Методология проведения аудита системы менеджмента информационной безопасности Текст научной статьи по специальности «Компьютерные и информационные науки»

МЕТОДОЛОГИЯ ПРОВЕДЕНИЯ АУДИТА

СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

© ГуБбНКОЕ Артем Александрович

кандидат физико-математических наук, доцент кафедры программного обеспечения вычислительной техники и автоматизированных систем Саратовского государственного технического университета, сотрудник учебно-научного центра по проблемам информационной безопасности Саратовского региона - СГТУ

@ (845-2) 565-108 И agubenkov@mail.ru

Рассматриваются последовательность и содержание работ на каждом из этапов аудита, проводимого для оценки соответствия системы менеджмента информационной безопасности требованиям национального стандарта ИСО/МЭК 27001-2005.

Ключевые слова: аудитбезопасности, активы, риски.

В настоящее время практически сформировалась структура стандартов в области информационной безопас-

ности, основу которой составляют ИСО/МЭК 27001-2005 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» [1] и ИСО/МЭК 27002-2005 «Информационная технология. Методы и средства обеспечения безопасности. Свод правил для менеджмента информационной безопасности» (полностью идентичен ИСО/МЭК 17799-2005 [2]). В 2007 г. был введен в действие ИСО/ МЭК 27006 «Информационная технология. Методы и средства обеспечения безопасности. Требования для органов, осуществляющих аудит и сертификацию систем менеджмента информационной безопасности». В ближайшее время ожидается принятие еще нескольких национальных стандартов серии 27000, определяющих процессы эксплуатации систем менеджмента информационной безопасности (СМИБ) и практической реализации базовых технологий (менеджмент риска [3] и его измерение). В то же время практически отсутствуют подробные руководства и комментарии по практическому использованию требований базовых стандартов, основанных на оценке и управлении информационными рисками [4].

Согласно стандарту, перед началом разработки корпоративной СМИБ, соответствующей требованиям ИСО/МЭК 27001, а также после внедрения для оценки уровня ее эф-

фективности, проводится аудит безопасности. Аудит безопасности представляет собой процесс сбора и анализа информации о СМИБ для оценки уровня ее соответствия положениям стандарта [5].

Как правило, для проведения аудита привлекаются внешние компании, которые предоставляют консалтинговые услуги в области информационной безопасности. Инициатором процедуры аудита обычно является руководство предприятия или служба информационной безопасности. Аудит безопасности выполняется группой экспертов, численность и состав которой зависит от целей и задач обследования, а также от сложности объекта оценки.

В общем случае аудит безопасности состоит из четырех основных этапов, на каждом из которых выполняется определенный перечень работ (см. рисунок).

1. Разработка регламента аудита

На первом этапе разрабатывается регламент, устанавливающий состав и порядок проведения работ. Основная задача регламента - определить границы, в рамках которых будет проводиться обследование информационной системы (ИС) заказчика. Регламент должен четко определять обязанности сторон. Как правило, регламент содержит следующую основную информацию:

- состав рабочих групп от исполнителя и заказчика для проведения аудита;

- список и местоположение объектов заказчика, подлежащих аудиту;

- перечень информации, которая будет предоставлена исполнителю;

- перечень ценных активов компании, которые рассматриваются в качестве объектов защиты (информационные, материальные, и т.д.);

- модель угроз информационной безопасности, на основе которой проводится аудит;

- категории пользователей, которые рассматриваются в качестве потенциальных нарушителей;

- порядок и время проведения инструментального обследования ИС.

Основные этапы аудита безопасности

При этом важно определить, что является ценным активом компании с точки зрения информационной безопасности. Согласно ИСО/МЭК 27002-2005, выделяются следующие виды активов:

- информационные ресурсы (базы и файлы данных, контракты и соглашения, системная документация, научно-исследовательская информация, документация, обучающие материалы и пр.);

- программное обеспечение;

- материальные активы (компьютерное оборудование, средства телекоммуникаций и т.д.);

- сервисы (сервисы телекоммуникаций, системы обеспечения жизнедеятельности и др.);

- сотрудники компании, их квалификация и опыт;

- нематериальные ресурсы (репутация и имидж компании).

Следует определить, нарушение информационной безопасности каких активов может нанести ущерб организации. В этом случае ак-

тив считается ценным и в дальнейшем он будет учитываться при анализе информационных рисков.

2. Инвентаризация и категориро-вание активов

На втором этапе, в соответствии с согласованным регламентом, осуществляется инвентаризация активов. В частности, собирается следующая информация:

- организационно-распорядительная документация по вопросам информационной безопасности: политика информационной безопасности; руководящие документы (приказы, распоряжения, инструкции) по вопросам хранения, порядка доступа и передачи информации;

- сведения о программно-аппаратном обеспечении ИС: перечень серверов, рабочих станций и коммуникационного оборудования, входящих в состав ИС; аппаратные конфигурации серверов и рабочих станций; сведения о периферийном оборудовании; сведения о программном обеспечении, установленном на рабочих станциях и серверах;

- информация о топологии ИС: карта локальной вычислительной сети; типы каналов связи; используемые сетевые протоколы; запущенные сетевые сервисы; схема информационных потоков ИС;

- информация об используемых средствах защиты: модель и производитель; конфигурационные настройки и схема установки средства защиты.

Сбор информации осуществляется путем интервьюирования сотрудников заказчика, заполнения ими опросных листов по определенной тематике, анализа имеющейся организационно-распорядительной и технической документации, использования специализированного ПО (сетевых сканеров Nmap, №88И8, XSpider и т.д.), которое позволяет получить необходимую информацию о составе и настройках программно-аппаратного обеспечения ИС предприятия, провести инвентаризацию сетевых ресурсов и выявить уязвимости в них. Качество аудита безопасности во многом зависит от полноты и достоверности информации, собранной на этом этапе.

При категорировании ценных активов необходимо оценить их критичность для организации, т.е. определить, какой ущерб понесет организация в случае нарушения информационной безопасности активов. Данный процесс вызывает наибольшую сложность, т.к. ценность активов определяется на основе экспертных оценок их владельцев (как правило, процесс определения критичности активов является для владельца нетривиальным). При этом

Информационная безопасность регионов. 2008. № 2 (3)

могут разрабатываться различные методики оценки, которые содержат конкретные критерии, актуальные для данной организации.

Оценка критичности активов выполняется по трем классам угроз: конфиденциальности, целостности и доступности. Ущерб можно оценивать как количественно (в денежных единицах), так и качественно (в уровнях). Однако в последнем случае необходимо определить приближенную оценку каждого уровня в денежном эквиваленте.

При этом должен быть оценен каждый из активов:

- информационные активы оцениваются с точки зрения нанесения организации ущерба от их рассекречивания, изменения или недоступности в течение определенного времени;

- программное обеспечение, материальные ресурсы и сервисы оцениваются с точки зрения их доступности или работоспособности. Требуется определить ущерб, который понесет организация при нарушении их функционирования;

- сотрудники компании оцениваются по угрозам конфиденциальности и целостности с учетом их прав доступа на чтение и редактирование к информационным ресурсам. Доступность сотрудников оценивается с точки зрения их отсутствия на рабочем месте, т.е. определяется ущерб, который понесет организация при отсутствии сотрудника в течение определенного периода времени. При этом учитываются опыт и квалификация сотрудника, выполнение им каких-либо специфичных операций.

Репутация организации оценивается в связи с информационными ресурсами, т.е. определяется ущерб, который будет нанесен в случае нарушения безопасности информации компании. Это особенно важно, если компания обрабатывает или хранит ценную информацию своих клиентов.

3. Оценка рисков

На третьем этапе работ выполняется анализ собранной информации с целью оценки текущего уровня защищенности ИС организации. В процессе такого анализа оцениваются риски информационной безопасности от угроз, которым подвержена ИС. Фактически риск представляет собой вероятный ущерб, который понесет организация при реализации угроз информационной безопасности, зависящий от защищенности системы.

Обычно выделяют две основные группы методов расчета рисков безопасности. Первая группа позволяет определить уровень риска путем оценки степени соответствия требованиям и рекомендациям стандартов информаци-

онной безопасности (ИСО/МЭК 27001). Такой подход реализован в программе «Кондор», разрабатываемой компанией Digital Security.

Вторая группа методов оценки рисков информационной безопасности базируется на определении вероятности реализации угроз, а также уровней их ущерба. Значение риска вычисляется отдельно для каждой угрозы и в общем случае представляется как произведение вероятности реализации угрозы на величину возможного ущерба от этой атаки:

Риск = Вероятность х Ущерб .

Значение ущерба определяется собственником информационного ресурса, а вероятность угрозы вычисляется группой экспертов, проводящих процедуру аудита. Вероятность в данном случае рассматривается как мера того, что в результате проведения атаки нарушитель достигнет своей цели и нанесет ущерб компании.

В процессе оценки рисков определяются угрозы, действующие на активы, а также уязвимости ИС, которые могут привести к реализации угроз. Угрозы и уязвимости рассматриваются только во взаимосвязи друг с другом. Угроза, которую невозможно реализовать из-за отсутствия уязвимостей, не может быть реализована. Также необходимо определить, какие угрозы и уязвимости наиболее актуальны для данной организации, а какие менее значимы, т.е. определить вероятности реализации угроз через имеющиеся уязвимости в интервале от 0 до 1 (или от о до 100%).

Методы обеих групп могут использовать количественные или качественные шкалы для определения величины риска информационной безопасности. В первом случае для риска и всех его параметров берутся численные выражения. Например, при использовании количественных шкал вероятность проведения атаки может выражаться числом в интервале от 0 до 1, а ущерб от атаки - задаваться в виде денежного эквивалента материальных потерь, которые может понести организация в случае успешной атаки. При использовании качественных шкал числовые значения заменяются на эквивалентные им понятийные уровни. Каждому понятийному уровню в этом случае будет соответствовать определенный интервал количественной шкалы оценки. Количество уровней может варьироваться в зависимости от применяемых методик оценки рисков.

При расчете значений вероятности атаки, а также уровня возможного ущерба используют статистические методы, экспертные оценки или элементы теории принятия решений. Статистические методы предполагают

анализ уже накопленных данных о реально случавшихся инцидентах, связанных с нарушением информационной безопасности. На основе результатов такого анализа строятся предположения о вероятности проведения атак и уровнях ущерба от них в других ИС. Однако статистические методы не всегда удается применить из-за недостатка статистических данных о ранее проведенных атаках на ресурсы ИС, аналогичной той, которая выступает в качестве объекта оценки.

При использовании аппарата экспертных оценок анализируются результаты работы группы экспертов, компетентных в области информационной безопасности, которые на основе имеющегося у них опыта определяют количественные или качественные уровни риска. Элементы теории принятия решений позволяют применять более сложные алгоритмы обработки результатов работы группы экспертов для оценки рисков.

Существуют специализированные программные комплексы, позволяющие автоматизировать процесс анализа исходных данных и расчета значений рисков при аудите безопасности. Наиболее известные из них - Digital Security Office (включающий средства «Гриф» и «Кондор»), RiskWatch, CRAMM. Стоимость лицензии на одно рабочее место составляет от 1000 дол. для программ Digital Security, до 10000 дол. для комплекса RiskWatch.

4. Управление рисками и формирование отчетности

На четвертом этапе по результатам проведенного анализа разрабатываются рекомендации по повышению уровня защищенности ИС предприятия от наиболее опасных угроз информационной безопасности. Такие рекомендации включают в себя различные типы действий, направленных на минимизацию выявленных рисков, основными из которых являются:

- снижение рисков;

- уклонение от рисков;

- передача рисков;

- принятие рисков.

Уменьшение риска осуществляется за счет выбора и внедрения дополнительных организационных или технических средств защиты, позволяющих снизить вероятность реализации угрозы или уменьшить возможный ущерб от нее.

Уклонение от риска - это полное устранение источника риска путем изменения архитектуры или схемы информационных потоков ИС, что позволяет полностью исключить реализацию той или иной угрозы. Например, физическое отключение от Интернета сегмен-

та ИС, в котором обрабатывается конфиденциальная информация, позволит избежать внешних атак на нее.

Передача риска - перенесение ответственности за риск на третьи лица (например, поставщика средств защиты или страховую компанию). В настоящее время ряд российских компаний уже предлагают услуги страхования информационных рисков.

Принятие риска осуществляется в том случае, если его уровень признается приемлемым, т.е. организация не считает целесообразным применять какие-либо меры по отношению к этим рискам и готова понести ущерб.

В процессе управления рисками сначала требуется определить, какие из них требуют дальнейшей обработки, а какие можно принять. Обычно рекомендации направлены не на полное устранение всех выявленных рисков, а лишь на их уменьшение до приемлемого уровня. Риски, не превышающие приемлемый уровень, можно принять. Приемлемый уровень риска определяется руководством организации или специальной группой, в которую входят представители руководства.

Выбор мероприятий по управлению рисками должен основываться на соотношении стоимости их реализации к эффекту от снижения рисков и возможным убыткам в случае нарушения безопасности. Также следует принимать во внимание факторы, которые не могут быть представлены в денежном выражении, например, потерю репутации.

В завершение данного этапа его результаты оформляются в виде документа «Отчет об обработке информационных рисков», который описывает выбранные способы обработки рисков. Кроме этого, составляется «План снижения рисков», где подробно описываются конкретные меры по снижению рисков, и назначаются сотрудники, ответственные за выполнение каждого мероприятия в течение определенного срока.

В общем случае, этот документ состоит из следующих основных разделов:

- описание границ, в рамках которых проводился аудит безопасности;

- описание структуры ИС заказчика;

- методы и средства, которые использовались в процессе проведения аудита;

- описание выявленных уязвимостей и недостатков, включая уровень их риска;

- рекомендации по совершенствованию комплексной системы менеджмента информационной безопасности;

- предложения к плану реализации первоочередных мер, направленных на уменьшение выявленных рисков.

Информационная безопасность регионов. 2008. № 2 (3)

Данный документ является итоговым решением относительно снижения информационных рисков компании. Он является основой для разработки и утверждения политики информационной безопасности и соответствующих ей нормативных и организационно-распорядительных документов [6].

Таким образом, аудит информационной безопасности является одним из наиболее эффективных инструментов для получения независимой и объективной оценки текущего уровня защищенности предприятия от угроз информационной безопасности. Он позволяет поддерживать необходимый уровень защиты всех информационных активов компании (т.е. существенно снизить риск нанесения ущерба организации из-за нарушения ИБ), а также удостовериться, что меры и средства защиты информации являются адекватными и пропорциональными возможному ущербу. Кроме того, результаты аудита дают основу для формирования стратегии построения системы менеджмента информационной безопасности в организации. Следует отметить, что аудит безопасности должен проводиться на регулярной основе. Только в этом случае аудит будет приносить реальную отдачу и способствовать

повышению уровня информационной безопасности компании.

Библиографический список

1. ГОСТ ИСО/МЭК 27001-2005. Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования. - М.: Технорматив, 2006.

2. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью. - М.: Стандартинформ, 2006.

3. ГОСТ Р 51897-2002. Менеджмент риска. Термины и опеределения. - М.: Стандартинформ, 2003.

4. Курило А.П. Аудит информационной безопасности [Текст]. - М.: БДЦ-пресс, 2006. - ISBN 5-93306-100-Х.

5. Губенков А.А. Информационная безопасность [Текст] : учеб. пособие. - М.: Новый издательский дом, 2005. - ISBN 5-9643-0091-X.

6. Шнайер Б. Секреты и ложь. Безопасность данных в цифровом мире [Текст]. - СПб.: Питер, 2003. - ISBN 5-318-00193-9.

^//////////////////////^^^^

Г

КНИЖНАЯ ПОЛКА

Компьютерно-техническая экспертиза. Научно-практический журнал. - ISSN 1996-188Х

Представляем журнал наших коллег «Компьютерно-техни-

Kl

^ческая экспертиза».

^ Раскрытие и расследование преступлений, сопряженных

^с применением компьютерных средств, не может быть осуществление без использования специальных знаний в области современных ^информационных технологий. Основной процессуальной формой ^использования специальных знаний по указанным делам является ^судебная экспертиза - экспертные исследования обеспечивают по-| ^лучение результатов, имеющих наибольшее доказательное значение |при исследовании как аппаратных средств, так и компьютерного | (информационного) ^продуктов.

^ В настоящее время судебная компьютерно-техническая

^экспертиза находится в стадии становления и является формиру-1 ^

^ющимся родом судебной экспертизы. Внести свой вклад в ее решение, выработку правовых,^ ^процессуальных, методических и организационных основ судебной экспертизы в сфере совре-^ ^менных компьютерных (информационных) технологий призван научно-практический журнал | ^«Компьютерно-техническая экспертиза».

программного обеспечения и программных

I

I

/////////////////////^^^^

J