CC BY
80
УДК 004.43
Руда О.1., к.е.н., доцент, (olharuda@gmail.com) © Лъвгвсъкии державнийутверситет внутрштх справ
Руда 1.1., викладач, (ir.artprint@gmail.com) Лъвгвсъкий державнийутверситет внутрштх справ Борецька 1.Б., асистент, (iryna-boretska@mail.ru) Нацюналъний л1сотехтчнийутверситет Украти
ЗАХИСТ 1НФОРМАЦ1ЙНИХ СИСТЕМ П1ДПРИСМСТВ АПК НА БА31 АУДИТУ БЕЗПЕКИ
Пропонуетъся класифшування послуг ргзних видгв аудиту тформацтног безпеки, обгрунтовано особливост1 та головт критергг рацгоналъного вибору г застосування аудиту тформацтног безпеки. Розроблено оргамзащино-правову структуру аудиту тформацтног безпеки, яка формуетъся вгдповгдно до рекомендацт мгжнародних стандарт1в та з дотриманням вимог чинного законодавства Украти.
Ключое1 слова: тформацтна система, тформацтна безпека, аудит тформацтногбезпеки, захист тформацп.
Постановка проблеми. На поточний момент, коли обсяги шформацп, що циркулюе, обробляеться та накопичуеться у сучасних шформацшних системах (1С), стр1мко збшьшуються, питания захисту шформаци стае особливо актуальним. В умовах розвитку та вировадження технолог!! систем з вщкритою арх1тектурою, яка вир1зняеться складною взаемод1ею 1С р1зного иоходження (штероперабельшсть), наявшстю проблем перенесения прикладних програм м1ж р1зними платформами (мобшьшсть) та шшими особливостями, питания захисту шформаци набувае все бшьшо! ваги.
Анал1з останшх дослщжень. На даний момент ще не сформовано усталеного визначення аудиту шформацшно! безпеки (1Б). У подальшому ми пропонуемо пщ поняттям аудиту 1Б розум1ти системний процес отримання об'ективних яюсних I кшьккних оцшок заход1в безпеки, процеЫв та процедур вщповщно до визначених критерив та показниюв безпеки, вимог м1жнародних стандарив, чинного законодавства Украши, вщомчих нормативно-правових акт1в.
Процедура аудиту 1Б дозволяе кер1вництву отримати об'ективну шформацш про стан захищеност11С. Однак, як показуе практика, кер1вництво I пращвники найчастше розумшть суть ще! послуги по-р1зному.
На думку автор1в, поза увагою дослщниюв залишилося питания розроблення оргашзацшно-правово! структури аудиту шформацшно! безпеки, яка визначить стратегш I тактику системи безпеки 1С.
Метою публжаци е детальне класифжування послуг р1зних вид1в аудиту, обгрунтування особливостей та головних критерпв рацюнального вибору I застосування р1зних вид1в аудиту 1Б. Формування оргашзацшно-правово!
© Руда О.1., Руда 1.1., Борецька 1.Б., 2013
291
структури аудиту шформацшно! безпеки, яка розробляеться вщповщно до рекомендацш м1жнародних стандарт1в та з дотриманням вимог чинного законодавства Укра!ни.
Виклад основного матер1алу. 3 огляду на згадаш обставини кер1вництву пщприемств АПК необхщно звернути особливу увагу на проблеми 1Б у 1С, ймов1ршсть виникнення яких е неминучим у процеа функцюнування довшьно! 1С. Сдиним правильним, з пункту бачення захищеност1 1С, ршенням у такш ситуаци е аудит ¡нформацшно1 безпеки, який проведуть фах1вщ у галуз1 захисту шформаци.
Основними цшями проведения роб1т з аудиту 1Б е: щентифжування загроз та виявлення ¿мов1рних канал1в витоку службово! шформаци у 1С; розроблення пол1тики безпеки [1] та супровщних докуменив; швентаризування шформацшних актив1в 1С та !х подальше категоршвання; розроблення та запровадження системи управлшня ризиками 1Б; забезпечення вщповщност1 прийнятих техшчних ршень вимогам чинного законодавства та галузевих норм [2]; незалежне оцшювання поточного стану захищеност1 шформацшно! структури 1С та мш1м1зування збитмв вщ шциденив безпеки.
Одним з найпоширешших вид1в аудиту е активний аудит. Це дослщження стану захищеност1 1С з точки зору зловмисника, що волод1е високою квал1ф1кащею в област1 сучасних шформацшних технологш (1Т). Найчастше послугу активного аудиту ¿менують шструментальним анал1зом захищеносп 1С, щоб виокремити цей вид аудиту вщ шших.
Суть активного аудиту полягае у тому, що за допомогою спещального програмного забезпечення (у тому числ1 систем анал1зу захищеност1) I спещальних метод1в здшснюеться зб1р шформаци про стан системи захисту зовшшнього периметру корпоративно! мереж11С шдприемства.
При здшсненш даного виду аудиту на систему захисту зовшшнього периметру корпоративно! мереж1 з вщдаленим доступом моделюеться якомога бшьша кшьккть мережевих атак, яю може здшснити зловмисник. При цьому аудитор штучно ставиться, властиво, у таю умови, в яких працюе зловмисник, -йому надаеться мш1мум шформаци, тшьки та, яку можна отримати з вщкритих джерел.
Активний аудит умовно можна подшити на два види - "зовшшнш" I "внутршнш". При "зовшшньому" активному аудит! фах1вщ моделюють атаки на зовшшнш периметр корпоративно! мереж1 I окрем1 вузли дослщжувано! 1С "зовшшнього" зловмисника. У даному випадку проводяться таю процедури: визначення доступних з зовшшшх мереж ГР-адрес корпоративно! мереж1 дослщжувано! 1С; сканування даних ГР-адрес з метою визначення активованих сервюв, а також призначення вщсканованих хост1в; визначення версш сервгав сканованих хост1в; вивчення траф1ку до хост1в корпоративно! мережу зб1р шформаци про систему безпеки 1С з вщкритих джерел; анал1з отриманих даних з метою подальшого реал1зування загроз.
Однак, всупереч поширеним уявленням, загрози зовшшньому периметру корпоративно! мереж1 не е найбшьш критичними для безпеки шформацшних актив1в 1С. 1нсайдерсью загрози (загрози, яю виходять вщ сво!х же пращвниюв) е на порядок вищими, шж загрози зовшшш.
292
"Внутршнш" активний аудит за складом роб1т аналопчний до "зовшшнього" I проводиться з використанням спещальних програмних засоб1в моделювання загроз вщ "внутршнього" зловмисника.
3 огляду на специф1ку функщонування 1С пщприемств АПК у ход! активного аудиту необхщно виконувати ряд додаткових дослщжень, безпосередньо пов'язаних з ощнюванням стану системи безпеки, зокрема -проведения спещальних дослщжень. Це пов'язано з використанням спещал!зованого програмного забезпечення (ПЗ) призначеного для виршення спещальних завдань. Под1бне ПЗ ушкальне, тому готових засоб1в I технологш для анал1зу !х захищеност! не кнуе.
Експертний аудит можна умовно подати як пор1вняння стану системи захисту 1С з "щеальним" описом. Ключовий етап експертного аудиту - анал1з системи захисту 1С, топологи корпоративно! мереж! та технолог!! оброблення шформаци, у ход! якого виявляються недолжи юнуючо! системи захисту, яю знижують р1вень захищеност! 1С [3]. За результатами роб1т даного етапу пропонуються зм1ни в ¿снуюч!й 1С I технолог!! оброблення ¿нформац!!, спрямован! на усунення виявлених недол!к!в.
Наступний етап - анал!з ¿нформац!йних поток!в. На даному етап! визначаеться критичн!сть шформацшних потоюв 1С та використовуються методи забезпечення 1Б, що в!дображають р!вень захищеност! ¿нформац!йного потоку.
На пщстав! результат!в даного етапу роб!т пропонуеться захист або п!двищення р!вня захищеност! тих компонент 1С, як! беруть участь у найбшьш важливих процесах передавання, збер!гання та оброблення шформаци. Застосування анал!зу р!вня критичност! шформацшних потоюв дае можлив!сть реал!зувати систему захисту, яка вщповщае принципу розумно! достатност!.
Особлива увага на етап! анал!зу ¿нформац!йних поток!в надаеться визначенню повноважень ! в!дпов!дальност! конкретних оаб за забезпечення 1Б р!зних дшянок 1С. Повноваження ! в!дпов!дальн!сть повинш бути закр!плен! положениями орган!зац!йно-розпорядчих документа. Оргашзацшно-розпорядч! документи оц!нюються на предмет достатност! та несуперечност! декларованим щлям! заходам 1Б.
Аудит на вщповщшсть стандартам. Суть даного виду аудиту найбшьш наближена до тих формулювань, як! ¿снують у фшансовш сфер!. При проведенн! даного виду аудиту стан системи захисту 1С пор!внюеться з прийнятим абстрактним описом, який подаеться у стандартах.
Оргашзацшно-правова структура ¿нформац!йного аудиту системи 1Б у 1С формуеться в!дпов!дно до рекомендацш м!жнародних стандарт!в та з дотриманням положень чинного законодавства Украши. Такими стандартами е: Г80/1ЕС 27002:2005 1нформацшш технолог!!. Методи захисту. Кодекс практики для управлшня шформацшною безпекою; Г80/ГЕС 27003:2010 1нформац!йн! технолог!!. Методи захисту. Кер!вництво з застосування системи менеджменту захисту шформаци; КОЛЕС 27004:2009 1нформацшш технологи. Методи захисту. Вим!рювання; КОЛЕС 27005:2008 1нформац!йн! технолог!!. Методи забезпечення безпеки. Управлшня ризиками шформацшно! безпеки; КОЛЕС
293
27006:2007 1нформацшш технологи. Методи забезпечення безпеки. Вимоги до оргашв аудиту i сертиф1кування систем управлшня 1Б.
Офщшний 3bît, пщготований у результат! проведения даного виду аудиту, включае наступну шформацш: стутнь вщповщност1 1С обраним стандартам; стутнь вщповщност1 власним внутршшм вимогам в област1 1Б; кшьккть i KaTeropiï отриманих невщповщностей i зауважень; настанови з побудови або модифжування системи 1Б, що дозволяють привести ïï у вщповщшсть з даним стандартом; докладне посилання на основш документи, включаючи пол1тику шформацшно! безпеки, опис процедур забезпечення 1Б, додатков1 обов'язков1 i необов'язков1 стандарти i норми, яю запроваджеш у 1С [4].
Як висновок вщзначимо, що при плануванш перев1рки стану системи 1Б важливо не тшьки точно вибрати вид аудиту, виходячи з потреб i можливостей, але i не помилитися з вибором виконавця.
Л1тература
1. Рудий Т.В. Захист шформацшних систем пщроздшв МВС / Т.В. Рудий, Я.Ф. Кулешник, О.В. Омельяненко, О.О. Логшова / Проблеми застосування шформацшних технологш, спец1альних техн1чних засоб1в у д1яльност1 ОВС, навчальному процес1, взаемоди з 1ншими службами // Матер1али науково-практично! конференц11 14 грудня 2011 р. - Льв1в: ЛьвДУВС, 2011. - С.58-64.
2. Рудий Т.В. Управл1ння безпекою в 1нформац1йних системах МВС / Т.В. Рудий, Я.Ф. Кулешник, I.M. Ганич, I.B Бичинюк / Науковий bîchhk ЛьвДУВС, №1(47), - Льв1в: ЛьвДУВС, 2011. - C. 382-392.
3. Рудий Т.В. Принципи оргашзаци системи захисту шформацшних систем пщроздЫв МВС / Т.В. Рудий, О.В. Захарова, O.I. Зачек, А.Т. Рудий / Науковий bîchhk ЛьвДУВС. Сер1я юридична / головний редактор М.М. Цимбалюк. - Льв1в: ЛьвДУВС, 2012. - Вип. 2 (2). - С. 309-316.
4. Когут В.В. Порядок атестування систем техшчного захисту 1нформац11 / В.В. Когут, Т.В. Рудий, Я.Ф. Кулешник, А.Т. Рудий / Проблеми д1яльност1 кримшально! мшщи в умовах розбудови правово! держави // Матер1али науково-зв1тно1 конференц11 факультету крим1нально1 м1л1ц11 ЛьвДУВС 12 березня 2010 р. -Льв1в: ЛьвДУВС, 2010. - С.90-97.
Summary
Olha Ruda, Lviv State University of Internal Affairs Iryna Ruda, Lviv State University of Internal Affairs Iryna Boretska, Ukrainian National Forestry University PROTECTION OF INFORMATION SYSTEMS ENTERPRISES AIC BASED
SECURITY AUDIT
Proposed classifying services of various types of auditing information security, reasonable features and the main criteria for rational selection and application of auditing information security. The organizational and legal structure of auditing information security which is formed in accordance with the recommendations of international standards and in compliance with the current legislation of Ukraine.
Key words: information systems, information security, audit information security, information security.
Рецензент - д.е.н., професор Музика П.М.
294
