описание системы. Система тестирования для проведения аудита информационной безопасности на предприятии на основе

13 формируется в результате обобщенной мировой практики. Стандарты могут определять разные наборы требований безопасности, в зависимости от уровня защищенности информационной системы, которые требуется обеспечить, в за- висимости от ее принадлежности (коммерческая организация, государственное учреждение и т. п.), а также назначения (финансы, промышленности, связь и т. п.). В данном случае от аудитора требуется правильно определить набор тре- бований стандарта, соответствие которым требуется обеспечить для данной информационной системы. Также, необходимо правильно выбрать методику, которая позволит оценить это соответствие. Из-за своей простоты (поскольку стандартный набор требований для проведения аудита уже определен стандар- том) и надежности (стандарт - есть стандарт и его требования не оспоримы), описанный подход наиболее распространен на практике (особенно при прове- дении внешнего аудита). Данный подход при минимальных затратах на ресур- сах позволяет сформировать обоснованные выводы о текущем состоянии уров- ня безопасности информационной системы.
Третий подход предполагает комбинирование первых двух, поэтому яв- ляется наиболее эффективным. Базовый набор требований безопасности, предъявляемых к информационной системе, определяется стандартом. Допол- нительные требования, в максимальной степени учитывающие особенности функционирования данной информационной системы, формируются на основе анализа рисков. Этот подход является намного проще первого, так как большая часть требований безопасности уже определена стандартом, и, в то же время, он лишен недостатка второго подхода, заключающего в том, что требования стан- дарта могут не учитывать специфики исследуемой информационной системы.
Выработка рекомендаций. Рекомендации, выдаваемые аудитором по ре- зультатам анализа состояния информационной системы, определяются исполь- зуемым подходом, особенностями исследуемой информационной системы, со- стоянием дел с информационной безопасностью и степенью детализации, ис- пользуемой при проведении аудита. В любом случае, рекомендации аудитора

14 должны быть конкретными и применимыми к данной информационной систе- ме, к тому же быть экономически обоснованными, аргументированными (под- крепленными результатами анализа) и отсортированными по степени важности.
При этом мероприятия по обеспечению безопасности организационного уровня практически всегда имеют приоритет над конкретными программно- техническими методами защиты [9].
Подготовка отчетных документов. Аудиторский отчет является основ- ным результатом проведения аудита. Его качество характеризует качество ра- боты аудитора. Структура отчета может существенно различаться в зависимо- сти от вида, характера и целей проводимого аудита. По крайней мере должен содержать описание целей проведения аудита; характеристику обследуемой информационной системы; границы проведения аудита; используемые методы; результаты анализа данных аудита; выводы, обобщающие эти результаты и со- держащие оценку уровня защищенности информационной системы и/или ее соответствие требованиям стандартов; рекомендации аудитора по устранению существующих недостатков и совершенствованию систем безопасности [9].
Основными видами аудита информационной безопасности, применяемы- ми на практике, являются [16]:
1.
Активный аудит (инструментальный анализ защищенности).
2.
Экспертный аудит.
3.
Аудит на соответствие стандартам.
4.
Дополнительные услуги.
Активный аудит. Один из самых распространенных видов оказываемых услуг. Он включает в себя исследование состояния защищенности информаци- онной системы с позиции злоумышленника: при помощи специального про- граммного обеспечения осуществляется сбор информации о состоянии системы сетевой защиты (те параметры и настройки, на основании использования кото- рых злоумышленник может получить доступ к сети и произвести атаку). Дру- гими словами, перед аудитором ставится задача — смоделировать как можно

15 больше разнообразных сетевых атак на систему сетевой защиты предприятия имея минимум информации. В результате проведения активного аудита стано- вятся известны все уязвимости, определяются степень их критичности и мето- ды устранения, а также сведения о широкодоступной информации сети заказ- чика. На основании чего, впоследствии составляются рекомендации по модер- низации системы сетевой защиты, которые позволяют устранить выявленные недостатки, повысить уровень защищенности информационной системы от действий злоумышленников и свести к минимуму расходы на обеспечение ин- формационной безопасности [16].
Экспертный аудит. Один из самых объемных видов работ. Он подразу- мевает сравнение состояния текущего уровня информационной безопасности с требованиями, предъявляемыми руководством компании, к системе информа- ционной безопасности и «идеальной» системой информационной безопасности.
В процессе экспертного аудита проводятся следующие виды работ, совместно с представителями компании-заказчика [16]:
• сбор исходных данных об информационной системе: функции, осо- бенности, топология сети, используемые технологии автоматизированной об- работки и передачи данных (с учетом планируемых перспектив развития);
• сбор организационно-распорядительных документов по обеспечению информационной безопасности и их анализ (например, политика безопасности, план защиты, различного рода инструкции и приказы);
• выявление точек ответственности систем, устройств и серверов ин- формационной системы;
• составление перечня подсистем всех подразделений компании (с кате- горизацией критичной информации и схемами информационных потоков) и т. п.
Аудит на соответствие стандартам. При проведении данного вида ауди- та сравнивается состояние информационной безопасности с описанием, приво- димым в стандартах. По результатам проведенного аудита выдается официаль-

16 ный отчет, в котором прописывается степень соответствия информационной системы компании-заказчика выбранным стандартам и ее внутренним требова- ниям в области информационной безопасности. Также приводится количество и категории полученных несоответствий и замечаний, даются рекомендации по построению и/или модификации существующей системы информационной без- опасности, позволяющие привести ее в соответствие с рассматриваемым стан- дартом.
Мотивация руководства компаний к прохождению аудита информацион- ной безопасности различна, но в основном сводится к получению сертификата, подтверждающего высокий уровень информационной безопасности в компа- нии, с целью укреплений позиций на рынке для выхода на более крупных кли- ентов и/или деловых партнеров и расположения их к сотрудничеству [16].
Дополнительные услуги. В ходе проведения аудита заказчику могут предлагается дополнительные услуги, которые напрямую связаны с оценкой состояния системы информационной безопасности, основанные на проведении специализированных исследований с использованием программно-аппаратных средств. Ярким примером является использование компаниями в своей инфор- мационной системе специализированного программного обеспечения соб- ственной разработки. Поскольку подобное программное обеспечение является
«
уникальным», то и как таковых готовых, универсальных или специализиро- ванных средств и технологий для их анализа на предмет защищенности и отка- зоустойчивости не существует. Поэтому в своей работе аудиторы прибегают к использованию: стресс-тестирования и/или теста на проникновение [16].
Стресс-тестирование — исследование производительности и стабильно- сти работы системы, направленное на определение критических точек нагрузки, при которых система в момент атаки перестает адекватно реагировать на леги- тимные запросы пользователей.
Тест на проникновение или пентест (от англ. Penetration Testing), инстру- мент анализа защищенности информационной системы основной целью кото-

17 рого является демонстрация того, к чему удалось получить доступ злоумыш- леннику, при текущем состоянии системы сетевой защиты.
Также, стоит более детально разобрать понятие «система тестирования» с используемом нами контексте, потому как данное понятие имеет довольно об- ширное определение. В общем случае, тестирование определяется как процесс, направленный на выявление характеристик информационной системы и демон- страцию различий между ее требуемым и фактическим состоянием (T.Koomen,
M.Pol «Test Process Improvement»).
Первоочередными задачами тестирования являются определение соответ- ствия предмета тестирования заданным спецификациям, а также определение пригодности объекта тестирования к выполнению тех или иных функций. В за- дачи тестирования не входит определение причин несоответствия заданным требованиям. Также, тестирование не обеспечивает само качество, но на его ос- нове формируется представление о степени неопределенности качества систе- мы.
Согласно стандарту ISO 9000 под качеством объекта тестирования пони- мается совокупность характеристик объекта, относящихся к его способности удовлетворить установленные или предполагаемые требования. Другими сло- вами, чем большему количеству требований соответствует тестируемый объект, тем выше его качество. К тому же тестирование не является отдельной деятель- ностью или направлением.
Тестирование — один из разделов диагностики и один из инструментов решения проблемы обеспечения качества объекта.
Полный перечень мероприятий по обеспечению качества объекта вклю- чает в себя три группы мероприятий [36]:
1.
Предупредительные — нацелены на предотвращение дефектов
(
например: методики, процедуры, шаблоны документов).
2.
Выявляющие — нацелены на нахождение недостатков (например, те- стирование).

18 3.
Корректирующие — нацелены на устранение недостатков (например, исправление ошибок, найденные в ходе тестирования).
Таким образом, тестирование — это один из способов выявления дефек- тов. В свою очередь, выявление дефектов — это один из видов деятельности по обеспечению качества объекта. Тестирование определяется по-разному и зави- сит прежде всего от компании и/или от основных целей его проведения.
1.3
Анализ литературы и интернет-источников
1.3.1
Анализ печатных источников
На начальном этапе работы было проанализировано большое количество информации, представленной, как в Интернете, так и в печатных источниках.
После изучения материала, было вынесено заключение о том, что полноценной информации по методике проведения тестирования по оценке рисков и угроз информационной безопасности как для предприятий, так и для образователь- ных учреждений как таковых не существуют. Имеются отдельные наработки, в плане рассматриваемого теоретического материал по тому, какие угрозы ин- формационной безопасности существуют на настоящий момент, и какие из них наиболее характерны для того или иного типа предприятия, а также описыва- ются объекты, которые в основном подвергаются атакам.
Учебное пособие «Аудит безопасности фирмы: теория и практика» по- священо проблемам аудита информационной безопасности, как одного из направлений деятельности системы безопасности компании [38]. В данном учебном пособии рассматриваются как общие вопросы аудита безопасности компании, так и вопросы аудита отдельных направлений и областей информа- ционной безопасности.
В книге «Аудит информационной безопасности» [7] рассматривается це- лый комплекс вопросов, связанных с проведением аудита информационной

19 безопасности на предприятии, даны основные понятия, показана роль анализа и управления информационными рисками. Также, в данной книге проводится описание международных и российских стандартов информационной безопас- ности, излагаются методологические основы применения стандартов ISO 15408 и ISO 17799 (ныне действующий стандарт ISO 27002-2013) для оценки рисков и управления информационной безопасностью, дана характеристика программ- ных средств, применяемых при аудите информационной безопасности. Автор книги уделяет особое внимание практическим вопросам методики проведения аудита информационной безопасности в компаниях различного типа и уровня.
Виктор Сердюк в своем учебном пособии «Организация и технологии защиты информации. Обнаружение и предотвращение информационных атак в автоматизированных системах предприятий» [29] описывает проблемы защиты информационных систем от информационных атак. В основу учебного пособия заложен накопленный многолетний опыт специалистов информационной без- опасности по разработке и внедрению комплексных систем безопасности для защиты от информационных атак. Учебное пособие охватывает наиболее зна- чимые и основные темы информационной безопасности, такие как: виды уяз- вимостей; информационные атаки и их последствия; методика проведения аудита и оценка рисков информационной безопасности; системы обнаружения и предотвращения атак и особенности их практического применения; обучение и сертификация специалистов по информационной безопасности.
Не менее полезным является учебное пособие Юрия Родичева «Норма- тивная база и стандарты в области информационной безопасности» [28], в ко- тором рассмотрены наиболее важные нормативные документы Федеральной службы по техническому и экспортному контролю (ФСТЭК), а также междуна- родные и национальные стандарты Российской Федерации (РФ) в области ин- формационной безопасности, так как на основании рассматриваемой норматив- но-правовой базы выстраивается методика проверки предприятия на предмет

20 соответствия существующей политики информационной безопасности тому или иному закону, стандарту, постановлению и т. п.
1.3.2
Анализ интернет-источников
В статье «Аудит информационной безопасности — основа эффективной защиты предприятия» [10] (рисунок 1), дается определение понятию «аудит информационной безопасности» и приводится подробная характеристика его составляющих, включая основные виды аудита. Также, автор статьи детально описывает основные этапы работ при проведении аудита в компании-заказчике, включая используемые методы и необходимый для проведения аудита перечень исходных данных.
Рисунок 1 — Веб-портал ДиалогНаука
Александр Астахов в своей статье «Аудит безопасности информацион- ных систем» [9] (рисунок 2) рассказывает об обобщенной практике проведения аудита безопасности информационных систем; раскрывает понятие аудита ин- формационной безопасности; обосновывает цели его проведения; рассматрива- ет методы анализа и управления рисками, используемые аудиторами, а также

21 средства их реализации; действующие стандарты и системы сертификации ин- формационных систем, в рамках которых проводится аудит безопасности.
Также, Александр Астахов является автором другой статьи на смежную тему «Виды аудита информационной безопасности» [9] (рисунок 2), в которой акцентируется внимание на особенности проведения каждого из вида аудита и приводится подробная классификация оказываемых при проведении аудита услуг. Автор приводит критерии оптимального выбора и применения того или иного вида аудита.
Рисунок 2 — Веб-портал ISO 27000 «Искусство управления информационной безопасностью»
В работе кандидата технических наук, эксперта по информационной без- опасности, исполнительного директора компании «Digital Security» [30] Ильи
Давидовича Медведовского под названием «Практическое применение между- народного стандарта информационной безопасности ISO 17799» (рисунок 3) содержатся и описываются критерии оценки защищенности информационных систем, критерии проведения аудита безопасности информационных систем, практическое применение международного стандарта ISO 17799 (ныне дей- ствующий стандарт ISO 27002-2013) [24]. Данная работа И. Д. Медведовского нашла свою реализацию в программном продукте «Кондор», на основные идеи и принципы функционирования которого мы опирались при создании и разра- ботке программного продукта.

22
Рисунок 3 — Веб-портал CitForum
В своей работе «Стандарт на страже информационной безопасности» [35]
(
рисунок 4) эксперт информационной безопасности С. И. Игнатенко заявляет и раскрывает важность использования и практическую пользу от применения международных стандартов в сфере информационной безопасности, в частно- сти международного стандарта ISO 17799 (ныне действующий стандарт
ISO 27002-2013).
Эксперт говорит о том, что «в связи с ростом зависимости ор- ганизаций от информационных систем и сервисов происходит резкое увеличе- ние рисков, связанных с недостаточным уровнем обеспечения безопасности по- лучения, хранения и переработки информации. Сложность информационных систем и необходимость их интеграции в общедоступные приводит к невоз- можности или значительному затруднению осуществления контроля над обес- печением безопасности информации и ресурсов. Возникает острая необходи- мость в стандартизации систем и процессов информационной безопасности»
[35].

23
Рисунок 4 — Веб-портал InformationSecurity
1.3.3
Анализ аналогичных систем и тестов
Как таковых современных аналогов разработанному программному про- дукту по выбранным международным стандартам ISO 27002 и ISO 15408 в от- крытых источниках сети Интернет нам найти не удалось.
Хочется отметить, что основная идея в разработке системы тестирования по современным международным стандартам в области информационной без- опасности как таковой была взята с опорой на принцип реализации и функцио- нирования программного продукта «Кондор», который является коммерческим проектом компании DigitalSecurity [30]. Программный продукт «Кондор»
(функционирует в связке с программным продуктом «Гриф», устанавливаемые одним пакетом) — система разработки и управления политикой информацион- ной безопасности компании на основе международного стандарта ISO 17799
[33]
, предназначенная для разработки положений политики информационной безопасности компании и управления процессом внедрения их на практике.
Данный проект был закрыт по инициативе руководства самой компании в
2008 году, вместе с его распространением, поддержкой и обслуживанием. Ком- пания изменил вектор своей коммерческой деятельности.

24
На практике аудиторы, занятые в сфере информационной безопасности, при проведении проверок пользуются несколькими программными продуктами.
Данные программные продукты имеют нечто схожее с принципами функционирования разработанной нами системы тестирования, поскольку в ос- нову их работы также заложены тестовые вопросы, но их спецификация отлич- на от той, которая была предложена нами. Примеры программных продуктов, имеющие максимально близкий функционал:
1.
Программное обеспечение RiskWatch, разрабатываемое одноименной американской компанией, является довольно мощным инструментом анализа и управления рисками, по сравнению со своими конкурентами. Также, этим его отличает крайне высокая стоимость. В семейство RiskWatch входят программ- ные продукты для проведения различных видов аудита безопасности и анализа рисков [25]:
• RiskWatch for Physical Security — служит для оценки физических методов защиты информационной системы;
• RiskWatch for Information Systems — разработано для оценки ин- формационных рисков;
• RiskWatch RW17799 for ISO17799 — используется для оценки требованиям стандарта ISO17799 (ныне действующий стандарт ISO 27002-
2013).
2.
Система COBRA, разрабатываемая австралийской компанией Risk
Associates — инструмент для анализа рисков и оценки соответствия информа- ционной системы стандарту ISO 17799 (современный аналог ISO 27002-2013).
COBRA реализует методы количественной оценки рисков, а также инструмен- ты для консалтинга и проведения обзоров безопасности. При разработке ин- струментария COBRA были использованы принципы построения экспертных систем, обширная база знаний по угрозам и уязвимостям, а также большое ко- личество вопросников, с успехом применяемые на практике [26].

25