Согласованная методика аудита информационной безопасности (А. Бедрань, "Финансовая газета", N 38, сентябрь 2007 г.)

Согласованная методика аудита информационной безопасности

Сегодня в области стандартизации подходов к информационной безопасности ситуация довольно неплохая, в то время как аудит информационной безопасности до сих пор в нашей стране остается на низком уровне. Проанализируем, почему это происходит и как можно исправить ситуацию.

Аудит информационной безопасности (ИБ) выполняется в несколько этапов. На первом этапе необходимо провести оценку системы управления ИБ, на втором - технологический аудит защищенности, на третьем - анализ информационных рисков. В общем виде в данной схеме нет ничего нового. Проблемы для заказчика начинаются в деталях - что именно и как будет сделано в процессе выполнения работ по этой схеме, особенно на этапах технологического аудита и анализа рисков. Дело в том, что понятие "аудит" предполагает оценку на соответствие какому-либо четкому критерию (или стандарту). На первом этапе для оценки системы управления ИБ в качестве такого критерия используется хорошо проработанный стандарт ISO 27001/ISO 17799.

Стандарт включает 11 ключевых элементов, которые имеют отношение к безопасности всей организации в различных условиях: политика безопасности; организация ИБ; управление ресурсами; безопасность людских ресурсов; физическая безопасность и безопасность окружающей среды; управление коммуникациями и операциями; контроль доступа; приобретение, разработка и сопровождение информационной системы; управление инцидентами ИБ; управление непрерывностью бизнеса и др.

Основные проблемы возникают на втором этапе аудита - при проведении технологической оценки защищенности. Это обусловлено отсутствием четкого критерия, по которому на технологическом уровне важно понять, защищена ли система, есть ли в ней уязвимости, позволяющие осуществить проникновение в нее, или их нет, т.е. не сформирован перечень проверок, которые должен выполнить аудитор. По сути четкого критерия или единого перечня проверок и быть не может, а должна быть так называемая согласованная методика проведения комплексного аудита ИБ.

Под согласованной методикой понимается проведение аудита ИБ, предусматривающее оптимальный набор требований для конкретного варианта информационной системы.

На рис. 1 приведена общая схема проведения аудита ИБ.

          /----------------------\                /--------------------\

          |   Экспертный аудит   |                |   Активный аудит   |

          \----------------------/                \--------------------/

          /----------------------------------------------------------------\

          |  Комплексное исследование защищенности информационной системы  |

          \----------------------------------------------------------------/

         /-----------------------------------\             /---------------\

         |Определение степени соответствия ИБ|             | Анализ рисков |

         |основным нормам и стандартам       |             \---------------/

         \-----------------------------------/                 |         |

     /----------------------------------------------------------------------------\

     |  Разработка комплексных решений по обеспечению информационной безопасности |

     \----------------------------------------------------------------------------/

Рис. 1. Общая схема проведения аудита ИБ

В настоящее время на рынке представлено немало методик, обладающих широким спектром подходов к проведению аудита ИБ. Очевидно, что при такой ситуации заказчика в первую очередь интересует, что будет являться результатом аудита ИБ и в каком виде ему это будет предоставлено.

Подход к аудиту, предлагаемый согласованной методикой, в полной мере является оправданным, если в информационной системе обрабатываются данные различного уровня доступа. В этом случае на ранней стадии составления поэтапного плана работ необходимо учесть общие компоненты стратегии проведения комбинированного аудита ИБ.

Практически все работы по проведению аудита ИБ начинаются с предпроектного обследования и сбора первоначальных данных об объекте.

Предпроектное обследование проводится на начальном этапе работы с заказчиком и длится примерно 3-5 дней. Его задачи - наметить границы аудита и сроки проведения работ, а также определить:

перечень информационных ресурсов по физическому подключению или расположению;

перечень ресурсов по штатному расписанию;

перечень бизнес-процессов и процессов документооборота.

Предпроектное обследования преследует двоякую цель:

во-первых, у исполнителя формируется более детальное понимание объекта оценки, что позволяет как существенно повысить качество проводимых работ, так и ускорить процесс аудита;

во-вторых, заказчику предоставляется возможность более точно определить объект оценки (границы предполагаемых работ).

Следовательно, для оптимизации процесса обследования нужно уже на начальной стадии учитывать требования необходимых стандартов и отразить их как в опросных листах, так и в структуре отчета об обследовании.

Важно отметить, что с точки зрения экономической эффективности аудит ИБ позволяет не только существенно оптимизировать затраты на модернизацию системы обеспечения ИБ, но и провести адекватные организационные меры контроля в компании. Это объясняется тем, что при проведении комплексного аудита ИБ в обязательном порядке осуществляется оценка информационных рисков, при этом учитываются стоимостные составляющие всех критичных информационных ресурсов, а также степень их уязвимости к ранжированным атакам со стороны недоброжелателей. Как правило, аудиторы ИБ выполняют данные работы по схеме, приведенной на рис. 2.

     / - - -  -  -\     /- -  - -  -\    /  -  - - -  -  -\          /-- -  - - - - -\

     |  Ресурсы   |     |   Угрозы  |    |   Уязвимость   |          |  Требования   |

      - - --- - - /     \-- - --- - /    \- -  - -- \ - - /          \-- - - - --- - /

           \--------------------------------------------------------------------/

                                       / - - \ - -\

      Оцнка рисков                     |  Риски   |

                                       \-- /- --- /

     -- - - - - - - - - - - - - - - - - - -+- -+- - - - - - - - - - - - - - - - - - - - - - - -- ---

                               / - - - - --/ - \  - - - - - - -\

     Управление рисками        | Внедрение механизмов контроля |

                               \ - -  -  / -- - /- - --- -- - -/

                                 /- - - --- - - \ -  --- - \

                                 |   Управление политикой  |

                                 \ --  - - - - - - -  - - -/

Рис. 2. Общая схема оценки и управления информационными рисками

Инициирование и планирование процедуры аудита. Как известно, аудит проводится по инициативе руководства компании, являющейся заинтересованной стороной. Помимо аудитора в этой работе участвуют представители других структурных подразделений компании, поэтому все их действия должны быть четко скоординированы. На этом этапе решаются следующие задачи:

определение и документальное закрепление в виде соответствующих документов, а также в положении о внутреннем/внешнем аудите прав и обязанностей аудитора;

разработка и согласование с руководством компании плана проведения аудита. Важно отметить, что данный план в обязательном порядке должен включать список ключевых лиц, с кем должны проводиться собеседования, а также календарный план с указанием сроков работ;

доведение до сотрудников компании информации о необходимости оказания содействия аудитору и порядке предоставления ему необходимой информации.

На данном этапе также определяются границы проведения обследования, т.е. составляется перечень тех подсистем информационной системы, которые будут включены в процедуру аудита.

План аудита должен формироваться в качестве отдельного документа, включающего не только перечень этапов, но и их описание. Приведем перечень обязательных компонентов, которые должны быть освещены в документе "План аудита":

определение границ обследования и сбор данных;

анализ защищенности основных информационных ресурсов и процедур;

разработка перечня критичной информации;

моделирование действий нарушителей;

анализ угроз ИБ;

установление последствий и потенциальных потерь компании;

определение и выбор шкалы для оценки параметров рисков;

проведение анализа рисков;

выработка рекомендаций по управлению рисками;

разработка общих рекомендаций по повышению степени защищенности информационной системы;

разработка и поставка итоговой документации.

Следует отметить, что некоторые указанные этапы могут быть проведены параллельно.

Реализация аудита. Данный этап является одним из самых сложных. Обусловлено это тем, что, как правило, необходимая документация на информационную систему отсутствует. Кроме того, на этом этапе аудитору приходится взаимодействовать со многими должностными лицами компании. Для получения необходимой информации о компании, функционировании и текущем состоянии ее информационной системы согласно утвержденному плану организуются встречи с ответственными лицами, изучается техническая и организационно-распорядительная документация.

В ходе сбора информации у аудитора могут возникнуть следующие проблемы:

часто сотрудники описывают одну и ту же ситуацию/подсистему с разных точек зрения, поэтому приходится проводить интервью с одним и тем же человеком по несколько раз;

из-за занятости сотрудников (во время проведения аудита работа в компании не приостанавливается) намеченный план нередко сдвигается. В этом случае смещение графика работ должно быть официально зарегистрировано и отмечено заказчиком;

необходимо изначально определить формат собираемых данных и способ их получения. Все действия аудитора должны быть заранее одобрены заказчиком.

Анализ собранных данных. В зависимости от используемых аудиторами методов анализа данных существует несколько подходов к их реализации.

Подход, базирующийся на анализе рисков, является наиболее эффективным. При анализе рисков учитывается вероятность угроз ИБ по отношению к критичным информационным ресурсам. Качество и достоверность данной оценки зависят от степени детализации и адекватности обнаруженных угроз. Однако данный подход является наиболее затратным и, как правило, требует наивысшей квалификации от аудитора. Немаловажно отметить, что в результате проведенных работ аудитор предоставляет заказчику экспертную оценку рисков. Для получения количественной оценки он должен обладать определенным набором статистических данных об объекте оценки. В ряде случаев заказчик просто не может предоставить ему данной информации.

Полный и единый перечень информационных рисков привести невозможно, так как он напрямую зависит от обнаруженных и отранжированных угроз ИБ применительно к той или иной подсистеме. Как показала практика, понятие информационного риска по-разному понимается заказчиком. В ряде случаев (например, при работе в банковском секторе) следует использовать термин "операционный риск". В крупных и долгосрочных проектах нужно учитывать "аудиторский риск" и "риск лояльности".

Подход с использованием стандартов ИБ позволяет определить требования стандарта, соответствие которым необходимо обеспечить для информационной системы. Заказчик должен самостоятельно выдвигать требования, а аудитор - лишь проверять степень соответствия им. Аудитор должен обладать методикой, позволяющей оценить это соответствие. Например, давно используются открытые методики по стандартам ISO 27001, ИСО/МЭК 15408, "Стандарт ЦБ РФ" и др.

Третий подход является логичным продолжением и объединением первых двух. Смысл данного комбинированного метода заключается в том, что многие этапы аудита, например интервьюирование, проверка собранных сведений и согласование документации, выполняются одновременно, что обеспечивает существенное сокращение времени его проведения.

Выработка рекомендаций. Рекомендации аудитора должны быть конкретными и применимыми к данной информационной системе, а также экономически обоснованными и отсортированными по степени важности. Важно отметить, что, как правило, рекомендации бывают достаточно общими и не могут быть в полной мере использованы в качестве технорабочего проекта для построения/модернизации системы ИБ.

Подготовка отчетной документации. Аудиторский отчет - основной результат проведения аудита. Его структура зависит от характера и целей проводимого аудита. Хорошим финалом проведенной работы может служить презентация перед руководством. Данная презентация должна включать основные результаты проделанной работы, а также описывать планируемые работы в будущем.

В заключение хотелось бы сказать, что как только внешний аудит в соответствии со стандартами по управлению ИБ (в частности, ISO 27001) станет частью жизненного цикла системы управления безопасностью и перейдет в соответствии с международными стандартами на регулярную основу, ситуация должна измениться. Тем более что в 2007 г. большинство международных стандартов в области ИБ, наконец, получат статус российских ГОСТов.

А. Бедрань,

компания "ТехноСерв А/С"

"Финансовая газета", N 38, сентябрь 2007 г.

Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.

Получить бесплатный доступ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.