"Финансовая газета. Региональный выпуск", 2006, N 34

АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Умение оценивать и управлять рисками, знание типовых угроз и уязвимостей, критериев и подходов к анализу защищенности, владение методами анализа и специализированным инструментарием, профессиональное знание различных программно-аппаратных платформ - вот далеко не полный перечень профессиональных качеств, которыми должны обладать те, кто проводит анализ соответствия систем информационной безопасности задачам бизнеса.

Любой аудит означает, что некая внешняя организация проведет проверку одного или нескольких компонентов информационной системы. Это явление известно всем должностным лицам. Они знают, что финансовые аудиторы проводят проверку финансовых записей и путей их использования. Они также могут быть знакомы с аудитом безопасности на физическом уровне. Однако они вряд ли знакомы с аудитом безопасности информации, т.е. с методами обеспечения ее конфиденциальности, доступности и целостности. Аудит информационной безопасности - это один из путей достижения безопасности информации внутри организации, который позволяет предотвратить убытки в случаях ее нарушения.

Термин "Безопасность" охватывает широкий круг интересов как отдельных лиц, так и компаний, корпораций, целых государств. В настоящее время большое значение придается проблеме информационной безопасности, обеспечению защиты конфиденциальной информации от ее поступления конкурирующим группам. Следует отметить, что данная проблема существовала еще с древних времен, когда с появлением письменности возникла и опасность прочтения ее нежелательными лицами. Тогда было три основных способа защиты информации: физическая охрана носителя информации - передача ее специальным курьером; стеганография (латино-греческое сочетание слов, означающих в совокупности "тайнопись"), заключающаяся в сокрытии самого факта наличия информации; криптография - преобразование смыслового текста в некий набор хаотических знаков (или букв алфавита). Получатель данного донесения имел возможность преобразовать его в то же самое осмысленное сообщение, если обладал ключом к его построению. В документах древних цивилизаций - Индии, Египта, Месопотамии - есть сведения о системах и способах составления шифрованных писем.

Сегодня понятие "проверка безопасности" употребляется взаимозаменяемо с понятием "аудит информационной безопасности", хотя различия между ними есть. Проверка безопасности - это поиск, проникновение, анализ и рекомендации по устранению уязвимостей в критических ресурсах, таких, как межсетевая защита, web-сервер или внутрикорпоративное пространство сети. Проверяющие безопасность могут рассматривать лишь один сервис на сетевом ресурсе. Они обычно работают извне с минимальной информацией о данной сети, для того чтобы как можно более реалистично имитировать возможные атаки злоумышленников.

Аудит информационной безопасности - это систематическая оценка того, как устроена и реализуется политика безопасности данной организации. Аудиторы работают с максимальной информацией об организации, ее внутренней структуре, чтобы исследовать ресурсы, которые должны состоять под аудитом.

Аудит информационной безопасности является частью процесса определения и управления эффективными политиками безопасности и касается каждого, кто использует ресурсы внутри организации. Организации предоставляют аудиторам все возможности для проверки информационной безопасности по следующим направлениям:

системы межсетевого экранирования;

системы обнаружения сетевых атак;

системы криптографической защиты данных и каналов связи;

системы обеспечения удаленного доступа и организации виртуальных частных сетей;

системы обеспечения резервирования и хранения данных;

системы антивирусной защиты данных;

системы анализа защищенности;

системы управления комплексом средств защиты информации.

Осуществляются также личные опросы сотрудников, сканирование на наличие уязвимостей, проверки настройки операционной системы, анализ открытых сетевых ресурсов, истории данных. В первую очередь исследуется использование политики безопасности - основы любой эффективной стратегии безопасности организации.

Этапы аудита информационной безопасности

Как и любой другой аудит, аудит информационной безопасности имеет свою технологию, регламент и этапность проведения. Различают такие этапы, как предварительное ознакомление с объектом аудита, составление плана, комплексное обследование объекта информатизации и выработка рекомендаций по усовершенствованию аудируемой ИТ-системы.

Прежде чем приступать непосредственно к аудиту, следует выполнить большое количество предварительных организационных работ: ознакомление с организацией, изучение технического описания аудируемой системы, включающего управление и данные о пользователях. Эти сведения полезны, так как позволяют создать общую картину, построенную на практике.

Далее разрабатывается план, согласно которому будет проводиться аудит. После этого обсуждается его цель с руководством и персоналом и согласуются некоторые детали, такие, как время проведения аудита, требуемые средства и влияние аудита на повседневную работу. Затем аудиторы должны убедиться в том, что цели аудита поняты персоналом, и уже после этого приступают к работе.

На этапе комплексного обследования анализируется текущее состояние системы защиты информации (далее - СЗИ) автоматизированной системы (далее - АС), классифицируются угрозы и оцениваются информационные риски по специальным методикам и критериям на основе российских и международных стандартов.

Комплексное обследование обычно начинается с анализа принятой в организации политики безопасности. Аудит информационной безопасности - это, по существу, и есть оценка эффективности применения политики безопасности внутри организации. Сегодня далеко не всякая организация уделяет должное внимание выработке политики безопасности - во многих компаниях даже отсутствуют задокументированные требования к системам безопасности и способы их реализации. Политика безопасности является средством стандартизации практики безопасности посредством ее документирования (в письменной форме) и соглашения со стороны сотрудников, прочитавших ее и подписавшихся под ней. Если не существует написанной политики безопасности или она неформальна, то это может привести к ее неправильному пониманию и невыполнению сотрудниками. Наличие политики безопасности не затрагивает вопрос компетентности работников, а скорее дает уверенность в том, что каждый работник знает, как защитить информацию, и согласен исполнять свое обязательство.

Проблемы часто возникают на рабочих местах. Даже при большой ответственности сотрудники часто предпочитают удобство безопасности. Широко распространено противоречие, когда нужно выбирать трудно угадываемые пароли, но в то же время хочется, чтобы эти пароли были всегда под рукой, поэтому либо клеится бумажка с паролем на монитор, либо листок с паролем прячется под клавиатурой. Еще распространенный пример, когда из-за спешки установка пароля на аккаунт откладывается на потом, что приводит к появлению уязвимой системы в сети. Каждый аккаунт администратора должен иметь пароль. Итак, при аудите информационной безопасности политика безопасности должна стать объектом номер один для пристального рассмотрения.

После изучения политики безопасности аудиторы проводят инвентаризацию информационных ресурсов, их классификацию, анализируют конфигурации и топологии АС и систем связи в целом и их отдельных компонентов, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения. По завершении этих мероприятий определяются возможные угрозы безопасности информации и информационные риски, проводится анализ уязвимости активного сетевого оборудования, серверов, рабочих станций, межсетевых экранов с помощью специальных средств анализа защищенности, отрабатываются модели несанкционированного проникновения в систему ("взлома") применительно к конкретным условиям функционирования АС.

Результатом работы по комплексному обследованию корпоративной информационной системы (КИС) заказчика является отчет, содержащий ее оценку с точки зрения информационной безопасности и рекомендации по совершенствованию СЗИ на основе проведенного анализа информационных угроз и рисков с приложением списка конкретных уязвимостей активного сетевого оборудования, серверов, рабочих станций, межсетевых экранов.

От аудита информационной безопасности - к надежной

системе защиты информации

Аудит информационной безопасности - специфическое направление работы аудиторов, не относящееся ни к финансовому аудиту, ни к проверкам деятельности служб безопасности. Им должны заниматься компании, специализирующиеся в области высоких технологий. При решении вопроса о выборе аудитора СЗИ нужно обращать внимание, прежде всего, на его опыт работы и портфель проведенных аудитов. Важную роль играет наличие лицензий (ФСБ, ФАПСИ, Гостехкомиссии России). Естественно, по завершении аудита встанет вопрос о путях усовершенствования имеющейся СЗИ на предмет ее соответствия требованиям стандартов безопасности, внутренней политики безопасности и реалий бизнеса. Здесь особое внимание следует обратить на технологическую часть предложения по модернизации СЗИ, оценить его последовательность и этапность.

Многолетний опыт компании "Микротест" в проведении аудитов информационной безопасности и создании систем безопасности позволил выработать и отладить технологию ведения таких проектов. Они, как правило, содержат следующие этапы:

составление технического задания на создание/модернизацию СЗИ;

формулирование концепции информационной безопасности;

разработка технического проекта СЗИ, содержащего технические решения по каждой ее подсистеме;

создание программы и разработка методики приемосдаточных испытаний СЗИ;

разработка рабочей документации на СЗИ;

поставка оборудования и программного обеспечения, проведение дополнительных работ по требованиям российского законодательства;

монтаж и пусконаладка оборудования СЗИ;

проведение приемосдаточных испытаний СЗИ;

сдача СЗИ в эксплуатацию;

аттестация автоматизированной системы по требованиям Гостехкомиссии России в соответствии с заданным классом защищенности.

(Окончание см. "Финансовая газета. Региональный выпуск", 2006, N 35)

М.Кургаев

Компания "Микротест"

Подписано в печать

23.08.2006

     
   ——————————————————————————————————————————————————————————————————
————————————————————
——