Согласованная методика аудита информационной безопасности
Сегодня в области стандартизации подходов к информационной безопасности ситуация довольно неплохая, в то время как аудит информационной безопасности до сих пор в нашей стране остается на низком уровне. Проанализируем, почему это происходит и как можно исправить ситуацию.
Аудит информационной безопасности (ИБ) выполняется в несколько этапов. На первом этапе необходимо провести оценку системы управления ИБ, на втором - технологический аудит защищенности, на третьем - анализ информационных рисков. В общем виде в данной схеме нет ничего нового. Проблемы для заказчика начинаются в деталях - что именно и как будет сделано в процессе выполнения работ по этой схеме, особенно на этапах технологического аудита и анализа рисков. Дело в том, что понятие "аудит" предполагает оценку на соответствие какому-либо четкому критерию (или стандарту). На первом этапе для оценки системы управления ИБ в качестве такого критерия используется хорошо проработанный стандарт ISO 27001/ISO 17799.
Стандарт включает 11 ключевых элементов, которые имеют отношение к безопасности всей организации в различных условиях: политика безопасности; организация ИБ; управление ресурсами; безопасность людских ресурсов; физическая безопасность и безопасность окружающей среды; управление коммуникациями и операциями; контроль доступа; приобретение, разработка и сопровождение информационной системы; управление инцидентами ИБ; управление непрерывностью бизнеса и др.
Основные проблемы возникают на втором этапе аудита - при проведении технологической оценки защищенности. Это обусловлено отсутствием четкого критерия, по которому на технологическом уровне важно понять, защищена ли система, есть ли в ней уязвимости, позволяющие осуществить проникновение в нее, или их нет, т.е. не сформирован перечень проверок, которые должен выполнить аудитор. По сути четкого критерия или единого перечня проверок и быть не может, а должна быть так называемая согласованная методика проведения комплексного аудита ИБ.
Под согласованной методикой понимается проведение аудита ИБ, предусматривающее оптимальный набор требований для конкретного варианта информационной системы.
На рис. 1 приведена общая схема проведения аудита ИБ.
/----------------------\ /--------------------\
| Экспертный аудит | | Активный аудит |
\----------------------/ \--------------------/
� � � � � �
/----------------------------------------------------------------\
| Комплексное исследование защищенности информационной системы |
\----------------------------------------------------------------/
� � � � � �
/-----------------------------------\ /---------------\
|Определение степени соответствия ИБ| | Анализ рисков |
|основным нормам и стандартам | \---------------/
\-----------------------------------/ | |
� � � � � �
/----------------------------------------------------------------------------\
| Разработка комплексных решений по обеспечению информационной безопасности |
\----------------------------------------------------------------------------/
Рис. 1. Общая схема проведения аудита ИБ
В настоящее время на рынке представлено немало методик, обладающих широким спектром подходов к проведению аудита ИБ. Очевидно, что при такой ситуации заказчика в первую очередь интересует, что будет являться результатом аудита ИБ и в каком виде ему это будет предоставлено.
Подход к аудиту, предлагаемый согласованной методикой, в полной мере является оправданным, если в информационной системе обрабатываются данные различного уровня доступа. В этом случае на ранней стадии составления поэтапного плана работ необходимо учесть общие компоненты стратегии проведения комбинированного аудита ИБ.
Практически все работы по проведению аудита ИБ начинаются с предпроектного обследования и сбора первоначальных данных об объекте.
Предпроектное обследование проводится на начальном этапе работы с заказчиком и длится примерно 3-5 дней. Его задачи - наметить границы аудита и сроки проведения работ, а также определить:
перечень информационных ресурсов по физическому подключению или расположению;
перечень ресурсов по штатному расписанию;
перечень бизнес-процессов и процессов документооборота.
Предпроектное обследования преследует двоякую цель:
во-первых, у исполнителя формируется более детальное понимание объекта оценки, что позволяет как существенно повысить качество проводимых работ, так и ускорить процесс аудита;
во-вторых, заказчику предоставляется возможность более точно определить объект оценки (границы предполагаемых работ).
Следовательно, для оптимизации процесса обследования нужно уже на начальной стадии учитывать требования необходимых стандартов и отразить их как в опросных листах, так и в структуре отчета об обследовании.
Важно отметить, что с точки зрения экономической эффективности аудит ИБ позволяет не только существенно оптимизировать затраты на модернизацию системы обеспечения ИБ, но и провести адекватные организационные меры контроля в компании. Это объясняется тем, что при проведении комплексного аудита ИБ в обязательном порядке осуществляется оценка информационных рисков, при этом учитываются стоимостные составляющие всех критичных информационных ресурсов, а также степень их уязвимости к ранжированным атакам со стороны недоброжелателей. Как правило, аудиторы ИБ выполняют данные работы по схеме, приведенной на рис. 2.
/ - - - - -\ /- - - - -\ / - - - - - -\ /-- - - - - - -\
| Ресурсы | | Угрозы | | Уязвимость | | Требования |
- - --- - - / \-- - --- - / \- - - -- \ - - / \-- - - - --- - /
\--------------------------------------------------------------------/
�
/ - - \ - -\
Оцнка рисков | Риски |
\-- /- --- /
-- - - - - - - - - - - - - - - - - - -+- -+- - - - - - - - - - - - - - - - - - - - - - - -- ---
� �
/ - - - - --/ - \ - - - - - - -\
Управление рисками | Внедрение механизмов контроля |
\ - - - / -- - /- - --- -- - -/
� � �
/- - - --- - - \ - --- - \
| Управление политикой |
\ -- - - - - - - - - - -/
Рис. 2. Общая схема оценки и управления информационными рисками
Инициирование и планирование процедуры аудита. Как известно, аудит проводится по инициативе руководства компании, являющейся заинтересованной стороной. Помимо аудитора в этой работе участвуют представители других структурных подразделений компании, поэтому все их действия должны быть четко скоординированы. На этом этапе решаются следующие задачи:
определение и документальное закрепление в виде соответствующих документов, а также в положении о внутреннем/внешнем аудите прав и обязанностей аудитора;
разработка и согласование с руководством компании плана проведения аудита. Важно отметить, что данный план в обязательном порядке должен включать список ключевых лиц, с кем должны проводиться собеседования, а также календарный план с указанием сроков работ;
доведение до сотрудников компании информации о необходимости оказания содействия аудитору и порядке предоставления ему необходимой информации.
На данном этапе также определяются границы проведения обследования, т.е. составляется перечень тех подсистем информационной системы, которые будут включены в процедуру аудита.
План аудита должен формироваться в качестве отдельного документа, включающего не только перечень этапов, но и их описание. Приведем перечень обязательных компонентов, которые должны быть освещены в документе "План аудита":
определение границ обследования и сбор данных;
анализ защищенности основных информационных ресурсов и процедур;
разработка перечня критичной информации;
моделирование действий нарушителей;
анализ угроз ИБ;
установление последствий и потенциальных потерь компании;
определение и выбор шкалы для оценки параметров рисков;
проведение анализа рисков;
выработка рекомендаций по управлению рисками;
разработка общих рекомендаций по повышению степени защищенности информационной системы;
разработка и поставка итоговой документации.
Следует отметить, что некоторые указанные этапы могут быть проведены параллельно.
Реализация аудита. Данный этап является одним из самых сложных. Обусловлено это тем, что, как правило, необходимая документация на информационную систему отсутствует. Кроме того, на этом этапе аудитору приходится взаимодействовать со многими должностными лицами компании. Для получения необходимой информации о компании, функционировании и текущем состоянии ее информационной системы согласно утвержденному плану организуются встречи с ответственными лицами, изучается техническая и организационно-рас
