Аудит інформаційної безпеки - основа ефективного захисту підприємства

2. 1. Що таке аудит безпеки?
3. 2. Види аудиту безпеки
4. 3. Склад робіт по проведенню аудиту безпеки
5. Малюнок 1: Основні етапи робіт при проведенні аудиту безпеки
6. 4. Збір вихідних даних для проведення аудиту
7. Таблиця 1: Перелік вихідних даних, необхідних для проведення аудиту безпеки
8. 5. Оцінка рівня безпеки АС
9. Малюнок 2: Джерела вимог інформаційної безпеки, на основі яких може проводитися оцінка ризиків
10. Таблиця 2: Якісна шкала оцінки рівня збитку
11. Таблиця 3: Якісна шкала оцінки ймовірності проведення атаки
12. Таблиця 4: Приклад таблиці визначення рівня ризику інформаційної безпеки
13. 6. Результати аудиту безпеки
14. 7. Висновок
15. 8. Список літератури

Щоб гарантувати ефективний захист від інформаційних атак зловмисників компаніям необхідно мати об'єктивну оцінку поточного рівня інформаційної безпеки. Саме для цих цілей і застосовується аудит безпеки, різні аспекти якого розглядаються в рамках цієї статті.

1. Що таке аудит безпеки?

2. Види аудиту безпеки

3. Склад робіт по проведенню аудиту безпеки

4. Збір вихідних даних для проведення аудиту

5. Оцінка рівня безпеки АС

6. Результати аудиту безпеки

7. Висновок

8. Список літератури

На сьогоднішній день автоматизовані системи (АС) відіграють ключову роль в забезпеченні ефективного виконання бізнес-процесів як комерційних, так і державних підприємств. Разом з тим повсюдне використання АС для зберігання, обробки і передачі інформації призводить до підвищення актуальності проблем, пов'язаних з їх захистом. Підтвердженням цьому служить той факт, що за останні кілька років, як в Росії, так і в провідних зарубіжних країнах має місце тенденція збільшення числа інформаційних атак, що приводять до значних фінансових і матеріальних втрат. Для того, щоб гарантувати ефективний захист від інформаційних атак зловмисників компаніям необхідно мати об'єктивну оцінку поточного рівня безпеки АС. Саме для цих цілей і застосовується аудит безпеки, різні аспекти якого розглядаються в рамках цієї статті.

1. Що таке аудит безпеки?

Не дивлячись на те, що в даний час ще не сформувалося сталого визначення аудиту безпеки, в загальному випадку його можна представити у вигляді процесу збору та аналізу інформації про АС, необхідної для подальшого проведення якісної або кількісної оцінки рівня захисту від атак зловмисників. Існує безліч випадків, в яких доцільно проводити аудит безпеки. Ось лише деякі з них:

• аудит АС з метою підготовки технічного завдання на проектування і розробку системи захисту інформації;
• аудит АС після впровадження системи безпеки для оцінки рівня її ефективності;
• аудит, спрямований на приведення діючої системи безпеки у відповідність вимогам російського або міжнародного законодавства;
• аудит, призначений для систематизації та впорядкування існуючих заходів захисту інформації;
• аудит з метою розслідування інциденту, що стався, пов'язаного з порушенням інформаційної безпеки.

Як правило, для проведення аудиту залучаються зовнішні компанії, які надають консалтингові послуги в області інформаційної безпеки. Ініціатором процедури аудиту може бути керівництво підприємства, служба автоматизації або служба інформаційної безпеки. У ряді випадків аудит також може проводитися на вимогу страхових компаній або регулюючих органів. Аудит безпеки проводиться групою експертів, чисельність і склад якої залежить від цілей і завдань обстеження, а також складності об'єкта оцінки.

2. Види аудиту безпеки

В даний час можна виділити наступні основні види аудиту інформаційної безпеки:

• експертний аудит безпеки, в процесі якого виявляються недоліки в системі заходів захисту інформації на основі наявного досвіду експертів, що беруть участь в процедурі обстеження;
• оцінка відповідності рекомендаціям Міжнародного стандарту ISO 17799, а також вимогам керівних документів ФСТЕК (Гостехкомиссии);
• інструментальний аналіз захищеності АС, спрямований на виявлення та усунення вразливостей програмно-апаратного забезпечення системи;
• комплексний аудит, який включає в себе всі перераховані вище форми проведення обстеження.

Кожен з перерахованих вище видів аудиту може проводитися окремо або в комплексі залежно від тих завдань, які необхідно вирішити підприємству. Як об'єкт аудиту може виступати як АС компанії в цілому, так і її окремі сегменти, в яких проводиться обробка інформації, що підлягає захисту.

3. Склад робіт по проведенню аудиту безпеки

У загальному випадку аудит безпеки, незалежно від форми його проведення, складається з чотирьох основних етапів, кожен з яких передбачає виконання певного кола завдань (рис. 1).

Малюнок 1: Основні етапи робіт при проведенні аудиту безпеки

На першому етапі спільно з Замовником розробляється регламент, який встановлює склад і порядок проведення робіт. Основне завдання регламенту полягає у визначенні меж, в рамках яких буде проведено обстеження. Регламент є тим документом, який дозволяє уникнути взаємних претензій по завершенню аудиту, оскільки чітко визначає обов'язки сторін. Як правило, регламент містить наступну основну інформацію:

• склад робочих груп від Виконавця і Замовника, що беруть участь в процесі проведення аудиту;
• перелік інформації, яка буде надана Виконавцю для проведення аудиту;
• список і місце розташування об'єктів Замовника, які підлягають аудиту;
• перелік ресурсів, які розглядаються в якості об'єктів захисту (інформаційні ресурси, програмні ресурси, фізичні ресурси і т.д.);
• модель загроз інформаційній безпеці, на основі якої проводиться аудит;
• категорії користувачів, які розглядаються в якості потенційних порушників;
• порядок і час проведення інструментального обстеження автоматизованої системи Замовника.

На другому етапі, відповідно до узгодженого регламенту, здійснюється збір вихідної інформації. Методи збору інформації включають інтерв'ювання співробітників Замовника, заповнення опитувальних листів, аналіз наданої організаційно-розпорядчої та технічної документації, використання спеціалізованих інструментальних засобів.

Третій етап робіт передбачає проведення аналізу зібраної інформації з метою оцінки поточного рівня захищеності АС Замовника. За результатами проведеного аналізу на четвертому етапі проводиться розробка рекомендацій щодо підвищення рівня захищеності АС від загроз інформаційної безпеки.

Нижче в більш докладному варіанті розглянуті етапи аудиту, пов'язані зі збором інформації, її аналізом і розробкою рекомендацій щодо підвищення рівня захисту АС.

4. Збір вихідних даних для проведення аудиту

Якість проведеного аудиту безпеки багато в чому залежить від повноти і точності інформації, яка була отримана в процесі збору вихідних даних. Тому інформація повинна включати в себе: існуючу організаційно-розпорядчу документацію, яка стосується питань інформаційної безпеки, відомості про програмно-апаратне забезпечення АС, інформацію про засоби захисту, встановлених в АС і т.д. Більш докладний перелік вихідних даних представлений в таблиці 1.

Таблиця 1: Перелік вихідних даних, необхідних для проведення аудиту безпеки

№ Тип інформації Опис складу вихідних даних 1 Організаційно-розпорядча документація з питань інформаційної безпеки
1. політика інформаційної безпеки АС;
2. керівні документи (накази, розпорядження, інструкції) з питань зберігання, порядку доступу і передачі інформації;
3. регламенти роботи користувачів з інформаційними ресурсами АС.
2 Інформація про апаратне забезпечення хостів
1. перелік серверів, робочих станцій і комунікаційного устаткування, встановленого в АС;
2. інформація про апаратну конфігурації серверів і робочих станцій;
3. інформація про периферійному обладнанні, встановленому в АС.
3 Інформація про загальносистемному ПО
1. інформація про операційні системи, встановлених на робочих станціях і серверах АС;
2. дані про СУБД, встановлених в АС.
4 Інформація про прикладному ПО
1. перелік прикладного ПО загального і спеціального призначення, встановленого в АС;
2. опис функціональних завдань, що вирішуються за допомогою прикладного програмного забезпечення, встановленого в АС.
5 Інформація про засоби захисту, встановлених в АС
1. інформація про виробника засоби захисту;
2. конфігураційні налаштування засоби захисту;
3. схема установки засоби захисту.
6 Інформація про топології АС
1. карта локальної обчислювальної мережі, що включає схему розподілу серверів і робочих станцій за сегментами мережі;
2. інформація про типи каналів зв'язку, що використовуються в АС;
3. інформація про використовувані в АС мережевих протоколах;
4. схема інформаційних потоків АС.

Як вже зазначалося вище, збір вихідних даних може здійснюватися з використанням таких методів:

• інтерв'ювання співробітників Замовника, що володіють необхідною інформацією. При цьому інтерв'ю, як правило, проводиться як з технічними фахівцями, так і з представниками керівної ланки компанії. Перелік питань, які планується обговорити в процесі інтерв'ю, узгоджується заздалегідь;
• надання опитувальних листів з певної тематики, самостійно заповнюються співробітниками Замовника. У тих випадках, коли представлені матеріали не повністю дають відповіді на необхідні питання, проводиться додаткове інтерв'ювання;
• аналіз існуючої організаційно-технічної документації, що використовується Замовником;
• використання спеціалізованих програмних засобів, які дозволяють отримати необхідну інформацію про склад і настройках програмно-апаратного забезпечення автоматизованої системи Замовника. Так, наприклад, в процесі аудиту можуть використовуватися системи аналізу захищеності (Security Scanners), які дозволяють провести інвентаризацію наявних мережевих ресурсів і виявити наявні в них уразливості. Прикладами таких систем є Internet Scanner (компанії ISS) і XSpider (компанії Positive Technologies).

5. Оцінка рівня безпеки АС

Після збору необхідної інформації проводиться її аналіз з метою оцінки поточного рівня захищеності системи. У процесі такого аналізу визначаються ризики інформаційної безпеки, яким може бути піддана компанія. Фактично ризик являє собою інтегральну оцінку того, наскільки ефективно існуючі засоби захисту здатні протистояти інформаційним атакам.

Зазвичай виділяють дві основні групи методів розрахунку ризиків безпеки. Перша група дозволяє встановити рівень ризику шляхом оцінки ступеня відповідності визначеному набору вимог щодо забезпечення інформаційної безпеки. Як джерела таких вимог можуть виступати (рис. 2):

• Нормативно-правові документи підприємства, що стосуються питань інформаційної безпеки;
• Вимоги чинного російського законодавства - керівні документи ФСТЕК (Гостехкомиссии), СТР-К, вимоги ФСБ РФ, державні стандарти і ін .;
• Рекомендації міжнародних стандартів - ISO 17799, OCTAVE, CoBIT і ін .;
• Рекомендації компаній-виробників програмного і апаратного забезпечення - Microsoft, Oracle, Cisco і ін.

Малюнок 2: Джерела вимог інформаційної безпеки, на основі яких може проводитися оцінка ризиків

Друга група методів оцінки ризиків інформаційної безпеки базується на визначенні ймовірності реалізації атак, а також рівнів їх збитку. В даному випадку значення ризику обчислюється окремо для кожної атаки і в загальному випадку є як добуток імовірності проведення атаки на величину можливого збитку від цієї атаки. Значення шкоди визначається власником інформаційного ресурсу, а ймовірність атаки обчислюється групою експертів, які проводять процедуру аудиту.

Методи першої і другої групи можуть використовувати кількісні або якісні шкали для визначення величини ризику інформаційної безпеки. У першому випадку ризик і всі його параметри виражаються в числових значеннях. Так, наприклад, при використанні кількісних шкал ймовірність проведення атаки може виражатися числом в інтервалі, а збиток атаки може здаватися в вигляді грошового еквівалента матеріальних втрат, які може понести організація в разі успішного проведення атаки. При використанні якісних шкал числові значення замінюються на еквівалентні їм понятійні рівні. Кожному понятійному рівню в цьому випадку буде відповідати певний інтервал кількісної шкали оцінки. Кількість рівнів може варіюватися в залежності від застосовуваних методик оцінки ризиків. У таблицях 2 і 3 наведені приклади якісних шкал оцінки ризиків інформаційної безпеки, в яких для оцінки рівнів збитків та ймовірності атаки використовується п'ять понятійних рівнів.

Таблиця 2: Якісна шкала оцінки рівня збитку

№ Рівень збитку Опис 1 Малий збиток Приводить до незначних втрат матеріальних активів, які швидко відновлюються, або до незначного впливу на репутацію компанії 2 Помірний збиток Викликає помітних втрат матеріальних активів або до помірного впливу на репутацію компанії 3 Збиток середньої тяжкості Приводить до суттєвих втрат матеріальних активів або значного втрат репутації компанії 4 великих збитків Викликає великі втрати матеріальних активів і завдає великої шкоди репутації компанії 5 Критичний збиток Пр іводіт до критичних втрат матеріальних активів або до повної втрати репутації компанії на ринку, що унеможливлює подальшу діяльність організації

Таблиця 3: Якісна шкала оцінки ймовірності проведення атаки

№ Рівень ймовірності атаки Опис 1 Дуже низька Атака практично ніколи не буде проведена. Рівень відповідає числовому інтервалу ймовірності [0, 0.25) 2 Низька Вірогідність проведення атаки досить низька. Рівень відповідає числовому інтервалу ймовірності [0.25, 0.5) 3 Середня Вірогідність проведення атаки приблизно дорівнює 0,5 4 Висока Атака швидше за все буде проведена. Рівень відповідає числовому інтервалу ймовірності (0.5, 0.75] 5 Дуже висока Атака майже напевно буде проведена. Рівень відповідає числовому інтервалу ймовірності (0.75, 1]

При використанні якісних шкал для обчислення рівня ризику застосовуються спеціальні таблиці, в яких в першому стовпці задаються понятійні рівні збитку, а в першому рядку - рівні ймовірності атаки. Осередки же таблиці, розташовані на перетині першого рядка і стовпця, містять рівень ризику безпеки. Розмірність таблиці залежить від кількості концептуальних рівнів ймовірності атаки і шкоди. Приклад таблиці, на основі якої можна визначити рівень ризику, наведено нижче.

Таблиця 4: Приклад таблиці визначення рівня ризику інформаційної безпеки

Імовірність атаки Дуже низька Низька Середня Висока Дуже висока Збиток Малий
збиток Низький Ризик Низький ризик Низький ризик Середній ризик Середній ризик Помірний
збиток Низький Ризик Низький ризик Середній ризик Середній ризик Високий ризик Збиток середньої тяжкості Низький Ризик Середній ризик Середній ризик Середній ризик Високий ризик Великий
збиток Середній ризик Середній ризик Середній ризик Середній ризик Високий ризик Критичний
збиток Середній ризик Високий ризик Високий ризик Високий ризик Високий ризик

При розрахунку значень ймовірності проведення атаки, а також рівня можливого збитку можуть використовуватися статистичні методи, методи експертних оцінок або елементи теорії прийняття рішень. Статистичні методи передбачають аналіз вже накопичених даних про реально траплялися інциденти, пов'язані з порушенням інформаційної безпеки. На основі результатів такого аналізу будуються припущення про ймовірність проведення атак і рівнях збитку від них в інших АС. Однак застосування статистичних методів не завжди можливо через відсутність в повному обсязі статистичних даних про раніше проведених атаках на інформаційні ресурси АС, аналогічної тій, яка виступає в якості об'єкта оцінки.

При використанні апарату експертних оцінок проводиться аналіз результатів роботи групи експертів, компетентних в області інформаційної безпеки, які на основі наявного у них досвіду визначають кількісні або якісні рівні ризику. Елементи теорії прийняття рішень дозволяють застосовувати для обчислення значення ризику безпеки більш складні алгоритми обробки результатів роботи групи експертів.

В процесі проведення аудиту безпеки можуть використовуватися спеціалізовані програмні комплекси, що дозволяють автоматизувати процес аналізу вихідних даних і розрахунку значень ризиків. Прикладами таких комплексів є «Гриф» і «Кондор» (компанії «Digital Security»), а також «Авангард» (Інституту Системного Аналізу РАН).

6. Результати аудиту безпеки

На последнего етапі проведення аудиту інформаційної безпеки розробляються рекомендації относительно Вдосконалення організаційно-технічного забезпечення підприємства. Такі рекомендації можуть включати в себе наступні типи дій, спрямованих на мінімізацію виявлених ризиків:

• зменшення ризику за рахунок використання додаткових організаційних і технічних засобів захисту, що дозволяють знизити ймовірність проведення атаки або зменшити можливі збитки від неї. Так, наприклад, установка міжмережевих екранів в точці підключення АС до мережі Інтернет дозволяє істотно знизити ймовірність проведення успішної атаки на загальнодоступні інформаційні ресурси АС, такі як Web-сервери, поштові сервери і т.д .;
• ухилення від ризику шляхом зміни архітектури або схеми інформаційних потоків АС, що дозволяє виключити можливість проведення тієї чи іншої атаки. Так, наприклад, фізичне відключення від мережі Інтернет сегмента АС, в якому обробляється конфіденційна інформація, дозволяє виключити атаки на конфіденційну інформацію з цієї мережі;
• зміна характеру ризику в результаті вживання заходів по страхуванню. Як приклади такої зміни характеру ризику можна привести страхування обладнання АС від пожежі або страхування інформаційних ресурсів від можливого порушення їх конфіденційності, цілісності або доступності. В даний час російських компаній вже пропонують послуги зі страхування інформаційних ризиків;
• прийняття ризику в тому випадку, якщо він зменшений до того рівня, на якому він не представляє небезпеки для АС.

Як правило, розроблені рекомендації спрямовані не на повне усунення всіх виявлених ризиків, а лише на їх зменшення до прийнятного залишкового рівня. При виборі заходів щодо підвищення рівня захисту АС враховується одне принципове обмеження - вартість їх реалізації не повинна перевищувати вартість захищаються інформаційних ресурсів.

На завершення процедури аудиту його результати оформляються у вигляді звітного документа, який надається Замовнику. У загальному випадку цей документ складається з наступних основних розділів:

• опис меж, в рамках яких було проведено аудит безпеки;
• опис структури АС Замовника;
• методи і засоби, які використовувалися в процесі проведення аудиту;
• опис виявлених вразливостей і недоліків, включаючи рівень їх ризику;
• рекомендації щодо вдосконалення комплексної системи забезпечення інформаційної безпеки;
• пропозиції щодо плану реалізації першочергових заходів, спрямованих на мінімізацію виявлених ризиків.

7. Висновок

Аудит інформаційної безпеки є сьогодні одним з найбільш ефективних інструментів для отримання незалежної і об'єктивної оцінки поточного рівня захищеності підприємства від загроз інформаційної безпеки. Крім того, результати аудиту є основою для формування стратегії розвитку системи забезпечення інформаційної безпеки організації.

Однак, необхідно уявляти, що аудит безпеки не є одноразовою процедурою, а повинен проводитися на регулярній основі. Тільки в цьому випадку аудит буде приносити реальну віддачу і сприяти підвищенню рівня інформаційної безпеки компанії.

8. Список літератури

1. Вихорев С.В., Кобцев Р.Ю., Як дізнатися - звідки напасти або звідки виходить загроза безпеці інформації // Конфидент, №2, 2001..
2. Симонов С. Аналіз ризиків, управління ризиками // Інформаційний бюлетень Jet Info № 1 (68). 1999. с. 1-28.
3. ISO / IEC 17799, Information technology - Code of practice for information security management, 2000.
4. Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) - security risk evaluation - www.cert.org/octave.
5. Risk Management Guide for information Technology Systems, NIST, Special Publication 800-30.

Автор: Віктор Сердюк, Технічний директор ЗАТ «ДиалогНаука»,
кандидат технічних наук

джерело: ДиалогНаука

28.05.2006