CC BY
685
Общетехнические задачи и пути их решения
143
УДК 004.056.005
Н. В. Иванова, О. Ю. Коробулина
МЕТОД АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ
Проводится анализ существующих методов аудита информационной безопасности информационных систем с помощью технологии SWOT-анализа. На основании полученных результатов разрабатывается собственный метод аудита информационной безопасности информационных систем с использованием экспертных систем.
информационная безопасность, метод аудита, экспертная система, степень защищенности.
Введение
Сегодня на железнодорожном транспорте используется большое количество информационных систем, через которые проходят потоки важной, а подчас и критичной информации. Эта информация подлежит обязательной защите от несанкционированных изменений и несанкционированного доступа, в противном случае могут возникнуть опасные инциденты.
Для обеспечения информационной безопасности (ИБ) информационных систем создаются системы защиты информации, корректность работы которых необходимо постоянно контролировать, чтобы поддерживать требуемый уровень безопасности. С этой целью проводится аудит информационной безопасности.
Аудит информационной безопасности необходим для выявления недостатков систем защиты информации и на основании полученных результатов - улучшения их защитных функций. В том случае, если недостатки системы защиты информации не будут вовремя выявлены, может произойти инцидент информационной безопасности, который неблагоприятно скажется на имидже информационной системы и снизит доверие к ней со стороны пользователей.
1 Методы аудита информационной безопасности
Под информационной безопасностью понимается обеспечение конфиденциальности, целостности и доступности, а также подлинности информации, надежности систем, контроля над выполнением обязательств [1].
Стандарт [1] также вводит два важных определения: угрозы и уязвимости информационной безопасности.
Угроза - потенциальная причина нежелательного инцидента, который может причинить вред информационной системе или компании.
ISSN 1815-588 Х. Известия ПГУПС
2010/4
144
Общетехнические задачи и пути их решения
Уязвимость - это отрицательная характеристика актива или группы активов, с помощью которой может быть реализована одна или несколько угроз.
Таким образом, информационная безопасность информационной системы может быть нарушена вследствие возникновения угроз информационной безопасности, которые реализуются посредством уязвимостей, существующих в информационной системе.
Событие информационной безопасности - зафиксированное событие в работе системы, сервиса или сети, показывающее возможные нарушения политики информационной безопасности или повреждения средств защиты, или ранее неизвестные ситуации, которые могут повлиять на безопасность [1].
Инцидент информационной безопасности - это единичное нежелательное или неожиданное событие информационной безопасности (или совокупность таких событий), которое может скомпрометировать бизнеспроцессы компании или угрожать ее информационной безопасности [1].
Для предотвращения инцидентов информационной безопасности необходимо своевременно проводить аудит информационной безопасности.
Ассоциация аудита и управления информационными системами (The Information Systems Audit and Control Association, ISACA) дает следующее определение термина «аудит информационной безопасности».
Аудит информационной безопасности - это процесс сбора и анализа сведений, позволяющих установить:
обеспечивается ли безопасность ресурсов организации (включая данные);
обеспечиваются ли необходимые параметры целостности и доступности данных;
достигаются ли цели организации в части эффективности информационных технологий.
На сегодняшний день существует три основных метода аудита информационной безопасности, они представлены на рисунке 1.
Рис. 1. Виды аудита информационной безопасности
2010/4
Proceedings of Petersburg Transport University
Общетехнические задачи и пути их решения
145
Активный аудит ИБ - это исследование состояния защищенности информационной системы с точки зрения злоумышленника, обладающего высокой квалификацией в области информационных технологий [2].
При осуществлении данного вида аудита моделируется как можно большее количество атак на систему сетевой защиты. При этом аудитору предоставляется только та информация, которую можно найти в открытых источниках. Результатом активного аудита является информация обо всех уязвимостях, степени их критичности и методах устранения.
Экспертный аудит - это сравнение состояния информационной безопасности с описанием состояния информационной безопасности, которое базируется:
на требованиях, предъявленных руководством компании;
на аккумулированном в компании-аудиторе мировом и частном опыте [2].
Для сбора исходных данных об информационной системе используется метод интервьюирования сотрудников компании. Технические специалисты отвечают на вопросы, связанные с функционированием информационной системы, а руководящий состав компании объясняет требования, которые предъявляются к системе защиты информации.
Результаты экспертного аудита содержат различные предложения по построению или модернизации системы обеспечения информационной безопасности.
При проведении аудита на соответствие стандартам состояние информационной безопасности сравнивается с неким абстрактным описанием, приводимым в международных и национальных стандартах [2].
Официальный отчет, подготовленный в результате проведения данного вида аудита, включает следующую информацию:
степень соответствия проверяемой информационной системы выбранным стандартам;
степень соответствия собственным внутренним требованиям компании в области информационной безопасности;
количество и категории полученных несоответствий и замечаний;
рекомендации по построению или модификации системы обеспечения информационной безопасности, позволяющие привести ее в соответствие с рассматриваемым стандартом;
подробную ссылку на основные документы заказчика, включая политику безопасности, описания необязательных стандартов и норм, применяемых к данной компании.
2 Анализ методов аудита
Интересным механизмом для проведения анализа методов аудита информационной безопасности является SWOT-анализ.
ISSN 1815-588 Х. Известия ПГУПС
2010/4
146
Общетехнические задачи и пути их решения
Изначально SWOT-анализ был создан для использования в маркетинговых исследованиях, но его механизм достаточно универсален, поэтому SWOT-анализ может быть применим и в других областях. SWOT-анализ имеет своей целью определение сильных и слабых сторон предприятия (анализ внутренней среды), а также возможностей и угроз ближайшего окружения фирмы (анализ внешней среды) [3].
В данной работе SWOT-анализ используется для определения достоинств и недостатков методов аудита информационной безопасности, а также для определения тех факторов внешней среды, которые могут способствовать или, наоборот, мешать проведению аудита.
Используя результаты SWOT-анализа, можно сделать вывод о том, какой из методов аудита является наиболее перспективным на сегодняшний день и, соответственно, какой из методов ляжет в основу дальнейшего исследования авторов.
Таблицы 1, 2 и 3 представляют собой SWOT-матрицы, составленные для трех основных методов аудита информационной безопасности.
ТАБЛИЦА 1. SWOT-матрица активного аудита
Сильные стороны Слабые стороны
Автоматизация процесса аудита В процессе проведения аудита не требуется участие сотрудников компании Частота проведения аудита не регламентируется Возможно проведение стресстестирования для определения производительности и стабильности работы системы, а также проверки системы на устойчивость к DoS-атакам Требуется дополнительное программное обеспечение На время проведения аудита необходимо прекратить работу системы Аудит направлен на выявление только известных уязвимостей
Возможности Угрозы
Высокий спрос на рынке Аудит может быть осуществлен сотрудниками подразделения информационной безопасности предприятия Большое количество программных продуктов различных организаций Автоматизация большей части работы экспертов Высокая стоимость необходимого программного обеспечения Для каждой системы необходимо подбирать программное обеспечение для проведения аудита Отсутствие нормативной базы для проведения аудита Возможны ошибки в используемом программном обеспечении
2010/4
Proceedings of Petersburg Transport University
Общетехнические задачи и пути их решения
147
ТАБЛИЦА 2. SWOT-матрица экспертного аудита
Сильные стороны Слабые стороны
Не требуется дополнительного программного обеспечения Не требуется прекращение работы системы на время проведения аудита Частота проведения аудита не регламентируется Аудит исходит из угроз информационной безопасности, тем самым позволяет покрыть большое число уязвимостей Необходимо участие сотрудников организации в процессе проведения аудита Высокие требования к качеству информации, предоставляемой компанией-заказчиком Длительные подготовительные работы Процесс аудита может занять большое количество времени
Возможности Угрозы
Накопленный большой опыт экспертных знаний в сфере информационной безопасности Наличие необходимых нормативноправовых документов Аудит может быть осуществлен сотрудниками подразделения информационной безопасности предприятия Возможность автоматизации процесса аудита Отсутствуют средства автоматизации процесса Необходимость доверия оценкам экспертов Высокие требования к компетентности экспертов Возможны противоречия во мнениях экспертов
ТАБЛИЦА 3. SWOT-матрица аудита на соответствие стандартам
Сильные стороны Слабые стороны
Порядок проведения аудита регламентируется нормативными документами В нормативных документах присутствует описание отчетных документов Не требуется дополнительного программного обеспечения Не требуется прекращение работы системы во время проведения аудита Необходимо участие сотрудников организации в процессе проведения аудита Аудит необходимо проводить каждый раз при изменении системы Высокие требования к качеству информации, предоставляемой компанией-заказчиком Процесс аудита может занять большое количество времени
Возможности Угрозы
Сертификат безопасности, выдаваемый в результате проведения аудита, повышает престиж организации В требованиях нормативных документов находят отражение лучшие практические выводы экспертов Высокий спрос на рынке Большое количество нормативноправовых документов Нормативная база постоянно дорабатывается Противоречия в нормативно-правовых документах Невозможно выполнить аудит силами самой организации, т. к. сертификат соответствия выдает только аккредитованная организация
ISSN 1815-588 Х. Известия ПГУПС
2010/4
148
Общетехнические задачи и пути их решения
Чтобы перейти от качественных оценок к количественным для приведенных в таблицах 1, 2 и 3 факторов авторами были определены следующие значения:
коэффициент важности фактора (F_impj);
наблюдаемое значение влияния фактора (F_infi);
степень неопределенности суждения (F_probi).
Значимость каждого фактора вычисляется по формуле:
F _ valt = F _ inf * F _ probt.
Тогда общая сумма значимости всех факторов для каждого параметра имеет вид:
Val = ^ F _ impt * F _ valt.
i=1
Результаты вычисления значимости параметров для каждого метода аудита информационной безопасности представлены в таблице 4. На рисунке 2 полученные значения проиллюстрированы гистограммой.
ТАБЛИЦА 4. Значимость параметров
Достоинства и недостатки параметров Активный аудит Экспертный аудит Аудит на соответствие стандартам
Сильные стороны 112,75 137,15 98,70
Слабые стороны 147,20 147,00 154,35
Возможности 174,80 184,95 163,80
Угрозы 165,45 181,70 184,40
Как видно из таблицы 4 и гистограммы на рисунке 2, самые лучшие показатели у экспертного аудита. Следовательно, именно этот метод является наиболее перспективным методом аудита информационной безопасности.
Но проведение экспертного аудита информационной безопасности требует хорошей подготовки экспертов, а специалистов такого уровня очень мало. Кроме того, решение задачи плохо формализуется и в большей степени строится на личном опыте и интуиции. Значит можно сделать вывод о том, что для решения таких задач следует использовать системы, основанные на знаниях.
2010/4
Proceedings of Petersburg Transport University
Общетехнические задачи и пути их решения
149
Сильные стороны Слабые стороны Возыоилости Угрозы
Рис. 2. Результаты SWOT-анализа
3 Метод аудита информационной безопасности
Авторами исследования разработан метод проведения аудита информационной безопасности информационных систем, применять который предлагается с помощью экспертной системы.
При проектировании экспертной системы выполняются следующие действия.
1. Выявляются основные угрозы информационной безопасности и производится их классификация.
2. Для каждой угрозы информационной безопасности определяется перечень уязвимостей, через которые может быть реализована данная угроза.
3. Для каждой уязвимости определяется перечень требований информационной безопасности, которые должны выполняться, чтобы избежать реализации угрозы.
4. Каждому требованию присваивается вес, выражающий степень важности требования.
Таким образом, экспертная система состоит из модулей, содержащих требования безопасности, предъявляемые к каждой уязвимости. Экспертная система самостоятельно выбирает модули, участвующие в процессе аудита информационной безопасности, в зависимости от того, от каких угроз будет анализироваться защищенность информационной системы.
ISSN 1815-588 Х. Известия ПГУПС
2010/4
150
Общетехнические задачи и пути их решения
Алгоритм проведения аудита состоит из семи этапов.
1. Определяется перечень угроз информационной безопасности, которые будут рассматриваться при проведении аудита информационной безопасности.
2. ЭС определяет перечень уязвимостей, через которые могут быть реализованы выбранные угрозы.
3. Для каждой уязвимости аудитор указывает требования, которые выполнены в системе защиты информации.
4. На основе полученных от аудитора ответов экспертная система вычисляет степень защищенности информационной системы от каждой уязвимости и объясняет полученные результаты.
5. Экспертная система вычисляет степень защищенности информационной системы от каждой из выбранных угроз с учетом степени защищенности от тех уязвимостей, через которые может быть реализована угроза, и объясняет полученные результаты.
6. Экспертная система вычисляет степень защищенности информационной системы от всех выбранных угроз с учетом степени защищенности системы от каждой выбранной угрозы и объясняет полученные результаты.
7. В зависимости от вычисленного значения степени защищенности экспертная система выдает рекомендации относительно повышения уровня защищенности от каждой из выбранных угроз.
4 Математическое описание метода аудита информационной безопасности
Множество угроз информационной безопасности:
Thr = {Thr1, Thr2,..., Thrm}.
Множество уязвимостей, через которые реализуются угрозы:
Vul = {Vul1,Vul2,...,Vuln}.
Каждая угроза реализуется через определенное множество уязвимостей:
VThr е Thr : 3{Vulj,...,Vulk} с Vul.
Множество требований, предъявляемых к системе защиты информации:
Re q = {Re qn,Re ^...Де qU|,Re q^Re fe...,Re % k21.,Re %1,Re % 2,.,Re %}.
Множество количества требований:
K = {k1, k2,..., k„}.
2010/4
Proceedings of Petersburg Transport University
Общетехнические задачи и пути их решения
151
Количества требований, предъявляемых к системе защиты информации для защиты от различных уязвимостей, могут совпадать или не совпадать:
Vk,kj е K: kj = ki v kj Ф ki.
1 J 1 J 1 J
Для защиты информационной системы от каждой уязвимости к системе защиты информации предъявляется определенное множество требований:
\IVuli е Vul: 3{Reqi1?Reqt2,...,Reqik} e Req. Множество весов всех требований:
V={v;„fi2 Vk1.V21.V22........V2 k2,-.,v„i,v„ 2.-...V*.}.
Степень защищенности системы от t-й уязвимости:
£v
SZ_Vul, = -И—, SZ_Vul, е[0; 1],
£v
i=1
где L - количество выполненных требований.
Степень защищенности системы от r-й угрозы:
S
£ SZ _ Vuli
SZ _ Thrr =-S=---------, SZ _ Thrr e[ 0; 1],
£ SZ _ Vulmax i
i=1
где S - количество уязвимостей, через которые реализуется угроза; SZ_Vulmaxi - максимальная степень защищенности от i-й угрозы. Максимальная степень защищенности для любой уязвимости равна 1:
У Vul. е Vul: SZ _ Vulmax = 1.
Следовательно.
£ SZ _ Vu^ax i = S.
i=1
Тогда степень защищенности системы от r-й угрозы может быть вычислена по формуле:
ISSN 1815-588 Х. Известия ПГУПС
2010/4
152
Общетехнические задачи и пути их решения
S
£ SZ _ Vul,
SZ Thr = -!=------------.
“ r S
С использованием аналогичных рассуждений степень защищенности информационной системы от выбранных угроз вычисляется по формуле:
р
£ SZ _ Thr,
SZ _ Sys = -----, SZ _ Sys e [0; 1],
где P - количество выбранных угроз.
Заключение
На основе представленного в статье анализа методов аудита информационной безопасности можно сделать вывод, что для повышения качества проведения аудита целесообразно применять экспертные системы. Применение экспертных систем позволит, с одной стороны, компании-заказчику проводить аудит собственными силами, а экспертов по информационной безопасности приглашать только в критических ситуациях; с другой стороны, для компании-аудита экспертная система может выступать в качестве инструментального средства, позволяющего ускорить процесс проведения аудита и облегчить работу экспертов.
Библиографический список
1. Международный стандарт ISO/IEC 17799:2005. Информационные технологии. Технологии безопасности. Практические правила по управлению информационной безопасностью. - http://www.dsec.ru/. - 123 с.
2. Избавиться от заблуждений. Виды аудита информационной безопасности / Р. Е. Просянников // Connect! Мир связи. - 2004. - № 12. - С. 148-151.
3. SWOT-анализ: методики проведения и возможности применения на российских предприятиях / А. Н. Гвозденко // Маркетинг и маркетинговые исследования. -2006. - № 2. - С. 144-156.
Статья поступила в редакцию 28.05.2010;
представлена к публикации членом редколлегии А. А. Корниенко.
2010/4
Proceedings of Petersburg Transport University
