и ИСО 14001, ко­торые необязательны для документирования в организации;

Наличие и выполнение запланированных мероприятий в области качества и (или) охраны окружающей среды;

Оценивание результативности процессов;

Результативность корректирующих и предупреждающих де­йствий;

Постоянное улучшение деятельности, процессов и систем ме­неджмента в целом.

Оценивание

Свидетельство аудита оценивается с точки зрения критериев аудита. Результаты такого оценивания рассматриваются как наблюдение аудита.

Наблюдения аудита могут указывать либо на соответствие, либо на несоответствие критериям аудита, либо на возможность улучшения. При этом особого внимания аудитора заслуживают обнаруженные несоответст­вия. Оценивание несоответствий осуществляется путем их классификации на значительные, малозначительные и уведомления.

При оценивании свидетельств существует ве­роятность ошибочных (неправильных) выводов и, как следствие, неправильного заключения по результатам аудиторской проверки. Веро­ятность неправильных выводов уменьшается при использовании объ­ективных данных, т.е. данных, основанных на измерениях.

Заключение по результатам аудита

Заключение аудиторской группы по результатам аудиторской про­верки может содержать итоговую оценку:

Степени соответствия процесса, деятельности подразделения или системы менеджмента в целом критериям аудита;

результативности и эффективности процесса, деятельности подразделения или системы менеджмента в целом;

способности руководства обеспечивать постоянную адекват­ность и результативность процесса, деятельности подразделения или системы менеджмента в целом;

правильности установления показателей результативности и эффективности процесса;

возможности улучшения процесса, деятельности подразделения или системы менеджмента в целом.

При оценке степени соответствия объекта аудиторской проверки (отдельное подразделение или несколько подразделений, участвующих в выполнении определенного процесса) аудиторская группа должна полу­чить однозначные ответы на вопросы:

Можно ли утверждать, что персонал аудитируемого подразде­ления (нескольких подразделений) знает, имеет в своем распоряжении, по­нимает и использует обязательные для него документы системы ме­неджмента качества?

Подтверждается ли соблюдение требований документов системы менеджмента качества и (или) экологии необходимыми регистрационными данными, фактами и другими свидетельствами?

Все ли требования документов, используемых в подразделении (подразделениях), обеспечивают достижение целей подразделения (под­разделений) в области качества?

При оценке результативности внедрения, поддержания и совер­шенствования объекта аудита аудиторская группа должна получить ответы на вопросы:

Достигнуты ли запланированные результаты в проверенном про­цессе, деятельности подразделения или системы менеджмента в целом?

Достаточно ли эффективно используются выделенные ресурсы для осуществления процесса, деятельности подразделения или системы менеджмента в целом?

При оценке способности руководства обеспечивать постоянную аде­кватность и результативность процесса, деятельности подразделения или системы менеджмента качества в целом группа аудиторов должна полу­чить ответы на вопросы:

Подтверждается ли, что процесс, деятельность подразделения или система менеджмента в целом функционирует в управляемых условиях?

Можно ли утверждать, что руководством выделяются ресурсы, достаточные для результативного функционирования процесса, дея­тельности подразделения или системы менеджмента в целом?

При оценивании возможности улучшения деятельности аудиторская группа должна получить ответы на вопросы:

Имеется ли необходимость и реальная возможность улучшить процесс (сокращение времени, затрат, повышение качества, уменьшение отрицательного воздействия на окружающую среду), деятельность подраз­деления или системы менеджмента в целом?

Заключение должно правдиво и точно отражать деятельность ауди­торской группы.

Заключение может быть напечатанным или рукописным и оформ­ляться в виде собственно «Заключения», или «Акта проверки». Заключе­ние согласовывается и подписывается всеми членами аудиторской группы.

Если в ходе аудита выявлены несоответствия, то оформленные про­токолы по выявленным несоответствиям включаются в заключение в виде приложения.

После обсуждения итогов по результатам проверки на заключительном совещании или с руководителем аудитируемого подразделения, Заключение в окончательном виде включается в отчет об аудиторской проверке.

Похожая информация.

Сегодня всем известна чуть ли не сакральная фраза о том, что владеющий информацией владеет миром. Именно поэтому в наше время красть пытаются все кому не лень. В связи с этим принимаются и беспрецедентные шаги по внедрению средств защиты от возможных атак. Однако иногда может потребоваться провести аудит предприятия. Что это такое и зачем все это нужно, сейчас и попробуем разобраться.

Что представляет собой аудит информационной безопасности в общем определении?

Сейчас не будем затрагивать заумные научные термины, а постараемся определить для себя основные понятия, описав их самым простым языком (в народе это можно было назвать аудитом для «чайников»).

Название этого комплекса мероприятий говорит само за себя. Аудит информационной безопасности представляет собой независимую проверку или обеспечения безопасности информационной системы (ИС) какого-либо предприятия, учреждения или организации на основе специально разработанных критериев и показателей.

Говоря простым языком, например, аудит информационной безопасности банка сводится к тому, чтобы оценить уровень защиты баз данных клиентов, проводимых банковских операций, сохранности электронных денежных средств, сохранности банковской тайны и т. д. в случае вмешательства в деятельность учреждения посторонними лицами извне, использующими электронные и компьютерные средства.

Наверняка, среди читателей найдется хотя бы один человек, которому звонили домой или на мобильный телефон с предложением оформления кредита или депозитного вклада, причем из банка, с которым он никак не связан. То же самое касается и предложения покупок от каких-то магазинов. Откуда всплыл ваш номер?

Все просто. Если человек ранее брал кредит или вкладывал деньги на депозитный счет, естественно, его данные были сохранены в единой При звонке из другого банка или магазина можно сделать единственный вывод: информация о нем незаконно попала в третьи руки. Как? В общем случае можно выделить два варианта: либо она была украдена, либо передана сотрудниками банка третьим лицам осознанно. Для того чтобы такие вещи не происходили, и нужно вовремя проводить аудит информационной безопасности банка, причем это касается не только компьютерных или «железных» средств защиты, но всего персонала банковского учреждения.

Основные направления аудита информационной безопасности

Что касается сферы применения такого аудита, как правило, их различают несколько:

• полная проверка объектов, задействованных в процессах информатизации (компьютерные автоматизированные системы, средства коммуникации, приема, передачи и обработки информационных данных, технических средств, помещений для проведения конфиденциальных встреч, систем наблюдения и т.д.);
• проверка надежности защиты конфиденциальной информации с ограниченным доступом (определение возможных каналов утечки и потенциальных дыр в системе безопасности, позволяющих получить к ней доступ извне с использованием стандартных и нестандартных методов);
• проверка всех электронных технических средств и локальных компьютерных систем на предмет воздействия на них электромагнитного излучения и наводок, позволяющих отключить их или привести в негодность;
• проектная часть, включающая в себя работы по созданию концепции безопасности и применения ее в практическом исполнении (защита компьютерных систем, помещений, средств связи и т.д.).

Когда возникает необходимость проведения аудита?

Не говоря о критических ситуациях, когда защита уже была нарушена, аудит информационной безопасности в организации может проводиться и в некоторых других случаях.

Как правило, сюда включают расширение компании, слияния, поглощения, присоединения другими предприятиями, смену концепции курса бизнеса или руководства, изменения в международном законодательстве или в правовых актах внутри отдельно взятой страны, достаточно серьезных изменения в информационной инфраструктуре.

Виды аудита

Сегодня сама классификация такого типа аудита, по мнению многих аналитиков и экспертов, является не устоявшейся. Поэтому и разделение на классы в некоторых случаях может быть весьма условным. Тем не менее в общем случае аудит информационной безопасности можно разделить на внешний и внутренний.

Внешний аудит, проводимый независимыми экспертами, имеющими на это право, обычно представляет собой разовую проверку, которая может быть инициирована руководством предприятия, акционерами, правоохранительными органами и т.д. Считается, что внешний аудит информационной безопасности рекомендован (а не обязателен) для проведения регулярно в течение установленного промежутка времени. Но для некоторых организаций и предприятий, согласно законодательства, он является обязательным (например, финансовые учреждения и организации, акционерные общества и др.).

Информационной безопасности является процессом постоянным. Он базируется на специальном «Положении о внутреннем аудите». Что это такое? По сути, это аттестационные мероприятия, проводимые в организации, в сроки, утвержденные руководством. Проведение аудита информационной безопасности обеспечивается специальными структурными подразделением предприятия.

Альтернативная классификация видов аудита

Кроме выше описанного разделения на классы в общем случае, можно выделить еще несколько составляющих, принятых в международной классификации:

• экспертная проверка состояния защищенности информации и информационных систем на основе личного опыта экспертов, ее проводящих;
• аттестация систем и мер безопасности на предмет соответствия международным стандартам (ISO 17799) и государственным правовым документам, регулирующим эту сферу деятельности;
• анализ защищенности информационных систем с применением технических средств, направленный на выявление потенциальных уязвимостей в программно-аппаратном комплексе.

Иногда может применяться и так называемый комплексный аудит, который включает в себя все вышеперечисленные виды. Кстати, именно он дает наиболее объективные результаты.

Постановочные цели и задачи

Любая проверка, будь то внутренняя или внешняя, начинается с постановки целей и задач. Если говорить проще, нужно определить, зачем, что и как будет проверяться. Это и предопределит дальнейшую методику проведения всего процесса.

Поставленных задач, в зависимости от специфики структуры самого предприятия, организации, учреждения и его деятельности, может быть достаточно много. Однако среди всего этого выделяют унифицированные цели аудита информационной безопасности:

• оценка состояния защищенности информации и информационных систем;
• анализ возможных рисков, связанных с угрозой проникновения в ИС извне, и возможных методов осуществления такого вмешательства;
• локализация дыр и прорех в системе безопасности;
• анализ соответствия уровня безопасности информационных систем действующим стандартам и нормативно-правовым актам;
• разработка и выдача рекомендаций, предполагающих устранение существующих проблем, а также усовершенствование существующих средств защиты и внедрение новых разработок.

Методика и средства проведения аудита

Теперь несколько слов о том, как проходит проверка и какие этапы и средства она в себя включает.

Проведение аудита информационной безопасности состоит из нескольких основных этапов:

• инициирование процедуры проверки (четкое определение прав и обязанностей аудитора, подготовка аудитором плана проверки и его согласование с руководством, решение вопроса о границах проведения исследования, накладывание на сотрудников организации обязательства в помощи и своевременном предоставлении необходимой информации);
• сбор исходных данных (структура системы безопасности, распределение средств обеспечения безопасности, уровни функционирования системы безопасности, анализ методов получения и предоставления информации, определение каналов связи и взаимодействия ИС с другими структурами, иерархия пользователей компьютерных сетей, определение протоколов и т.д.);
• проведение комплексной или частичной проверки;
• анализ полученных данных (анализ рисков любого типа и соответствия стандартам);
• выдача рекомендаций по устранению возможных проблем;
• создание отчетной документации.

Первый этап является наиболее простым, поскольку его решение принимается исключительно между руководством предприятия и аудитором. Границы проведения анализа могут быть рассмотрены на общем собрании сотрудников или акционеров. Все это в большей степени относится к правовому полю.

Второй этап сбора исходных данных, будь то проведение внутреннего аудита информационной безопасности или внешней независимой аттестации, является наиболее ресурсоемким. Связано это с тем, что на этой стадии нужно не только изучить техническую документацию, касающуюся всего программно-аппаратного комплекса, но и провести узконаправленное интервьюирование сотрудников компании, причем в большинстве случаев даже с заполнением специальных опросных листов или анкет.

Что же касается технической документации, здесь важно получить данные о структуре ИС и приоритетных уровнях прав доступа к ней сотрудников, определить общесистемное и прикладное программное обеспечение (используемые операционные системы, приложения для ведения бизнеса, управления им и учета), а также установленные средства защиты софтверного и непрограммного типа (антивирусы, файрволлы и т.д.). Кроме того, сюда включается полная проверка сетей и провайдеров, предоставляющих услуги связи (организация сети, используемые протоколы для подключения, типы каналов связи, методы передачи и приема информационных потоков и многое другое). Как уже понятно, это занимает достаточно много времени.

На следующем этапе определяются методы аудита информационной безопасности. Их различают три:

• анализ рисков (самая сложная методика, базирующаяся на определении аудитором возможности проникновения в ИС и нарушения ее целостности с применением всех возможных методов и средств);
• оценка соответствия стандартам и законодательным актам (наиболее простой и самый практичный метод, основанный на сравнении текущего состояния дел и требований международных стандартов и внутригосударственных документов в сфере информационной безопасности);
• комбинированный метод, объединяющий два первых.

После получения результатов проверки начинается их анализ. Средства аудита информационной безопасности, которые применяются для анализа, могут быть достаточно разнообразными. Все зависит от специфики деятельности предприятия, типа информации, используемого программного обеспечения, средств защиты и пр. Однако, как можно заметить по первой методике, аудитору, главным образом, придется опираться на собственный опыт.

А это означает только то, что он должен обладать соответствующей квалификацией в сфере информационных технологий и защиты данных. На основе такого анализа аудитор и рассчитывает возможные риски.

Заметьте, он должен разбираться не только в операционных системах или программах, используемых, например, для ведения бизнеса или бухгалтерского учета, но и четко понимать, каким образом злоумышленник может проникнуть в информационную систему с целью кражи, порчи и уничтожения данных, создания предпосылок для нарушений в работе компьютеров, распространения вирусов или вредоносного ПО.

На основе проведенного анализа эксперт делает заключение о состоянии защиты и выдает рекомендации по устранению имеющихся или возможных проблем, модернизации системы безопасности и т.д. При этом рекомендации должны быть не только объективными, но и четко привязанными к реалиям специфики предприятия. Иными словами, советы по апгрейду конфигурации компьютеров или программного обеспечения не принимаются. В равной степени это относится и к советам по увольнению «ненадежных» сотрудников, установке новых систем слежения без конкретного указания их назначения, места установки и целесообразности.

Исходя из проведенного анализа, как правило, различают несколько групп рисков. При этом для составления сводного отчета используется два основных показателя: вероятность проведения атаки и ущерб, нанесенный компании в результате (потеря активов, снижение репутации, потеря имиджа и пр.). Однако показатели по группам не совпадают. Так, например, показатель низкого уровня для вероятности атаки является лучшим. Для ущерба - наоборот.

Только после этого составляется отчет, в котором детально расписываются все этапы, методы и средства проведенных исследований. Он согласовывается с руководством и подписывается двумя сторонами - предприятием и аудитором. Если аудит внутренний, составляет такой отчет глава соответствующего структурного подразделения, после чего он, опять же, подписывается руководителем.

Аудит информационной безопасности: пример

Наконец, рассмотрим самый простой пример ситуации, которая уже случалась. Многим, кстати, она может показаться очень знакомой.

Так, например, некий сотрудник компании, занимающейся закупками в США, установил на компьютер мессенджер ICQ (имя сотрудника и название фирмы не называется по понятным соображениям). Переговоры велись именно посредством этой программы. Но «аська» является достаточно уязвимой в плане безопасности. Сам сотрудник при регистрации номера на тот момент либо не имел адреса электронной почты, либо просто не захотел его давать. Вместо этого он указал что-то похожее на e-mail, причем даже с несуществующим доменом.

Что бы сделал злоумышленник? Как показал аудит информационной безопасности, он бы зарегистрировал точно такой же домен и создал бы в нем другой регистрационный терминал, после чего мог отослать сообщение в компанию Mirabilis, которая владеет сервисом ICQ, с просьбой восстановления пароля по причине его утери (что и было бы сделано). Поскольку сервер получателя не являлся почтовым, на нем был включен редирект - перенаправление на существующую почту злоумышленника.

Как результат, он получает доступ к переписке с указанным номером ICQ и сообщает поставщику об изменении адреса получателя товара в определенной стране. Таким образом, груз отправляется неизвестно куда. И это самый безобидный пример. Так, мелкое хулиганство. А что говорить о более серьезных хакерах, которые способны куда на большее…

Заключение

Вот вкратце и все, что касается аудита безопасности ИС. Конечно, здесь затронуты далеко не все его аспекты. Причина состоит только в том, что на постановку задач и методы его проведения влияет очень много факторов, поэтому подход в каждом конкретном случае строго индивидуален. К тому же методы и средства аудита информационной безопасности могут быть разными для различных ИС. Однако, думается, общие принципы таких проверок для многих станут понятными хотя бы на начальном уровне.

Аудит информационных систем дает актуальные и точные данные о том, как работает ИС. На базе полученных данных можно планировать мероприятия для повышения эффективности предприятия. Практика проведения аудита информационной системы - в сравнении эталона, реальной обстановки. Изучают нормативы, стандарты, регламенты и практики, применимые в других фирмах. При проведении аудита предприниматель получает представление о том, как его фирма отличается от нормальной успешной компании в аналогичной сфере.

Общее представление

Информационные технологии в современном мире развиты исключительно сильно. Сложно представить себе предприятие, не имеющее на вооружении информационные системы:

• глобальные;
• локальные.

Именно за счет ИС компания может нормально функционировать и идти в ногу со временем. Такие методологии необходимы для быстрого и полного обмена информацией с окружающей средой, что позволяет компании подстраиваться под изменения инфраструктуры и требований рынка. Информационные системы должны удовлетворять ряду требований, меняющихся по прошествии времени (внедряются новые разработки, стандарты, применяют обновленные алгоритмы). В любом случае информационные технологии позволяют сделать доступ к ресурсам быстрым, и эта задача решается через ИС. Кроме того, современные системы:

• масштабируемые;
• гибкие;
• надёжные;
• безопасные.

Основные задачи аудита информационных систем - выявление, соответствует ли внедренная ИС указанным параметрам.

Аудит: виды

Очень часто применяется так называемый процессный аудит информационной системы. Пример: внешние специалисты анализируют внедренные системы на предмет отличия от эталонов, изучая в том числе и производственный процесс, на выходе которого - программное обеспечение.

Может проводиться аудит, направленный на выявление того, насколько правильно применяется в работе информационная система. Практику предприятия сравнивают со стандартами производителя и известными примерами корпораций международного масштаба.

Аудит системы информационной безопасности предприятия затрагивает организационную структуру. Цель такого мероприятия - найти тонкие места в кадрах ИТ-отдела и обозначить проблемы, а также сформировать рекомендации по их решению.

Наконец, аудит системы обеспечения информационной безопасности направлен на качественный контроль. Тогда приглашенные эксперты оценивают, в каком состоянии процессы внутри предприятия, тестируют внедренную информационную систему и делают некоторые выводы по полученной информации. Обычно применяется модель TMMI.

Задачи аудита

Стратегический аудит состояния информационных систем позволяет определить слабые места во внедренной ИС и выявить, где применение технологий оказалось неэффективными. На выходе такого процесса у заказчика будут рекомендации, позволяющие устранить недочеты.

Аудит позволяет оценить, как дорого обойдётся внесение изменений в действующую структуру и сколько времени это займет. Специалисты, изучающие действующую информационную структуру компании, помогут подобрать инструментарий для реализации программы улучшений, учитывая особенности компании. По итогам можно также выдать точную оценку, в каком объеме ресурсов нуждается фирма. Проанализированы будут интеллектуальные, денежные, производственные.

Мероприятия

Внутренний аудит информационных систем включает в себя проведение таких мероприятий, как:

• инвентаризация ИТ;
• выявление нагрузки на информационные структуры;
• оценка статистики, данных, полученных при инвентаризации;
• определение, соответствуют ли требования бизнеса и возможности внедренной ИС;
• формирование отчета;
• разработка рекомендаций;
• формализация фонда НСИ.

Результат аудита

Стратегический аудит состояния информационных систем - это процедура, которая: позволяет выявить причины недостаточной эффективности внедрённой информационной системы; провести прогнозирование поведения ИС при корректировке информационных потоков (числа пользователей, объема данных); предоставить обоснованные решения, помогающие повысить продуктивность (приобретение оборудования, совершенствование внедренной системы, замена); дать рекомендации, направленные на повышение продуктивности отделов компании, оптимизацию вложений в технологии. А также разработать мероприятия, улучшающий качественный уровень сервиса информационных систем.

Это важно!

Нет такой универсальной ИС, которая подошла бы любому предприятию. Есть две распространенных базы, на основе которых можно создавать уникальную систему под требования конкретного предприятия:

• Oracle.

Но помните, что это лишь основа, не более. Все усовершенствования, позволяющие сделать бизнес эффективным, нужно программировать, учитывая особенности конкретного предприятия. Наверняка придется вводить ранее отсутствовавшие функции и отключать те, которые предусмотрены базовой сборкой. Современная технология аудита банковских информационных систем помогает понять, какие именно особенности должна иметь ИС, а что нужно исключить, чтобы корпоративная система была оптимальной, эффективной, но не слишком «тяжелой».

Аудит информационной безопасности

Анализ, позволяющий выявить угрозы информационной безопасности, бывает двух видов:

• внешний;
• внутренний.

Первый предполагает единовременную процедуру. Организует ее руководитель компании. Рекомендовано регулярно практиковать такую меру, чтобы держать ситуацию под контролем. Ряд АО, финансовых организаций ввели требование внешнего аудита ИТ-безопасности обязательным к выполнению.

Внутренний - это регулярно проводимые мероприятия, регламентированные локальным нормативным актом «Положение о внутреннем аудите». Для проведения формируют годовой план (его готовит отдел, ответственный за аудит), утверждает генеральный директор, другой руководитель. ИТ-аудит - несколько категорий мероприятий, аудит безопасности занимает не последнее место по значимости.

Цели

Главная цель аудита информационных систем в аспекте безопасности - это выявление касающихся ИС рисков, сопряженных с угрозами безопасности. Кроме того, мероприятия помогают выявить:

• слабые места действующей системы;
• соответствие системы стандартам информационной безопасности;
• уровень защищенности на текущий момент времени.

При аудите безопасности в результате будут сформулированы рекомендации, позволяющие улучшить текущие решения и внедрить новые, сделав тем самым действующую ИС безопаснее и защищённые от различных угроз.

Если проводится внутренний аудит, призванный определить угрозы информационной безопасности, тогда дополнительно рассматривается:

• политика безопасности, возможность разработки новой, а также иных документов, позволяющих защитить данные и упростить их применение в производственном процессе корпорации;
• формирование задач обеспечения безопасности работникам ИТ-отдела;
• разбор ситуаций, сопряженных с нарушениями;
• обучение пользователей корпоративной системы, обслуживающего персонала общим аспектам безопасности.

Внутренний аудит: особенности

Перечисленные задачи, которые ставят перед сотрудниками, когда проводится внутренний аудит информационных систем, по своей сути, не аудит. Теоретически проводящий мероприятия лишь в качестве эксперта оценивает механизмы, благодаря которым система обезопасена. Привлеченное к задаче лицо становится активным участником процесса и теряет независимость, уже не может объективно оценивать ситуацию и контролировать ее.

С другой стороны, на практике при внутреннем аудите остаться в стороне практически невозможно. Дело в том, что для проведения работ привлекают специалиста компании, в прочее время занятого другими задачами в сходной области. Это значит, что аудитор - это тот самый сотрудник, который обладает компетенцией для решения упомянутых ранее заданий. Поэтому приходится идти на компромисс: в ущерб объективности привлекать работника к практике, чтобы получить достойный итог.

Аудит безопасности: этапы

Таковые во многом сходны с шагами общего ИТ-аудита. Выделяют:

• старт мероприятий;
• сбор базы для анализирования;
• анализ;
• формирование выводов;
• отчетность.

Инициирование процедуры

Аудит информационных систем в аспекте безопасности начинается, когда на это дает отмашку руководитель компании, так как именно начальники - те персоны, которые более прочих заинтересованы в эффективной проверке предприятия. Проведение аудита невозможно, если руководство не поддерживает процедуру.

Аудит информационных систем обычно комплексный. В нем принимает участие аудитор и несколько лиц, представляющих разные отделы компании. Важна совместная работа всех участников проверки. При инициации аудита важно уделить внимание следующим моментам:

• документальная фиксация обязанностей, прав аудитора;
• подготовка, согласование плана аудита;
• документальное закрепление того факта, что сотрудники обязаны оказывать аудитору посильную помощь и предоставлять все запрашиваемые им данные.

Уже в момент инициации проверки важно установить, в каких границах проводится аудит информационных систем. В то время как некоторые подсистемы ИС критичны и требуют особенного внимания, другие таковыми не являются и достаточно маловажны, поэтому допускается их исключение. Наверняка найдутся и такие подсистемы, проверка которых будет невозможна, так как вся информация, хранимая там, конфиденциальна.

План и границы

Перед началом работ формируется список ресурсов, которые предполагается проверить. Это могут быть:

• информационные;
• программные;
• технические.

Выделяют, на каких площадках проводят аудит, на какие угрозы проверяют систему. Существуют организационные границы мероприятия, аспекты обеспечения безопасности, обязательные к учету при проверке. Формируется рейтинг приоритетности с указанием объема проверки. Такие границы, а также план мероприятия утверждаются генеральным директором, но предварительно выносятся темой общего рабочего собрания, где присутствуют начальники отделов, аудитор и руководители компании.

Получение данных

При проведении проверки безопасности стандарты аудита информационных систем таковы, что этап сбора информации оказывается наиболее продолжительным, трудоемким. Как правило, ИС не имеет документации к ней, а аудитор вынужден плотно работать с многочисленными коллегами.

Чтобы сделанные выводы оказались компетентными, аудитор должен получить максимум данных. О том, как организована информационная система, как она функционирует и в каком состоянии находится, аудитор узнает из организационной, распорядительной, технической документации, в ходе самостоятельного исследования и применения специализированного ПО.

Документы, необходимые в работе аудитора:

• организационная структура отделов, обслуживающих ИС;
• организационная структура всех пользователей.

Аудитор интервьюирует работников, выявляя:

• провайдера;
• владельца данных;
• пользователя данных.

Для этого нужно знать:

• основные виды приложений ИС;
• число, виды пользователей;
• услуги, предоставляемые пользователям.

Если в фирме есть документы на ИС из перечисленного ниже списка, обязательно нужно предоставить их аудитору:

• описание технических методологий;
• описание методик автоматизации функций;
• функциональные схемы;
• рабочие, проектные документы.

Выявление структуры ИС

Для корректных выводов аудитор должен располагать максимально полным представлением об особенностях внедренной на предприятии информационной системы. Нужно знать, каковы механизмы безопасности, как они распределены в системе по уровням. Для этого выясняют:

• наличие и особенности компонентов используемой системы;
• функции компонентов;
• графичность;
• входы;
• взаимодействие с различными объектами (внешнее, внутреннее) и протоколы, каналы для этого;
• платформы, примененные для системы.

Пользу принесут схемы:

• структурная;
• потоков данных.

Структуры:

• технических средств;
• информационного обеспечения;
• структурных компонентов.

На практике многие из документов готовят непосредственно при проведении проверки. Анализировать информацию можно лишь при сборе максимального объема информации.

Аудит безопасности ИС: анализ

Есть несколько методик, применяемых для анализа полученных данных. Выбор в пользу конкретной основывается на личных предпочтениях аудитора и специфике конкретной задачи.

Наиболее сложный подход предполагает анализировать риски. Для информационной системы формируются требования к безопасности. Они базируются на особенностях конкретной системы и среды ее работы, а также угроз, свойственных этой среде. Аналитики сходятся во мнении, что такой подход требует наибольших трудозатрат и максимальной квалификации аудитора. Насколько хорош будет результат, определяется методологией анализа информации и применимостью выбранных вариантов к типу ИС.

Более практичный вариант предполагает обращение к стандартам безопасности для данных. Таковыми определяется набор требований. Это подходит для различных ИС, так как методика выработана на основе крупнейших фирм из разных стран.

Из стандартов следует, каковы требования безопасности, зависящие от уровня защиты системы и принадлежности ее тому или иному учреждению. Многое зависит от предназначения ИС. Главная задача аудитора - определить корректно, какой набор требований по безопасности актуален в заданном случае. Выбирают методику, по которой оценивают, соответствуют ли стандартам имеющиеся параметры системы. Технология довольно простая, надежная, поэтому распространена широко. При небольших вложениях в результате можно получить точные выводы.

Пренебрегать недопустимо!

Практика показывает, что многие руководители, особенно небольших фирм, а также те, чьи компании работают уже достаточно давно и не стремятся осваивать все новейшие технологии, относятся к аудиту информационных систем довольно халатно, так как просто не осознают важности этой меры. Обычно лишь ущерб бизнесу провоцирует начальство принимать меры по проверке, выявлению рисков и защите предприятия. Иные сталкиваются с тем, что у них крадут данные о клиентуре, у других утечки происходят из баз данных контрагентов или уходит информация о ключевых преимуществах некоего субъекта. Потребители перестают доверять компании, как только случай подвергается огласке, и компания терпит еще больший урон, нежели просто от потери данных.

Если есть вероятность утечки информации, невозможно построить эффективный бизнес, имеющий хорошие возможности сейчас и в будущем. У любой компании есть данные, представляющие ценность для третьих лиц, и их нужно беречь. Чтобы защита была на высочайшем уровне, необходим аудит, выявляющий слабые стороны. В нем нужно учитывать международные стандарты, методики, новейшие наработки.

При аудите:

• оценивают уровень защиты;
• анализируют применяемые технологии;
• корректируют документы по безопасности;
• моделируют рисковые ситуации, при которых возможна утечка данных;
• рекомендуют внедрение решений для устранения уязвимостей.

Проводят эти мероприятия одним из трех образов:

• активный;
• экспертный;
• выявляющий соответствие стандартам.

Формы аудита

Активный аудит предполагает оценку системы, на которую смотрит потенциальный хакер. Именно его точку зрения «примеряют» на себя аудиторы - изучают сетевую защиту, для чего применяют специализированное ПО и уникальные методики. Обязателен и внутренний аудит, проводимый также с точки зрения предполагаемого преступника, желающего украсть данные или нарушить работу системы.

При экспертном аудите проверяют, насколько соответствует внедренная система идеальной. При выявлении соответствия стандартам за основу берут абстрактное описание стандартов, с которыми сравнивают имеющийся объект.

Заключение

Корректно и качественно проведенный аудит позволяет получить следующие итоги:

• минимизация вероятности успешной хакерской атаки, ущерба от нее;
• исключение атаки, основанной на изменении архитектуры системы и информационных потоков;
• страхование как средство уменьшения рисков;
• минимизация риска до уровня, когда таковой вовсе можно не учитывать.