CC BY
186
УДК 656.7:658
МЕТОДОЛОГИЧЕСКИЕ АСПЕКТЫ ИНФОРМАЦИОННОГО АУДИТА В МЕНЕДЖМЕНТЕ ПРЕДПРИЯТИЯ
М.А. РОДИОНОВ
В статье рассматриваются методологические основы проведения комплексного аудита различных информационных систем, эффективное функционирование которых является необходимым условием развития современного менеджмента.
Ключевые слова: информационная безопасность, информационный аудит, защита информации.
Важной составляющей развития менеджмента современных предприятий является автоматизация бизнес-процессов с использованием средств вычислительной техники и телекоммуникаций, следствием чего выступает неуклонный рост объемов информации, которая подвергается обработке и накоплению в электронном виде. В связи с этим автоматизированные системы (АС) становятся ключевыми в обеспечении эффективного выполнения бизнес-процессов предприятий, что приводит к повышению актуальности проблем, связанных с защитой информации от различных угроз. Известно, что в последнее время в России и ведущих зарубежных странах имеет место тенденция увеличения числа информационных атак, приводящих к значительным финансовым и материальным потерям.
Помимо действий злоумышленника есть другие, не менее опасные угрозы. Например, это отказ оборудования, приводящий к сбоям в доступе к электронной информации, а в худшем случае - к частичной или полной ее потере. Мы, как правило, совсем не заботимся о разработке и внедрении плана мероприятий по восстановлению работоспособности информационной системы (ИС) после кризиса.
Чтобы гарантировать эффективную защиту от информационных атак злоумышленников и от потери информации, компаниям необходимо иметь объективную оценку текущего уровня безопасности АС. Именно для этих целей и применяется аудит информационной безопасности (ИБ) организации (предприятии, фирмы).
Аудит - это процесс получения и оценки объективных данных о текущем состоянии обеспечения безопасности информации на объектах, действиях и событиях, происходящих в проверяемой информационной системе, определяющих уровень их соответствия определенному критерию. Причем оценки о текущем состоянии безопасности информации (БИ) должны быть как количественными, так и качественными. На базе данных оценок вырабатываются практические рекомендации по совершенствованию, построению и управлению СОИБ в соответствии с поставленными целевыми задачами и заданным уровнем риска исследуемой организации.
Можно выделить следующие основные виды аудита ИБ: экспертный аудит безопасности, в процессе которого выявляются недостатки в системе мер защиты информации на основе имеющегося опыта экспертов, участвующих в процедуре обследования; оценка соответствия рекомендациям Международных стандартов, а также требованиям руководящих документов ФСТЭК; инструментальный анализ защищенности АС, направленный на выявление и устранение уязвимостей программно-аппаратного обеспечения системы; системный или комплексный аудит, включающий в себя все вышеперечисленные формы проведения обследования.
В зависимости от тех задач, которые необходимо решить организации, каждый из вышеперечисленных видов аудита может проводиться по отдельности или в комплексе. В качестве объ-
екта аудита может выступать как АС компании в целом, так и ее отдельные сегменты, в которых проводится обработка информации, подлежащей защите.
При обеспечении ИБ важно понимать, что: обеспечение ИБ - это непрерывный процесс, взаимоувязывающий правовые, организационные и программно-аппаратные меры защиты; в его основе лежит периодический анализ защищенности ИС от угроз и динамики их развития; ИС в своем развитии должна подвергаться периодическим реорганизациям, отправной точкой каждой из которых служит анализ выявленных уязвимостей при проведении аудита ИБ.
Методика анализа защищенности. В настоящее время не существует каких-либо стандартизированных методик анализа защищенности АС, поэтому в конкретных ситуациях алгоритмы действий аудиторов могут существенно различаться. Однако типовую методику анализа защищенности корпоративной сети предложить все-таки возможно. И хотя данная методика не претендует на всеобщность, ее эффективность многократно проверена на практике. Типовая методика включает: изучение исходных данных по АС; оценку рисков, связанных с осуществлением угроз безопасности в отношении ресурсов АС; анализ механизмов безопасности организационного уровня, политику безопасности организации и организационно-распорядительной документации по обеспечению режима информационной безопасности и оценку их соответствия требованиям существующих нормативных документов, а также их адекватности существующим рискам; ручной анализ конфигурационных файлов маршрутизаторов и прокси-серверов, осуществляющих управление межсетевыми взаимодействиями, почтовых и DNS серверов, а также других критических элементов сетевой инфраструктуры; сканирование внешних сетевых адресов ЛВС из сети Интернет; сканирование ресурсов ЛВС; анализ конфигурации серверов и рабочих станций ЛВС при помощи специализированных программных средств.
Методы тестирования системы защиты. Тестирование системы защиты АС проводится с целью проверки эффективности используемых в ней механизмов защиты, их устойчивости в отношении возможных атак, а также с целью поиска уязвимостей в защите. Традиционно используются два основных метода тестирования:
тестирование по методу “черного ящика” (предполагает отсутствие у тестирующей стороны каких-либо специальных знаний о конфигурации и внутренней структуре объекта испытаний. При этом рассматриваются все известные типы атак и проверяется устойчивость системы защиты. Используемые методы тестирования эмулируют действия потенциальных злоумышленников, пытающихся взломать систему защиты. Основным средством тестирования являются сетевые сканеры, располагающие базами данных известных уязвимостей);
тестирование по методу “белого ящика” (предполагает составление программы тестирования на основании знаний о структуре и конфигурации объекта испытаний. В ходе тестирования проверяются наличие и работоспособность механизмов безопасности, соответствие состава и конфигурации используемых средств защиты и системного программного обеспечения (ПО), а затем проверяются на практике. Основным инструментом анализа здесь являются программные агенты средств анализа защищённости системного уровня, рассматриваемые ниже).
Методика определения эффективности защиты информации. Факторы, влияющие на уровень защиты информации, систематизированы в ГОСТ Р 51275-99. Однако на практике возникают и иные, заранее неизвестные при проектировании систем защиты информации (СЗИ) обстоятельства, способные снизить эффективность защиты или полностью скомпрометировать предусмотренные проектом меры информационной безопасности. Оценка эффективности защиты информации должна обязательно учитывать их, а ее характеристики, как это следует из ГОСТ Р 50922-96, должны иметь вероятностный характер. Развитие подобной методологии, включая систему нормативных документов, содержащих количественные, измеримые показатели эффективности СЗИ, обеспечит интересы как заказчиков, так и проектировщиков.
Для решения рассматриваемой проблемы предлагается использовать системный подход, который предполагает учет следующих аспектов.
Экономический аспект. Массовое создание, внедрение и эксплуатация информационных систем привели к возникновению спектра новых проблем в сфере безопасности личности, общества и государства. Внимание к этим проблемам закономерно. Если коммерческая организация допускает утечку более 20% важной внутренней информации, то она в 60 случаях из 100 банкротится. Также утверждают, что 93% компаний, лишившихся доступа к собственной информации на срок более 10 дней, покинули бизнес, причем половина из них заявила о своей несостоятельности немедленно. В таких условиях все более широко распространяется мнение, что защита информации должна по своим характеристикам быть соразмерной масштабам угроз. Отклонение от этого правила чревато дополнительным ущербом.
Основные проблемы. Защита критически важных для собственников информационных систем соответствует многочисленным международным, национальным, корпоративным, нормативным и методическим документам. Применяются весьма дорогостоящие технические средства и внедряются строго регламентированные организационные мероприятия. Нет ответа на самый важный вопрос - насколько предлагаемое или уже реализованное решение хорошо, какова его планируемая или реальная эффективность.
Такому положению, сложившемуся сейчас в информатике, но невозможному в области обеспечения интегрированной безопасности объектов традиционной инженерии (например, таких, как авиация, транспорт или энергетика) есть ряд причин: игнорирование системного подхода как методологии анализа и синтеза СЗИ; отсутствие механизмов полного и достоверного подтверждения качества СЗИ; недостатки нормативно-методического обеспечения информационной безопасности, прежде всего в области показателей и критериев.
Системность при защите информации. СЗИ должна иметь целевое назначение. Причем, чем более конкретно сформулирована цель защиты информации, детально уяснены имеющиеся для этого ресурсы и определен комплекс ограничений, тем в большей степени можно ожидать получение желаемого результата. Если цель обеспечения информационной безопасности проста (формулируется скалярным показателем) и принципиально достижима, то оказывается достаточно сравнительно несложных по составу и структуре СЗИ. Однако при расширении круга проблем, которые нужно решать для обеспечения интегральной информационной безопасности, содержание целевого назначения системы на формализованном уровне приобретает многомерный, векторный характер. При этом значимость свойств отдельных элементов СЗИ снижается, а на первый план выдвигаются общесистемные задачи - определение оптимальной структуры и режимов функционирования системы, организация взаимодействия между ее элементами, учет влияния внешней среды и др. При целенаправленном объединении элементов в систему последняя приобретает специфические свойства, изначально не присущие ни одной из ее составных частей. При системном подходе имеют первостепенное значение только те свойства элементов, которые определяют взаимодействие друг с другом и оказывают влияние на систему в целом, на достижение поставленной цели.
Результативное решение задач анализа и синтеза СЗИ не может быть обеспечено лишь способами качественного описания их поведения в различных условиях - системотехника выдвигает проблемы, требующие количественной оценки характеристик. Такие данные, полученные экспериментально или путем математического моделирования, должны раскрывать свойства СЗИ. Основным из них является эффективность, под которой понимается степень соответствия результатов защиты информации поставленной цели. Эффективность имеет непосредственную связь с другими системными свойствами, в том числе качеством, надежностью, управляемостью, помехозащищенностью, устойчивостью. Количественная оценка эффективности позволяет измерять и объективно анализировать основные свойства систем на всех стадиях их жизненного цикла, начиная с этапа формирования требований и эскизного проектирования.
Средства защиты информации, в соответствии с действующими нормами и правилами, подлежат обязательной или добровольной сертификации. Однако сертификация не является со-
вершенным инструментом и не дает необходимых гарантий. В лучшем случае проверяется только 85% всех возможных состояний, а обычно - 60-70%.
Нормативно-методическое обеспечение и оценка эффективности. Создание и эксплуатация ИС должны проводиться в соответствии с существующим законодательством и требованиями нормативно-технических документов. Данное положение, разумеется, применимо к любому виду организованной деятельности, однако ИТ (информационная техника) развивается исключительно быстрыми темпами и почти всегда нормативная база отстает от потребностей практики. Здесь подобное отставание законов, нормативных актов, национальных и отраслевых стандартов, а также методического обеспечения оказывается особенно критичным.
Трудности объективного подтверждения эффективности СЗИ коренятся в несовершенстве существующей нормативной базы, а также в сложившихся в ИТ подходах, принципиально отличающихся от разработанных в традиционной инженерии. Специалистами, например, отмечается недостаточная проработанность такого аспекта нормативного обеспечения, как система показателей информационной безопасности. В неудовлетворительном состоянии находится система критериев безопасности таких, как эффективность СЗИ. Эти же замечания можно отнести и к международной нормативной базе по информационной безопасности, включающей около 50 международных стандартов ИСО/МЭК на критерии оценки безопасности ИТ и методы защиты средств и систем ИТ. Применение методов функциональной стандартизации в области ИБ изложены в международном стандарте ИСО/МЭК 15408-99 “Критерии оценки безопасности информационных технологий”. Общие критерии предлагают набор исторически сложившихся и, самое главное, привычных в отрасли подходов к безопасности, которые используются, чтобы создавать изделия или системы, отражающие не столько потребности заказчика, сколько возможности разработчика. Важно отметить, что по своей сути они являются не критериями в полном смысле этого термина, а неким подобием общих технических требований, определяющих облик систем в зависимости от их назначения и условий функционирования.
Методическое обеспечение. Нормативные документы по оценке безопасности ИТ практически не содержат конкретных методик, в результате чего величина разрыва между общими декларациями и конкретным инструментарием по реализации и контролю их положений является недопустимой. Исходя же из своего предназначения, методическая база должна охватывать все критически важные аспекты обеспечения и проверки выполнения требований, предъявляемых к информационной безопасности. Объективным видом оценки эффективности СЗИ является функциональное тестирование, предназначенное для проверки фактической работоспособности реализованных механизмов безопасности и их соответствия предъявленным требованиям, а также обеспечивающее получение статистических данных. В силу того, что средства безопасности обладают ограниченными возможностями по противодействию угрозам, всегда существует вероятность нарушения защиты, даже если во время тестирования механизмы безопасности не были обойдены или блокированы. Для оценки этой вероятности должны проводиться дополнительные исследования. В методическом плане определение эффективности СЗИ должно заключаться в выработке суждения относительно пригодности способа действий персонала или приспособленности технических средств к достижению цели защиты информации на основе измерения соответствующих показателей.
Эффективность оценивается для решения следующих задач: принятие решения о допустимости практического использования СЗИ в конкретной ситуации; выявление вкладов различных факторов в достижение цели; установление путей повышения эффективности СЗИ; сравнение альтернативных вариантов систем.
При использовании современной методической базы, оценка эффективности СЗИ носит в основном нечеткий, субъективный характер; практически отсутствуют нормированные количественные показатели, учитывающие возможные случайные или преднамеренные воздействия. В результате достаточно сложно, а зачастую и невозможно, оценить качество функционирования
информационной системы при наличии несанкционированных воздействий на ее элементы, а соответственно и определить, чем один вариант проектируемой системы лучше другого.
Количественная оценка эффективности. В соответствии с современной теорией оценки эффективности систем, качество любого объекта, в том числе и СЗИ, проявляется лишь в процессе его использования по назначению (целевое функционирование), поэтому наиболее объективным является оценивание по эффективности применения.
Проектирование, организация и применение СЗИ фактически связаны с неизвестными событиями в будущем и поэтому всегда содержат элементы неопределенности. Присутствуют и другие причины неоднозначности, такие как недостаточно полная информация для принятия решений, социально-психологические факторы. Поэтому, например, этапу проектирования СЗИ естественным образом сопутствует значительная неопределенность. По мере реализации проекта ее уровень снижается, но никогда эффективность СЗИ не может быть адекватно описана детерминированными показателями. Процедуры испытаний, сертификации или лицензирования не устраняют полностью неопределенность свойств СЗИ или ее отдельных элементов и не учитывают случайный характер атак. Поэтому объективной характеристикой качества СЗИ в условиях реального воздействия случайных факторов может служить только вероятность, характеризующая степень возможностей конкретной СЗИ при заданном комплексе условий. Такая характеристика называется вероятностью достижения цели операции или вероятностью выполнения задачи системой. Данная вероятность должна быть положена в основу комплекса показателей и критериев оценки эффективности СЗИ. При этом критериями оценки служат понятия пригодности и оптимальности. Пригодность означает выполнение всех установленных к СЗИ требований, а оптимальность — достижение одной из характеристик экстремального значения при соблюдении ограничений и условий на другие свойства системы. При выборе конкретного критерия необходимо его согласование с целью, возлагаемой на СЗИ.
При синтезе системы возникает проблема решения задачи с многокритериальным показателем. Некоторые авторы рассматривают показатели эффективности, которые предназначены при решении задачи сравнения различных структур СЗИ. Также используются показатели эффективности вероятностно-временного характера, имеющие смысл функций распределения. К ним относится вероятность преодоления системы защиты информации за некоторое время.
В современных нормативных документах по информационной безопасности используется, как известно, классификационный подход. Г ораздо более конструктивными являются вероятностные методы, нашедшие широкое распространение в практике обеспечения безопасности в других прикладных областях. В соответствии с этими методами уровни гарантий безопасности СЗИ трансформируются в доверительные вероятности соответствующих оценок показателей. Для решения данной задачи можно рекомендовать теорию статистических решений, позволяющую находить оптимальные уровни гарантий безопасности.
Оценка оптимального уровня гарантий безопасности в определяющей степени зависит от ущерба, связанного с ошибкой в выборе конкретного значения показателя эффективности.
Для получения численных оценок риска необходимо знать распределения ряда случайных величин. Это в определенной степени ограничивает количественное исследование уровней гарантий безопасности, предоставляемых СЗИ, но, тем не менее, во многих практических случаях такие оценки можно получить, например, с помощью имитационного моделирования или по результатам активного аудита СЗИ.
В качестве примера рассмотрим один из подходов к определению показателей риска. Полный расчет информационного риска основывается на значениях степени риска и ущерба, который может быть понесен собственником информационных ресурсов (ИР). При этом предполагается, что составляющие ущерба, основанные на стоимости ИР, определяются их собственником. Уровень значимости каждого ИР оценивается, исходя из присвоенных значений конфиденциальности и критичности для выполнения основных целей собственника ИР.
Каждое значимое деструктивное воздействие (ДВ) может быть направлено на несколько информационных ресурсов gj, где]=1..т, m - максимальное количество защищаемых информационных ресурсов исследуемой организации. Вероятность отрицательного воздействия на ресурсы выражается через вероятность реализации ДВ (Рдв)т 0=1..ё), где Б - максимальное количество элементов перечня значимых ДВ исследуемой организации. Ущерб Яи получаемый организацией в результате воздействия /-го деструктивного воздействия на информационные ресурсы, равен
Кг= (РДВ )т £ (1)
где и - материальные потери, понесенные в результате выполнения /-го деструктивного действия, направленного на информационный ресурс gj. Рассматриваемые потери включают в себя стоимость самого информационного ресурса, стоимость его восстановления, а также упущенную выгоду использования данного ИР.
Р= (РДВ )N £ (с}■ + V; + ) , (2)
]
где с; - стоимость ИР gj^; V; - стоимость восстановления ИР gj; 2; - упущенная выгода использования ИР gj.
На один и тот же информационный ресурс gj одновременно может быть направлено несколько ДВ. Распределение ущерба от ДВ по всем информационным ресурсам gj можно представить в виде матрицы:
( Рдв )
ДВ ) N1 и1
( Рдв )
ДВ )N1 и2
( Рдв )
ДВ ) N1 ит
Л
( Рдв )
ДВ ) N 2 и1
( Рдв )
( Рдв )
ДВ ) N 2 ит
(3)
ч( РДВ ) NnU1 (РДВ ) N п ^2 ••• (РДВ ) N
На практике обычно предполагается, что ущерб, который может понести организация в результате /-го деструктивного воздействия на ресурс gj, равен максимально возможной вероятности (РдВ)м, помноженной на материальные потери и-. В таком случае общий ущерб Я^, который может понести организация в результате осуществления всех значимых деструктивных воздействий, рассчитывается по формулам
Я^ =тах{(Рдв)тиі}+тах{(Рдв)^и2}+■■■ +тах{(Рдв)тит};
т
ЯТ= £ тах{(рДв и} ■
(4)
(5)
-=1
Распределение значимых ДВ по информационным ресурсам исследуемой организации определяется на этапе комплексного обследования экспертами-аудиторами. Множество защищаемых информационных ресурсов О и материальные потери и- определяются на этапе комплексного обследования экспертами-аудиторами совместно с уполномоченными представителями исследуемой организации.
При оценке ущерба репутации собственнику ИР от разглашения или модификации сведений, содержащихся в защищаемых ИР, учитывается возможность негативной реакции представителей органов государственной власти, общественных организаций, средств массовой информации, приводящих к крупным скандалам, парламентским слушаниям, проверкам компетентными органами, возбуждению судебного преследования. Учитываются возможные финансовые потери собственника ИР, степень возможной дезорганизации его деятельности по достижению основных бизнес-целей, связанные с разглашением (утратой, хищением), модификацией сведений, содержащихся в защищаемых ИР, или нарушением доступа к этим ИР.
В целом, изложенные положения можно использовать в качестве методологических основ проведения комплексного аудита различных информационных систем, эффективное функционирование которых является необходимым условием развития современного менеджмента.
ЛИТЕРАТУРА
1. Белов В.П., Родионов М.А. Информационная безопасность государственного управления. - М.: ВАГШ,
2004.
2. Вихорев С.В. Методические рекомендации по проведению комплексного обследования (аудита) защищенности информационной системы. - М.: ОАО «ЭЛВИС-ПЛЮС», 2003.
3. Галицкий А.В., Рябко С.Д., Шаньгин В.Ф. Защита информации в сети - анализ технологий и синтез решений. - М.: ДМК Пресс, 2004.
4. Петренко С. А., Петренко А. А. Аудит безопасности Шгапе!. - М.: ДМК Пресс, 2002.
METHODOLOGICAL ASPECTS
Rodionov M^.
In this article there are considered the methodological basics of integrated audit process of various information systems, their effective operation is requirement of modern management development.
Key words: information security, information auditing, information security.
Сведения об авторе
Родионов Михаил Александрович, 1957 г .р., окончил ВА РВСН (1979), МГУ им. М.В. Ломоносова (1987), ВАГШ ВС РФ (1999), РАГС при Президенте РФ (2005), кандидат технических наук, доктор военных наук, профессор, автор более 150 научных работ, область научных интересов - антикризисный менеджмент, теория принятия решений, информационная безопасность.
