CC BY
283
Выпуск 3
УДК 004.056 А. П. Нырков,
профессор, д-р техн. наук, СПГУВК
С. А. Рудакова,
аспирант,
СПИИРАН
МЕТОДИКА АУДИТА ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО ТРЕБОВАНИЯМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
THE TECHNIQUE OF AUDIT OF INFORMATION OBJECTS FOR INFORMATION SECURITY REQUIREMENTS
Предлагается методика аудита объектов информатизации по требованиям информационной безопасности, основанная на комбинации методик, использующих в качестве параметров оценки защищенности количественные и качественные критерии.
The technique of audit of information objects for information security requirements, based on combination of techniques using quantitative and qualitative criteria as parameters of evaluation of security, is proposed.
Ключевые слова: информационная безопасность, аудит, соответствие требованиям, оценка рисков.
Key words: information security, audit, compliance, risk assessment.
ПОД аудитом объекта информатизации по требованиям информационной безопасности понимают процесс получения оценок, отражающих текущее состояние защищенности исследуемого объекта.
Методы проведения аудита могут значительно отличаться. В качестве параметров оценки защищенности могут использоваться качественные или количественные критерии. При оценке качественных критериев проводится либо аудит соответствия объекта информатизации стандартам в области информационной безопасности (российским, зарубежным, международным), либо тестирование системы защиты объекта информатизации, нацеленное на выявление уязвимостей. При оценке количественных критериев используются методы анализа рисков (в том числе с использованием инструментальных средств) и методы оценки эффективности использующихся систем защиты информации.
Методы аудита информационной безопасности, использующие в качестве параметров оценки защищенности количественные критерии, являются наиболее сложными, трудоемкими и требуют наивысшей квалификации аудитора. При помощи этих методов определяется набор требований к информационной безопасности конкретного объекта информатизации, учитывающий его индивидуальную специфику.
Методы, использующие в качестве параметров оценки качественные критерии, опираются на оценку соответствия обследуемого объекта информатизации требованиям, предъявляемым к широкому кругу информационных систем. Такие методы также требуют высокой квалификации аудитора и зачастую имеют большую трудоемкость, однако эти требования всегда ниже, чем при использовании методик аудитов, использующих в качестве параметров оценки количественные критерии.
Анализируя практикуемые сегодня методы аудита информационной безопасности объектов информатизации, можно сделать следующие выводы:
— при проведении аудитов, использующих в качестве параметров оценки защищенности качественные критерии, количественные критерии остаются неописанными;
— при проведении аудитов, оценивающих количественные параметры защищенности объекта информатизации, качественные критерии, как правило, не рассматриваются.
Следствием этого является:
— при проведении аудитов, использующих в качестве параметров оценки защищенности качественные критерии, индивидуальная специфика объекта информатизации зачастую остается неучтенной. Таким образом, даже положительные результаты аудита не всегда гарантируют, что объект информатизации защищен;
— результаты аудитов, использующих в качестве параметров оценки защищенности количественные критерии, напрямую зависят от опыта и квалификации аудитора. Поэтому зачастую сложно оценить их надежность.
Таким образом, оба упомянутых выше типа аудитов информационной безопасности имеют довольно существенные недостатки, следствием которых может быть неспособность сформировать корректное представление текущего состояния защищенности объекта информатизации.
Чтобы минимизировать эти недостатки, предлагается комбинировать количественные и качественные типы аудита информационной безопасности.
Ниже приведен пример проведения аудита информационной безопасности кредитной организации (далее — Банк), в основе которого лежит комбинация количественного и качественного типов.
Целью проведения аудита являлась оценка защищенности информации ограниченного доступа (платежной информации, персональных данных, коммерческой тайны), обрабатываемой в Банке. Для проведения аудита руководством Банка было принято решение привлечь сторонних специалистов (сотрудников организации-интегратора), квалификация которых подтверждалась бы опытом проведения успешных работ, прохождением профильного обучения и наличием сертификатов.
Сотрудниками организации-интегратора (далее — Интегратор) было принято решение провести аудит информационной безопасности в несколько этапов.
Этап 1. Выявление требований, предъявляемых Стандартом Банка России СТО БР ИББС.
Этап 2. Оценка рисков нарушения информационной безопасности информации ограниченного доступа, обрабатываемой в Банке. В рамках этого этапа предполагалось выявить недопустимые риски и сформировать требования, нейтрализующие эти риски.
Этап 3. В случае выявления расхождений между требованиями, выявленными в ходе первых двух этапов, проведение дополнительного анализа различающихся требований и формирование выводов об их необходимости.
Этап 4. Оценка выполнения требований.
В результате выполнения работ первого и второго этапов были сформированы перечни требований. В рамках настоящего примера приведены только выписки из этих перечней. Выписки из перечней требований представлены в табл. 1.
Таблица 1
Перечень требований СТО БР ИББС и оценки рисков
№ п/п Требование СТО БР ИББС Оценка рисков
1 Должен проводиться контроль деятельности работников Банка, обладающих совокупностью полномочий, позволяющей получить контроль над защищаемым информационным активом + +
2 Все работники Банка должны давать письменное обязательство о соблюдении конфиденциальности + +
3 Процедуры управления доступом должны исключать возможность «само-санкционирования» + +
Выпуск 3
Выпуск 3
Таблица 1 (Продолжение)
4 Должен проводиться периодический контроль доступа работников Банка в помещения, в которых размещаются объекты среды информационных активов + —
5 До сведения сотрудников Банка должны быть доведены процедуры, определяющие действия в случае компрометации (или подозрения на компрометацию) их личных атрибутов доступа + —
6 В системах ДБО должны быть реализованы механизмы информирования клиентов обо всех операциях, совершаемых от их имени + +
7 До всех клиентов систем ДБО Банка должны быть доведены сведения об известных возможных методах мошенничества и способах противодействия — +
8 Должны быть реализованы механизмы предупреждения клиентов систем ДБО о подозрении на мошеннические действия, совершаемые с их платежной информацией — +
9 Работа всех пользователей АБС должна осуществляться под уникальными учетными записями + +
10 На всех АРМ и серверах Банка должны применяться средства антивирусной защиты + +
11 Регулярное обновление средств антивирусной защиты должен осуществлять администратор АС и контролировать администратор ИБ + +
12 Цели использования сети Интернет должны быть явно перечислены + —
13 Клиенты систем ДБО должны быть обеспечены детальными инструкциями, описывающими процедуры выполнения операций или транзакций + —
14 Электронная почта должна архивироваться + —
15 Должны проводиться периодические проверки соответствия установленного ПО перечню установленного ПО + —
16 Платежная информация должна защищаться от искажения + +
Таким образом, на третьем этапе аудита было выявлено множество требований С = {4, 5, 12, 13, 14, 15}, предъявляемых СТО БР ИББС и не предъявляемых при оценке рисков, и множество требований Р = {7, 8}, не предъявляемых СТО БР ИББС и предъявляемых при оценке рисков.
В связи с тем что требования {Р} были выявлены квалифицированными профессионалами с учетом индивидуальной специфики Банка, было принято решение считать эти требования необходимыми.
Необходимость требований {С} специалисты Интегратора решили подвергнуть дополнительной проверке в связи с возможным наличием избыточности (наличие избыточности возможно из-за того, что требования стандарта рассчитаны на широкий круг объектов информатизации и не могут учитывать специфику Банка). Методом проверки был выбран метод оценки рисков нарушения требований. В результате проверки была выявлена необходимость требований {4, 5, 13, 15} и отсутствие необходимости требований {12, 14}.
Таким образом, на четвертом этапе аудита оценке подлежали требования {1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 13, 15}.
В результате аудита:
— была учтена индивидуальная специфика Банка;
— надежность результатов была обеспечена требованиями стандарта и квалификацией аудиторов (под надежностью здесь и далее подразумевается высокая вероятность того, что все необходимые требования были учтены и оценены корректно).
Приведенный выше пример демонстрирует методику проведения аудита объекта информатизации по требованиям информационной безопасности, основанную на комбинации методик, использующих в качестве параметров оценки защищенности количественные и качественные критерии.
В рамках этого примера:
— выявление требований стандарта СТО БР ИББС основано на качественных критериях (необходимо или нет);
— выявление требований в соответствии с оценкой рисков основано на количественных критериях (в основе оценки рисков лежат математические алгоритмы);
— выявление избыточности требований, предъявляемых стандартом и не предъявляемых при оценке рисков, основано на количественных критериях (в основе лежат математические алгоритмы);
— оценка выполнения выявленных требований основана на качественных критериях (выполнено или нет).
Сочетание методик, использующих в качестве параметров оценки защищенности как количественные, так и качественные критерии, позволяет увеличить вероятность отсутствия избыточности требований при высокой степени надежности результатов аудита.
В свою очередь надежность результатов аудита является основой для принятия верных решений для дальнейшего определения стратегии развития системы информационной безопасности объекта информатизации.
Список литературы
1. Ерохин С. С. Методика аудита информационной безопасности объектов электронной коммерции: дис. ... канд. техн. наук / С. С. Ерохин; Томский гос. ун-т систем управления и радиоэлектроники. — Томск, 2010.
2. Фомин А. А. Исследование и оптимизация алгоритмов аудита информационной безопасности организации / А. А. Фомин // Вопросы защиты информации. — М., 2009. — № 3. — С. 57-63.
3. Астахов А. А. Анализ защищенности автоматизированных систем / А. А. Астахов [Электронный ресурс]. Электрон. дан. Режим доступа: http://www.globaltrust.ru
Выпуск 3
