Мошак_Птицына_ Учебное пособие. Федеральное государственное бюджетное образовательное учреждение высшего образования санктпетербургский

Следует определить, нарушение информационной безопасности каких активов может нанести ущерб организации. В этом случае актив будет считаться ценным, и его необходимо будет учитывать при оценке информационных рисков. Инвентаризация заключается в составлении перечня ценных активов организации. Как правило, данный процесс выполняют владельцы активов.
В процессе категорирования активов необходимо оценить их важность для бизнес-процессов организации или, другими словами, определить, какой ущерб понесет организация в случае нарушения информационной безопасности активов. Данный процесс вызывает наибольшую сложность, так как ценность активов определяется на основе экспертных оценок их
владельцев (субъективные оценки). В процессе данного этапа часто проводятся обсуждения между консультантами по разработке системы управления и владельцами активов. Это помогает последним понять, каким образом следует определять ценность активов с точки зрения информационной безопасности (как правило, процесс определения критичности активов является для владельца новым и нетривиальным).
Кроме этого, для владельцев активов разрабатываются различные методики оценки активов. В частности, такие методики могут содержать конкретные критерии (актуальные для данной организации), которые следует учитывать при оценке нарушения конфиденциальности, целостности и доступности, т. е. оценке ущерба, который понесет организация при нарушении конфиденциальности, целостности или доступности активов.
Оценку критичности активов можно выполнять в денежных единицах и в уровнях. Однако, учитывая тот факт, что для анализа информационных рисков необходимы значения в денежных единицах, в случае оценки критичности активов в уровнях, следует определить оценку каждого уровня в деньгах. Например, для базовой оценки рисков достаточно 3- уровневой шкалы оценки критичности: низкий, средний и высокий уровни. При выборе шкалы важно учитывать следующее:
– чем меньше количество уровней, тем ниже точность оценки;
– чем больше количество уровней, тем выше сложность оценки (сложно определить разницу между, скажем, 7-м и 8-м уровнем 10- уровневой шкалы).
Кроме этого, следует иметь в виду, что для расчета информационных рисков достаточно примерных значений критичности активов: не обязательно оценивать их с точностью до денежной единицы. Однако денежное выражение критичности все равно необходимо. Рассмотрим подробнее принципы оценки критичности каждого указанного актива.
Информационные активы (или виды информации) оцениваются с точки зрения нанесения организации ущерба от их раскрытия, модификации или недоступности в течение определенного времени.
Программное обеспечение, материальные ресурсы и сервисы оцениваются, как правило, с точки зрения их доступности или работоспособности, т. е. требуется определить, какой ущерб понесет

организация при нарушении функционирования данных активов. Например, нарушение системы кондиционирования в течение трех суток приведет к отказу серверов организации к ним будет нарушен доступ и вследствие этого организация понесет убытки.
Сотрудники организации с точки зрения конфиденциальности и целостности оцениваются, учитывая их доступ к информационным ресурсам с правами на чтение и на модификацию. Оценивается, какой ущерб понесет организации при отсутствии сотрудника в течение определенного периода времени. Здесь важно учесть опыт сотрудника, его квалификацию, выполнение им каких-либо специфических операций.
Репутация организации оценивается в связи с информационными ресурсами: какой ущерб репутации организации будет нанесен в случае нарушения безопасности информации организации.
Заметим, что процесс категорирования активов должен подчиняться четким документированным процедурам организации.
Аудиторам сертификационного органа будет недостаточно формального документа, отражающего результаты категорирования. От владельцев активов требуется, чтобы они могли объяснить, какие методики они использовали при оценке, на основании каких данных были получены результаты оценки.
5.2.1.2. Идентификация угроз и уязвимостей для идентифицированных активов
Очевидно, что для анализа информационных рисков необходимо оценить не только критичность активов, но и уровень их защищенности. В процессе оценки защищенности информационной системы определяются угрозы, действующие на активы, а также уязвимости ИС, в которой обрабатываются активы и которые могут привести к реализации угроз.
Угрозы и уязвимости рассматриваются только во взаимосвязи друг с другом, так как инцидент ИБ– событие, указывающее на действительную, мнимую
или вероятную реализацию угрозы, возникает в случае появления комплементарной пары «угроза-уязвимость»). Уязвимость, через которую невозможно реализовать ни одну из угроз, не имеет смысла. Аналогично, угроза, которую невозможно реализовать ввиду отсутствия уязвимости, также неактуальна.
Понятно, что различные угрозы и уязвимости имеют разное значение (разный вес) для информационной системы. Следовательно, необходимо определить, какие угрозы и уязвимости наиболее актуальны, или, другими словами, определить вероятность реализации угрозы через
уязвимость. Под уровнем угрозы понимается вероятность ее
осуществления. Оценка угроз включает в себя:
– определение уязвимых мест системы;
– анализ вероятности угроз, направленных на использование этих уязвимых мест;
– оценка последствий успешной реализации каждой угрозы;
– оценка стоимости возможных мер противодействия;

– выбор оправданных механизмов защиты (возможно, с использованием стоимостного анализа).
Оценка уязвимостей активов ИС, обусловленных слабостями их защиты, предполагает определение вероятности успешного осуществления угроз безопасности.
Угрозы и уязвимости, а также их вероятность определяются в результате проведения технологического аудита защищенности информационной системы организации. Такой аудит может быть выполнен как специалистами организации (так называемый, внутренний аудит), так и сторонними консультантами (внешний аудит).
5.2.1.3. Оценка рисков для возможных случаев успешной реализации угроз информационной безопасности
Оценка информационных рисков заключается в расчете рисков, который выполняется с учетом сведений о критичности активов, а также вероятностей реализации уязвимостей. Величина риска определяется на основе стоимости актива, уровня угрозы и величины уязвимости. С их увеличением возрастает и величина риска. Оценка рисков состоит в том, чтобы выявить существующие риски и оценить их величину, т. е. дать им количественную оценку. Существуют различные методики измерения и оценки рисков, например, табличные, с помощью количественных шкал и др. [42, 43].
Классическая формула оценки информационного риска:
R P V где R – информационный риск; – величина возможного ущерба; P V – вероятность реализации определенной угрозы через некоторые уязвимости, которая может быть определена как относительная частота появления количества инцидентов ИБ в общем объеме наблюдений событий безопасности за достаточно большой период, либо определена субъективно на основе опыта пользователей как мера уверенности появления инцидентов
ИБ.
Разработка методики оценки риска – достаточно трудоемкая задача. Во- первых, такая методика должна всесторонне описывать информационную систему, ее ресурсы, угрозы и уязвимости. Задача заключается в том, чтобы построить максимально гибкую модель информационной системы, которую можно было бы настраивать в соответствии с реальной системой. Во-вторых, методика оценки рисков должна быть предельно прозрачна, чтобы владелец информации, использующий ее, мог адекватно оценить ее эффективность и применимость к своей конкретной системе.
На сегодняшний день существует два основных метода оценки рисков информационной безопасности
, основанных на построении: модели угроз и
уязвимостей и модели информационных потоков.
Метод оценки рисков, основанный на модели угроз и уязвимостей. С

точки зрения базовых угроз информационной безопасности существует два режима работы алгоритма, реализующего этот метод:
– одна базовая угроза (суммарная);
– три базовые угрозы.
Исходные данные:
– ресурсы (сервер закрытого контура, сервер открытого контура, МЭ открытого контура, СКЗИ закрытого контура, однонаправленный шлюз, оборудование ЛВС закрытого контура, оборудование ЛВС открытого контура);
– критичность ресурса (величина ущерба);
– отделы, к которым относятся ресурсы (закрытого и открытого контура);
– угрозы, действующие на ресурсы;
– уязвимости, через которые реализуются угрозы;
– вероятность реализации угрозы через данную уязвимость (на основе полученной модели проводится анализ вероятности реализации угроз информационной безопасности на каждый ресурс);
– критичность реализации угрозы через данную уязвимость.
Приведем алгоритм расчета рисков по угрозе информационной
безопасности.
1. На первом этапе рассчитывается уровень угрозы по уязвимости на основе критичности и вероятности реализации угрозы через данную уязвимость. Уровень угрозы показывает, насколько критичным является воздействие данной угрозы на ресурс с учетом вероятности ее реализации.
2. Для расчета уровня угрозы по всем уязвимостям , через которые возможна реализация данной угрозы на ресурсе, суммируются полученные уровни угроз через конкретные уязвимости (для режима с одной базовой угрозой и для режима с тремя базовыми угрозами).
3. Аналогично рассчитывается общий уровень угроз по ресурсу
(учитывая все угрозы, действующие на ресурс).
4. Рассчитывается риск по ресурсу .
5. Рассчитывается риск по информационной системе в целом.
Таким образом, в результате работы алгоритма пользователь системы получает оценки риска:
– по трем базовым угрозам (или по одной суммарной угрозе) для ресурса;
– суммарно по всем угрозам для ресурса;
– по трем базовым угрозам (или по одной суммарной угрозе) для информационной системы;
– по всем угрозам для информационной системы.
Кроме того, указанный алгоритм позволяет пользователю оценить эффективность контрмеры, а также эффективность комплекса контрмер.
Оценка рисков информационной безопасности, основанная на модели
информационных потоков. Оценка рисков информационной безопасности,

основанная на модели информационных потоков, осуществляется на базе модели ИС организации. Данная модель позволяет оценить защищенность каждого вида информации. Алгоритм позволяет получить следующие данные:
– реестр ресурсов;
– значения риска для каждого ценного ресурса организации;
– значения риска для ресурсов после задания контрмер (остаточный риск);
– эффективность контрмер;
– рекомендации экспертов.
Для того чтобы построить модель ИС, необходимо проанализировать защищенность и архитектуру построения информационной системы.
Специалист по ИБ, привлекая владельца (менеджера) информационной системы (используя вопросники, интервью, документацию, инструменты автоматического сканирования), должен подробно описать архитектуру сети:
– все аппаратные (компьютерные) ресурсы, на которых хранится ценная информация;
– сетевые группы, в которых находятся ресурсы системы (т.е. физические связи ресурсов друг с другом);
– отделы, к которым относятся ресурсы;
– виды ценной информации;
– ущерб для каждого вида ценной информации по трем видам угроз;
– бизнес-процессы, в которых обрабатывается информация;
– пользователей (группы пользователей), имеющих доступ к ценной информации;
– класс группы пользователей;
– доступ группы пользователей к информации;
– характеристики этого доступа (вид и права);
– средства защиты информации;
– средства защиты рабочего места группы пользователей.
Исходя из введенных данных, можно построить полную модель информационной системы организации, на основе которой будет проведен анализ защищенности каждого вида информации на ресурсе.
Приведем алгоритм анализа.
1. Составить структурную схему ИС на которой необходимо отобразить:
– все ресурсы (сервер, АРМ и т.д.);
– отделы, к которым относятся ресурсы;
– сетевые группы (локальные сети), физические связи ресурсов между собой и их подключения к Интернет;
– виды ценной информации, хранящейся на ресурсах;
– пользователей (группы пользователей), имеющих доступ к ценной
(конфиденциальной) информации.
2. Описать в виде таблиц средства защиты каждого аппаратного ресурса, средства защиты каждого вида информации, хранящемся на нем с указанием веса каждого средства

3. Описать в виде таблицы вид доступа (локальный, удаленный) и права доступа (чтение, запись, удаление) для каждого пользователя (групп пользователей), а также наличие соединения через VPN, количество человек в группе для каждого информационного потока
4. Указать наличие у пользователей выхода в Интернет
5. Указать ущерб организации от реализации угроз ИБ для каждого информационного потока
6. Рассчитать риски для каждого вида ценной информации, хранящейся в ИС по угрозе «нарушение конфиденциальности», «нарушение целостности» и «нарушение доступности».
Результаты оценки рисков, как правило, представляются в «Отчете об
оценке информационных рисков организации».
Большинство инструментальных средств анализа рисков соответствуют требованиям международного стандарта ISO 177799, за основу которого взят британский стандарт BS 7799.
5.2.2. Планирование СУР ИБ организации. Обработка рисков
После вычисления оценки рисков необходимо провести обработку рисков, которая включает
– выбор способа обработки рисков;
– подготовку плана обработки рисков или плана мероприятий по
снижению
рисков
с
указанием
контрмер
(административные,
организационные, программно-технические);
– расчет эффективности выбранных контрмер по снижению рисков.
5.2.2.1. Выбор способов обработки рисков
Выбор способа обработки рисков лежит в основе первого этапа обработки информационных рисков, в процессе которого определяются какие действия по отношению к рискам требуется выполнить в организации.
Основные критерии обработки рисков:
– принятие рисков;
– уклонение от рисков;
– передача рисков;
– снижение рисков.
Принятие рисков осуществляется в том случае, если уровень рисков признается приемлемым, т. е. организация не считает целесообразным применять какие-либо меры по отношению к этим рискам и готова понести ущерб.
Уклонение от рисков —полное устранение источника риска.
Передача рисков — перенесение ответственности за риск на третьи лица (например, поставщика оборудования или страховую организацию) без устранения источника риска.
Снижение рисков — выбор и внедрение мер по снижению вероятности нанесения ущерба.
В процессе обработки рисков сначала требуется определить, какие

из них требуют дальнейшей обработки, а какие можно принять.
Как правило, это решается с помощью оценки приемлемого уровня риска.
Риски, равные или ниже приемлемого, можно принять. Очевидно, что для рисков, превышающих приемлемый уровень, требуется выбрать дальнейшие меры по обработке. Приемлемый уровень риска определяется руководством организации или специальной группой, в которую входят руководители и главные финансисты организации. В случае, когда в организации наблюдается большой разброс значений риска (как правило, это может возникнуть, если критичность активов была определена в денежных единицах, а не уровнях), информационные риски можно разбить на категории и определять приемлемый уровень для каждой из них отдельно. Это вызвано тем, что снижать различные значения рисков до одного заданного значения не всегда целесообразно (часто для снижения высоких рисков до заданного уровня необходимы неоправданно большие затраты).
На сегодня один из наиболее распространенных – уменьшение риска путем принятия комплексной системы контрмер, включающей программно–
технические и организационные меры защиты. Контрмеры могут снизить уровни рисков различными способами (уменьшая вероятность осуществления угроз ИБ; ликвидируя уязвимости или понижая их величину; уменьшая величину возможного ущерба; способствуя восстановлению ресурсов ИС, которым был нанесен ущерб; выявляя атаки и другие нарушения безопасности). Близким является подход, связанный с уклонением от риска.
Наконец, в ряде случаев допустимо принятие риска. В этой ситуации важно определиться со следующей дилеммой: что для предприятия выгоднее – бороться с рисками или же с их последствиями, решая оптимизационную задачу.
После того как стратегия управления рисками
выбрана, проводится окончательная оценка мероприятий по обеспечению информационной безопасностис подготовкой экспертного заключения о защищенности информационных ресурсов. В экспертное заключение входят все материалы анализа рисков и рекомендации по их снижению.
5.2.2.2. Подготовка плана обработки рисков
По результатам этапа «Выбор способов принятия рисков» составляется
«Отчет об обработке информационных рисков организации», который подробно описывает методы обработки рисков. Кроме этого, составляется
«План снижения рисков», где четко описываются контрмеры по снижению
рисков, сотрудники, ответственные за выполнение каждого положения плана, сроки выполнения плана. Данный документ содержит перечень первоочередных мероприятий по снижению уровней рисков, а также цели и средства управления, направленные на снижение рисков, с указанием:
– лиц, ответственных за реализацию данных мероприятий и средств;
– сроков реализации мероприятий и приоритетов их выполнения;
– ресурсов для реализации таких мероприятий;

– уровней остаточных рисков после внедрения мероприятий и средств управления.
Разница между стоимостью реализации контрмер и величиной возможного ущерба должна быть тем больше, чем меньше вероятность причинения ущерба. Контрмеры могут способствовать уменьшению величины рисков различными способами:
– уменьшая вероятность осуществления угроз безопасности;
– ликвидируя уязвимости или уменьшая их величину;
– уменьшая величину возможного ущерба;
– выявляя атаки и другие нарушения безопасности;
– способствуя восстановлению ресурсов ИС, которым был нанесен ущерб.
5.2.2.3. Расчет эффективности выбранных контрмер по снижению рисков
Расчет эффективности принятых контрмер, является мерой снижения рисков ИБ. В случае применения метода оценки рисков, основанного, например, на модели угроз и уязвимостей для расчета эффективности контрмер после их задания необходимо повторно пройти последовательно по всему алгоритму вычисления оценки риска и вычислить значение нового риска по ресурсу (
). Таким образом, мы получаем значение двух рисков
– риска без учета контрмеры (
) и риск с учетом заданной контрмеры
(
). Эффективность введения контрмеры рассчитывается по формуле:
Если эффективность контрмеры недостаточна, например, не соответствует величине приемлемого риска, то необходимо уточнить контрмеры и пройти последовательно по всему алгоритму еще раз.
5.2.3. Разработка требований к системе мониторинга ИБ и критерию
оценки эффективности ИБ
Одной из основных функций СУИБ является мониторинг ИБ.
Мониторинг ИБ – постоянное наблюдение за объектами и субъектами ИС, влияющими на состояние ее безопасности, а также сбор, анализ и обобщение результатов наблюдений. При этом главной задачей системы мониторинга
ИБ является задача выявления и обработки инцидентов ИБ, количество которых служит мерой эффективности функционирования СОИБ.
5.2.3.1. Планирование организационно-технических требования по мониторингу состояния ИБ и контролю защитных мер СОИБ
Процесс мониторинга должен удовлетворять требованиям оперативности обнаружения несанкционированных действий и

непрерывности сбора и анализа результатов наблюдения. Целями мониторинга являются:
– контроль за выполнением требований нормативных актов регуляторов по обеспечению безопасности информации и требований ПИБ ИС организации;
– выявление нештатных (в том числе злоумышленных) действий в ИС;
– выявление инцидентов ИБ (событий ИБ, требующих расследования).
Основной задачей мониторинга СУИБ является наблюдение в режиме реального времени за активными субъектами системы (пользователями, процессами и др.), сбор и анализ данных о функционировании этих субъектов, обобщение результатов анализа и формирование качественной и/или количественной оценки состояния ИБ, а также оценки функционирования системы в целом. При этом особое внимание должно быть уделено наблюдению за действиями в системе привилегированных пользователей. Итоговая оценка может содержать информацию о доступности информационных активов системы, об обнаружении деструктивных воздействий и др. Результат указанной оценки должен оформляться в виде сообщений «несанкционированное действие» (НСД) и/или «инцидент ИБ» и оперативно пересылаться администратору ИБ (АИБ) системы.
Существует два класса принципиально различных моделей мониторинга информационной безопасности: 1) модели, основанные на знаниях и 2) модели, основанные на обучении.
Модели, основанные на знаниях или сигнатурные модели, предполагают непрерывное наблюдение объекта защиты на предмет выявления в нем следов (признаков, сигнатур) некоторого наперед заданного множества атак и их блокировки по заранее назначенным правилам. Идея состоит в том, чтобы каким–либо образом задать характеристики злоумышленного поведения (это и называется сигнатурами), а затем отслеживать поток событий в поисках соответствия с предопределенными образцами. Таким образом, под сигнатурным анализом понимается анализ событий мониторинга, выделяемых в потоке регистрируемых данных, на соответствие заданным событийным цепочкам (сигнатурам), определяемым специально настраиваемыми правилами (шаблонами, фильтрами). Каждое из правил представляет собой цепочку первичных событий с определенными параметрами (контекстом события). Анализируемый поток первичных событий анализируется на предмет присутствия в нем заданных цепочек.
Сигнатурный анализ производится в режиме реального времени. С правилами связаны обработчики событий, в которых производится анализ контекста на соответствие данному правилу и вырабатывается необходимая реакция, а именно, генерируется результирующее событие – сообщение о
НСД или инциденте. Другими словами, методы сигнатурного анализа позволяют фиксировать факты конкретных нарушений, механизм которых заранее известен. Самой сложной проблемой для сигнатурного подхода является обнаружение ранее неизвестных атак. Модели указанного типа

имеют множество разновидностей. Например, классические системы защиты информации от НСД, системы штатного аудита ОС и СУБД, – являются их частным случаем.
Модели, основанные на обучении, основываются на измерении отклонений наблюдаемого поведения субъекта (пользователей, приложений, аппаратуры) от его допустимого поведения. При этом допустимое
(«хорошее») поведение субъекта выявляется в процессе обучения системы контроля при его штатной работе. Одним из методов выявления аномальной активности является статистический метод.
Статистический анализ позволяет оценить соответствие текущего или апостериорного сеанса поведения легальных субъектов ИС априорному шаблону их поведения, построенному за определенные периоды времени.
При статистической обработке анализируются все события, фиксируемые системой мониторинга, а не только сигнатурные цепочки заданных событий.
При этом предполагается, что существуют статистические параметры наблюдаемой системы, неизменность которых отражает стабильность характера поведения ее субъектов. Количественные изменения этих параметров свидетельствует, либо об изменениях поведения субъектов (в том числе связанных с несанкционированными действиями), либо о действиях субъектов, направленных на дестабилизацию системы (изучение ее устойчивости, исследование недокументированных возможностей, обнаружение ошибок в администрировании и т. д.). Необходимо отметить, что типичной ситуацией в ИС является невозможность с помощью правил безопасности ограничить нежелательные действия легального пользователя, не лишив его при этом необходимой функциональности. В этой связи применение статистических методов играет большую эвристическую роль в системе мониторинга ИС, позволяя, во-первых, выявлять нетипичные действия легальных субъектов и, во-вторых, проводить более детальный анализ и дополнительные расследования.
Два подхода – статистический и экспертный хорошо дополняют друг друга, т. к. статистический подход хорош там, где существует понятие типичного поведения субъекта (т. е. распределения измеряемых величин в нормальной ситуации остаются относительно стабильными), а экспертный подход плохо справляется с неизвестными атаками (равно как и с многочисленными вариациями известных атак).
Проведенный выше анализ моделей нарушителя и угроз позволяет сделать вывод, что основную опасность с точки зрения несанкционированного доступа к информации в ИС и ее возможного искажения представляют собой действия лица, имеющего (или получившего путем преодоления средств защиты) наибольшие привилегии в любой подсистеме ИС – привилегии администраторов баз данных, операционных систем и СУБД. При этом они могут скрыть свои деструктивные действия с помощью удаления полей штатных журналов аудита в силу наличия у них значительных полномочий с одной стороны, и невозможности обеспечения полного контроля их действий штатными средствами – с другой. Например, в

силу архитектуры СУБД Oracle, администратор СУБД имеет неограниченные права по управлению содержимым журнала аудита, а действия администратора SYS вообще не регистрируются в системе.
В этой связи мы приходим к выводу о необходимости внедрения в
СУИБ независимых средств мониторинга ИБ для контроля за действиями привилегированных пользователей, или так называемых доверенных средств мониторинга ИБ. Дополнительно, в случае, если в функциональной структуре ИС имеется собственная служба информационной безопасности,
ПИБ должна содержать требования по разделению полномочий, а также реквизитов доступа (паролей) в подсистеме между администраторами сопровождения ИС и АИБ. Штатный аудит операционных систем, СУБД, БД и сетевого оборудования может быть использован, в том числе, и для контроля действий администраторов со стороны АИБ.
Система внешнего (независимого) мониторинга представляет собой специально разработанные программные средства, основу которых составляют программные агенты (сенсоры), функционирующие на уровне драйверов соответствующих операционных систем.
Необходимо отметить, что независимый мониторинг часто является единственным инструментом контроля привилегированных пользователей, а именно, в тех случаях, когда невозможно ограничить выполнение ими не санкционированных/деструктивных действий, не лишив их при этом необходимой функциональности. Кроме того, для некоторых систем дополнительно все права по управлению штатным аудитом могут быть переданы независимому администратору.
Учитывая значительный объем данных аудита, поступающих от различных контролируемых подсистем ИС, а также многообразие требований политики безопасности, которые должны быть отслежены через эти данные, становится очевидной необходимость автоматизации процесса их анализа. При этом особое значение должно быть уделено построению
единых (универсальных) систем интегрального мониторинга ИБ (ЕСМИБ), позволяющих выявлять в режиме реального времени подозрительные действия пользователей, в том числе распределенные атаки на систему защиты.
5.2.3.2. Планирование основных принципов построения ЕСМИБ
Основная задача системы интегрального мониторинга ИБ – оперативное получение и одновременная обработка данных от всех компонент контроля
ИС (в т. ч. внешних систем защиты), их формализация и экспорт в СУБД
ЕСМИБ с последующим оперативным анализом этих данных. Такой подход позволит определять и анализировать распределенные атаки на ИС, при реализации которых записи в одном из журналов систем аудита или внешней системы защиты может оказаться недостаточно для гарантированного определения атаки, а требуется согласованный интегральный анализ событий, зарегистрированных в нескольких журналах аудита. Кроме того, согласованный анализ событий аудита позволит избежать ложного

детектирования несанкционированный событий, вызванных случайными сбоями или ошибками пользователей. Результатом разбора данных аудита является принятие решения о воздействии на технологический процесс ИС с целью ликвидации последствий выявленных нарушений и недопущения их в будущем, а также формирование численных оценок опасности выявленных событий безопасности.
К ЕСМИБ должны предъявляться следующие требования [44-46]:
– возможность интерпретации журналов аудита всех компонент ИС (ОС,
СУБД, систем защиты информации (СЗИ), систем обнаружения вторжений
(IDS) и др.);
– возможность многоуровневого построения ЕСМИБ с реализацией предварительной и окончательной обработки данных аудита на различных компонентах ЕСМИБ;
– наличие центральной SQL–базы данных ЕСМИБ, в которой накапливается информация аудита компонент ИС;
– возможность дистанционного управления интегральными настройками аудита различных компонентов ИС для контроля конкретного субъекта.
Например, обеспечить возможность интегрального аудита конкретного пользователя, при котором одновременно получается и анализируется информация о действиях пользователя на АРМ ИС, в СУБД Oracle, в корпоративной сети по IP- адресу пользователя (от межсетевых экранов, маршрутизаторов) и др.;
– возможность связывания событий аудита от различных компонентов
ИС для определения совокупных действий конкретного пользователя ИС или групп пользователей (должна быть разработана база соответствия имен пользователей в различных компонентах ИС), а также IP адресов или групп
IP-адресов;
– наличие экспертного языка анализа журналов и возможность задания правил действий в зависимости от результатов анализа журналов аудита и возможность выдачи рекомендаций по воздействию на технологический процесс в ИС;
– возможность дистанционного оповещения администратора безопасности о выявлении НСД и/или инцидента в соответствии с заданными правилами.
Особенностью системы должно быть то, что реакция на события НСД и
инциденты ИБ, описанные с помощью правил экспертной системы ЕСМИБ напрямую не должны влиять на функционирование ИС, а носить характер рекомендаций администраторам информационной безопасности (АИБ), целесообразность выполнения которых зависит от их решений и не может автоматически нарушить функционирование ИС.
Применяемые организацией меры по обнаружению инцидентов ИБ и реагирование на них должны обеспечивать:
– обнаружение и регистрацию инцидентов ИБ;
– организацию реагирования на инциденты ИБ;
– организацию хранения и защиту информации об инцидентах ИБ;

– регистрацию событий нарушения ИБ, связанных с результатами обнаружения инцидентов ИБ и реагирования на них.
ЕСМИБ должна основываться на анализе действий субъектов
(пользователя, администратора, несанкционированного пользователя или администратора, процесса), как потенциальных источников атак на объекты
ИС.
Для проведения работ по анализу регистрационных журналов в ИС должна быть организована центральная консоль управления ЕСМИБ, куда должны передаваться данные от подсистем независимого и штатного аудита, контроля целостности, подсистем анализа защищенности ИС и др. На этой консоли должна отображаться текущая ситуация по состоянию информационной безопасности в ИС. С этой консоли, в результате анализа текущей ситуации, автоматически или вручную, вырабатываются управляющие команды. Центральная консоль физически может быть реализована в виде нескольких рабочих мест (с выделением, например, места
АИБ СУБД, администратора безопасности Unix–систем и т. д.). Такой подход к построению ЕСМИБ позволит:
– комплексно анализировать распределенные атаки на ИС, обобщать результаты анализа и выявлять скоординированные атаки на разные участки системы;
– организовать в режиме реального времени автоматизированную обработку, классификацию и индикацию регистрационной информации по мере ее поступления;
– оперативно осуществлять выработку необходимых решений по улучшению защиты контролируемой системы от несанкционированных воздействий, а также формировать в режиме реального времени рекомендации (в виде выявленных типов аварийных ситуаций) администрации ИС для необходимой реакции на технологический процесс;
– формировать численные оценки опасности регистрируемых событий;
– избежать ложного детектирования несанкционированных событий, вызванных случайными сбоями или ошибками пользователей;
– интегрировать дистанционное управление настройками аудита компонентов ИС.
Для оперативного анализа регистрационных журналов и выработки отчетов по результатам такого анализа необходимо разработать инструмент импорта информации аудита в центральную SQL–базу данных аудита, реализованную в составе ЕСМИБ, и программное обеспечение для работы с этой базой данных, обеспечивающее выборку интересующих сведений аудита и формирования отчетов по результатам выполнения политики безопасности.
Так как существует большое разнообразие наблюдаемых компонентов
ИС, каждая из которых обладает особенностями сбора и представления информации, ЕСМИБ должна быть способна использовать следующие механизмы сбора данных аудита:
– удаленные запросы ЕСМИБ к штатным SQL–базам аудита систем, как

например к базе аудита СУБД Oracle, которая является уже готовым набором таблиц базы данных SQL и нуждается лишь в небольшой в дополнительной формализации;
– использование централизованной базы штатного аудита распределенных систем. Например, система аудита маршрутизаторов Cisco
TACACS+ уже имеет централизованную базу данных аудиторской информации всех своих компонентов и системе интегрального аудита имеет смысл организовать работу непосредственно с этой централизованной базой данных;
– использование агентов трансляции данных аудита непосредственно на контролируемых объектах (например, ОС Unix). При отсутствии баз данных аудита компонентов ИС для передачи в ЕСМИБ данных аудита должны быть
разработаны агенты трансляции аудиторской информации, например, для
ОС HP–UX, которая не обладает механизмами удаленного предоставления данных аудита на базе архитектуры «клиент–сервер».
Кроме того, на этапе планирования системы мониторинга СУИБ и контроля защитных мер должны быть разработаны следующие нормативно- методические документы и процедуры:
– типовые документы, регламентирующие процедуры мониторинга
СУИБ и контроля защитных мер, включая контроль параметров конфигурации и настроек средств и механизмов защиты.
– типовая система классификации и категорированияпервичных событий ИБ объектов области действия СУИБи инцидентов ИБ.
– типовые документы и процедуры расследования инцидентов ИБ с учетом нормативных актов ФСТЭК, а также внутренних документов организации в области ИБ, в том числе:
– процедуры обнаружения первичных событий мониторинга ИБ и формирования инцидентов ИБ;
– процедуры классификации и категорирования первичных событий мониторинга ИБ и инцидентов ИБ;
– процедуры анализа причин инцидентов ИБ;
– процедуры информирования об инцидентах ИБ и нарушениях конкретных требований Политики ИБ и требований нормативных документов;
– процедуры формирования интегральной оценки состояния ИБ организации;
– процедуры поддержания в актуальном состоянии централизованной базы данных инцидентов ИБ;
– процедуры настройки отображения результатов мониторинга ИБ.
– типовые документы по хранению информации об инцидентах ИБ, практиках анализа инцидентов ИБ и результатах реагирования на инциденты
ИБ.
– типовой порядок действий работников организации при обнаружении нетипичных событий, связанных с ИБ, и информировании о данных событиях.

– типовые роли по обнаружению, классификации, реагированию, анализу и расследованию инцидентов ИБ.
– типовые документы, регламентирующих процедуры сбора и хранения информации о действиях работников организации, событиях и параметрах, имеющих отношение к функционированию защитных мер.
– типовые документы, определяющих роли, связанные с выполнением процедур мониторинга СОИБ и контроля защитных мер, а также пересмотром указанных процедур.
5.2.3.4. Планирование самооценки ИБ организации
Для оценки состояния ИБ защищаемых активов и выявления признаков деградации используемых защитных мер проводится также самооценка соответствия СИБ требованиям ПИБ силами сотрудников подразделения технической защиты информации.
Планирование системы самооценки ИБ организации должно предусматривает разработку типовых документов, регламентирующих порядок проведения самооценки ИБ организации.
5.2.3.5. Планирование типовой программы аудита ИБ
Аудит информационной безопасности – систематический, независимый и документируемый процесс получения свидетельств деятельности организации по обеспечению ИБ, установления степени выполнения в организации критериев ИБ, а также допускающий возможность формирования профессионального аудиторского суждения независимой организации о состоянии ИБ организации.
Планирование типовой программы аудитов ИБ должно включать разработку типовой программы аудитов ИБ, содержащую информацию, необходимую для планирования и организации аудита ИБ, анализа и совершенствования СОИБ.
5.2.3.6. Планирование работ по контролю и анализу СУИБ
Планирование работ по контролю и анализу СУИБ должно предусматривать
– разработку плана выполнения деятельности по контролю и анализу
СУИБ. В частности, указанный план должен содержать положения по проведению совещаний на уровне руководства, на которых в том числе производятся поиск и анализ проблем ИБ, влияющих на бизнес организации;
– разработку ролей, связанных с подготовкой информации, необходимой для анализа СУИБ руководством организации;
– разработку типового перечня документов для руководства по анализу
СУИБ.
5.2.3.7. Планирование непрерывности бизнеса организации
Планирование непрерывности бизнеса организации должно включать:

1. Разработку типового плана непрерывности бизнеса организации, регламентирующего вопросы обеспечения непрерывности бизнеса и его восстановления после прерывания, в котором должны быть учтены, в том числе
– процедуры реагирования на инциденты ИБ и оценки результатов реагирования (при необходимости с участием внешних экспертов в области
ИБ);
– процедуры оценки ущерба, нанесенного инцидентом ИБ;
– мероприятия, которые должны быть предприняты после выявления инцидента ИБ;
– условия активизации плана непрерывности бизнеса организации;
– процедуры восстановления непрерывности бизнеса;
– процедуры тестирования и проверки плана;
– обучение и повышение осведомленности работников организации;
– обязанности работников организации с указанием ответственных за выполнение каждого из положений плана.
2. Разработку типовых документов и процедур в рамках управления ИБ, в том числе:
– типового перечня документов (данных), необходимых для формирования информации, предоставляемой руководству с целью проведения анализа функционирования СУИБ:
– отчетов с результатами мониторинга СУИБ и контроля защитных мер, в том числе содержащие информацию по выявленным инцидентам ИБ;
– отчетов по результатам анализа функционирования СУИБ;
– отчетов по результатам аудита ИБ;
– отчетов по результатам самооценок ИБ;
– документов, содержащих информацию о способах и методах защиты, защитных мерах или процедурах их использования, которые могли бы использоваться для улучшения функционирования СУИБ;
– отчетов о новых выявленных уязвимостях и угрозах ИБ;
– отчетов по устранению замечаний руководства по итогам предыдущего анализа функционирования СУИБ;
– аналитических записок об изменениях в нормативно- распорядительных или законодательных документах по ИБ, которые могли бы повлиять на организацию СУИБ организации, например, изменениях в законодательстве Российской Федерации;
– отчетов по выполнению утвержденных руководством мероприятий по обеспечению требуемого уровня ИБ, например, выполнение планов обработки рисков;
– отчетов, подтверждающих выполнение требований непрерывности бизнеса и его восстановления после прерывания;
– ежемесячных и ежеквартальных отчетов (справок) о проведенных мероприятиях по совершенствованию СУИБ.
– отчетов по совершенствованию СУИБ;

– отчетов по контролю исполнения текущих, оперативных, внеплановых и плановых задач, указанных в плане мероприятий на год, долгосрочных задач, поставленных в соответствии с решениями руководства организации;
– отчетов по результатам внутреннего контроля выполнения требований по обеспечению ИБ в подразделениях организации;
– отчетов по ведению единой БД и поддержанию в актуальном состоянии организационно–распорядительных и нормативно–методических документов по вопросам обеспечения ИБ;
– отчетов по ведению единой базы знаний по вопросам оказания методической помощи АИБ подразделений и АИБ систем, текущего и оперативного контроля выполнения организационных требований по ИБ в виде листов опроса (анкетирования);
– отчетов по управлению ключевыми системами, в том числе организации и проведению плановых и внеплановых смен ключевых документов СКЗИ.