Согласованная методика проведения аудита информационной безопасности (А. Бедрань, "Финансовая газета", N 6, февраль 2007 г.)

Согласованная методика проведения аудита информационной безопасности

Сегодня проблеме аудита информационной безопасности посвящается большое количество публикаций, однако она по-прежнему вызывает интерес как у заказчиков, так и у поставщиков данных услуг. К сожалению, до сих пор в нашей стране отмечается низкий уровень знаний западных стандартов, и, как следствие, аудитом информационной безопасности зачастую называют обычное сканирование сети на предмет выявления уязвимостей. Важно отметить, что в области стандартизации подходов к информационной безопасности ситуация довольно неплохая, следует только внимательно изучать и реализовывать уже разработанные подходы. Например, существуют механизм аудита на соответствие требованиям стандарта ISO 27001/ISO 17799 и практика его внедрения. Почему же с аудитом безопасности дело обстоит иначе?

Прежде всего рассмотрим, на какие этапы можно разбить проведение аудита информационной безопасности. На первом этапе необходимо провести оценку системы управления информационной безопасностью, на втором - технологический аудит защищенности, на третьем - анализ информационных рисков. В общем виде в данной схеме нет ничего нового, и большинство специалистов с ней согласны. Но у заказчика могут возникнуть вопросы: что именно и как будет сделано в процессе выполнения работ по этой схеме, особенно на этапах технологического аудита и анализа рисков. Дело в том, что понятие "аудит" подразумевает оценку на соответствие какому-либо четкому критерию (или стандарту). На первом этапе для оценки системы управления информационной безопасностью в качестве такого критерия широко используется хорошо проработанный стандарт ISO 27001/ISO 17799.

Основные проблемы появляются на втором этапе аудита - при проведении технологической оценки защищенности. Это обусловлено отсутствием четкого критерия, по которому на технологическом уровне можно понять, защищена система или нет, есть ли в ней уязвимости, позволяющие осуществить проникновение в нее. Следовательно, не сформирован перечень проверок, которые должен выполнить аудитор. Однако ни четкого критерия, ни единого перечня проверок быть не может, а должна быть согласованная методика проведения комплексного аудита информационной безопасности.

Под согласованной методикой понимается общая методика проведения аудита информационной безопасности, сочетающая в себе оптимальный набор требований для конкретного варианта информационной системы. Например, такой подход в полной мере является оправданным, если в информационной системе обрабатываются данные различного уровня доступа. Тогда уже на ранней стадии составления поэтапного плана работ необходимо учитывать общие компоненты стратегии проведения гетерогенного аудита информационной безопасности.

Известно, что практически все работы по проведению аудита информационной безопасности начинаются с предпроектного обследования и сбора первоначальных данных об объекте, именно поэтому для оптимизации и ускорения процесса обследования нужно на начальной стадии учитывать требования необходимых стандартов и отразить их как в опросных листах, так и в структуре результирующего отчета об обследовании. Так, специалисты компании "Техносерв А/С", руководствуясь данным принципом, применяют модель, приведенную на рис. 1.

       /------------------------\   /-----------------------\

       |    Экспертный аудит    |   |     Активный аудит    |

       \------------------------/   \-----------------------/

                    |                          |

       /----------------------------------------------------\

       |       Комплексное исследование защищенности        |

       |               информационной системы               |

       \----------------------------------------------------/

                   |                           |

       /----------------------------------\ /---------------\

       | Определение степени соответствия | | Анализ рисков |

       | ИБ основным нормам и стандартам  | |               |

       \----------------------------------/ \---------------/

                   |                           |

       /----------------------------------------------------\

       | Разработка комплексных решений по обеспечению      |

       |          информационной безопастности              |

       \----------------------------------------------------/

Рис. 1. Общая схема проведения аудита информационной безопасности

С точки зрения экономической эффективности аудит информационной безопасности позволяет не только существенно оптимизировать затраты на модернизацию системы обеспечения информационной безопасности, но и внедрить адекватные организационные меры контроля в организации. Это объясняется тем, что в процессе проведения комплексного аудита информационной безопасности обязательно осуществляется оценка информационных рисков, при которой учитываются стоимостные составляющие всех критичных информационных ресурсов, а также степень их уязвимости к ранжированным атакам со стороны недоброжелателей. Как правило, аудиторы информационной безопасности выполняют данные работы по схеме, показанной на рис. 2.

/----------\    /----------\   /------------\    /------------\

| Ресурсы  |    | Угрозы   |   | Уязвимости |    | Требования |

\----------/    \----------/   \------------/    \------------/

      |               |              |                  |

      \-------------------------------------------------/

                             |

                       /------------\

  Оценка рисков        |    Риски   |

                       \------------/

                          |      |

                       /------------\

                       |  Внедрение |

                       |  механизма |

  Управление           |  контроля  |

  рисками              \------------/

                         |    |    |

                       /------------\

                       |  Управление|

                       |  политикой |

                       \------------/

Рис. 2. Общая схема оценки и управления информационными рисками

В заключение хотелось бы отметить, что, пока этап аудита будет восприниматься как ненужная помеха перед интеграцией, все будет по-прежнему. Но как только внешний аудит в соответствии со стандартами по управлению информационной безопасностью (в частности, ISO 27001) станет частью жизненного цикла системы управления безопасностью, перейдя согласно международным стандартам на регулярную основу, ситуация изменится. Тем более что в 2007 г. большинство международных стандартов в области информационной безопасности, наконец, получат статус российских ГОСТов.

А. Бедрань,

ведущий инженер

Компания "Техносерв А/С"

"Финансовая газета", N 6, февраль 2007 г.