описание системы. Система тестирования для проведения аудита информационной безопасности на предприятии на основе
Скачать 2.75 Mb.
|
Анализ данных аудита. Используемые аудиторами методы анализа дан- ных определяются на основании выбранного подхода к проведению аудита, ко- торые могут существенно различаться [9]. Первый подход базируется на анализе рисков. Опираясь на методы ана- лиза рисков, аудитор определяет для обследуемой информационной системы индивидуальный набор требований безопасности, в наибольшей степени учи- тывающий особенности данной информационной системы, среды ее функцио- нирования и существующие в данной среде угрозы безопасности. Данный под- ход является наиболее трудоемким и требует высокой квалификации аудитора. В данном случае на качество результата аудита может сильно повлиять исполь- зуемая методика анализа и управления рисками, а также степень ее применимо- сти к данному типу информационной системы. Второй подход основан на использовании стандартов информационной безопасности. Используемыми стандартами определяется базовый набор требо- ваний безопасности к определенному классу информационных систем, который 13 формируется в результате обобщенной мировой практики. Стандарты могут определять разные наборы требований безопасности, в зависимости от уровня защищенности информационной системы, которые требуется обеспечить, в за- висимости от ее принадлежности (коммерческая организация, государственное учреждение и т. п.), а также назначения (финансы, промышленности, связь и т. п.). В данном случае от аудитора требуется правильно определить набор тре- бований стандарта, соответствие которым требуется обеспечить для данной информационной системы. Также, необходимо правильно выбрать методику, которая позволит оценить это соответствие. Из-за своей простоты (поскольку стандартный набор требований для проведения аудита уже определен стандар- том) и надежности (стандарт - есть стандарт и его требования не оспоримы), описанный подход наиболее распространен на практике (особенно при прове- дении внешнего аудита). Данный подход при минимальных затратах на ресур- сах позволяет сформировать обоснованные выводы о текущем состоянии уров- ня безопасности информационной системы. Третий подход предполагает комбинирование первых двух, поэтому яв- ляется наиболее эффективным. Базовый набор требований безопасности, предъявляемых к информационной системе, определяется стандартом. Допол- нительные требования, в максимальной степени учитывающие особенности функционирования данной информационной системы, формируются на основе анализа рисков. Этот подход является намного проще первого, так как большая часть требований безопасности уже определена стандартом, и, в то же время, он лишен недостатка второго подхода, заключающего в том, что требования стан- дарта могут не учитывать специфики исследуемой информационной системы. Выработка рекомендаций. Рекомендации, выдаваемые аудитором по ре- зультатам анализа состояния информационной системы, определяются исполь- зуемым подходом, особенностями исследуемой информационной системы, со- стоянием дел с информационной безопасностью и степенью детализации, ис- пользуемой при проведении аудита. В любом случае, рекомендации аудитора 14 должны быть конкретными и применимыми к данной информационной систе- ме, к тому же быть экономически обоснованными, аргументированными (под- крепленными результатами анализа) и отсортированными по степени важности. При этом мероприятия по обеспечению безопасности организационного уровня практически всегда имеют приоритет над конкретными программно- техническими методами защиты [9]. Подготовка отчетных документов. Аудиторский отчет является основ- ным результатом проведения аудита. Его качество характеризует качество ра- боты аудитора. Структура отчета может существенно различаться в зависимо- сти от вида, характера и целей проводимого аудита. По крайней мере должен содержать описание целей проведения аудита; характеристику обследуемой информационной системы; границы проведения аудита; используемые методы; результаты анализа данных аудита; выводы, обобщающие эти результаты и со- держащие оценку уровня защищенности информационной системы и/или ее соответствие требованиям стандартов; рекомендации аудитора по устранению существующих недостатков и совершенствованию систем безопасности [9]. Основными видами аудита информационной безопасности, применяемы- ми на практике, являются [16]: 1. Активный аудит (инструментальный анализ защищенности). 2. Экспертный аудит. 3. Аудит на соответствие стандартам. 4. Дополнительные услуги. Активный аудит. Один из самых распространенных видов оказываемых услуг. Он включает в себя исследование состояния защищенности информаци- онной системы с позиции злоумышленника: при помощи специального про- граммного обеспечения осуществляется сбор информации о состоянии системы сетевой защиты (те параметры и настройки, на основании использования кото- рых злоумышленник может получить доступ к сети и произвести атаку). Дру- гими словами, перед аудитором ставится задача — смоделировать как можно 15 больше разнообразных сетевых атак на систему сетевой защиты предприятия имея минимум информации. В результате проведения активного аудита стано- вятся известны все уязвимости, определяются степень их критичности и мето- ды устранения, а также сведения о широкодоступной информации сети заказ- чика. На основании чего, впоследствии составляются рекомендации по модер- низации системы сетевой защиты, которые позволяют устранить выявленные недостатки, повысить уровень защищенности информационной системы от действий злоумышленников и свести к минимуму расходы на обеспечение ин- формационной безопасности [16]. Экспертный аудит. Один из самых объемных видов работ. Он подразу- мевает сравнение состояния текущего уровня информационной безопасности с требованиями, предъявляемыми руководством компании, к системе информа- ционной безопасности и «идеальной» системой информационной безопасности. В процессе экспертного аудита проводятся следующие виды работ, совместно с представителями компании-заказчика [16]: • сбор исходных данных об информационной системе: функции, осо- бенности, топология сети, используемые технологии автоматизированной об- работки и передачи данных (с учетом планируемых перспектив развития); • сбор организационно-распорядительных документов по обеспечению информационной безопасности и их анализ (например, политика безопасности, план защиты, различного рода инструкции и приказы); • выявление точек ответственности систем, устройств и серверов ин- формационной системы; • составление перечня подсистем всех подразделений компании (с кате- горизацией критичной информации и схемами информационных потоков) и т. п. Аудит на соответствие стандартам. При проведении данного вида ауди- та сравнивается состояние информационной безопасности с описанием, приво- димым в стандартах. По результатам проведенного аудита выдается официаль- 16 ный отчет, в котором прописывается степень соответствия информационной системы компании-заказчика выбранным стандартам и ее внутренним требова- ниям в области информационной безопасности. Также приводится количество и категории полученных несоответствий и замечаний, даются рекомендации по построению и/или модификации существующей системы информационной без- опасности, позволяющие привести ее в соответствие с рассматриваемым стан- дартом. Мотивация руководства компаний к прохождению аудита информацион- ной безопасности различна, но в основном сводится к получению сертификата, подтверждающего высокий уровень информационной безопасности в компа- нии, с целью укреплений позиций на рынке для выхода на более крупных кли- ентов и/или деловых партнеров и расположения их к сотрудничеству [16]. Дополнительные услуги. В ходе проведения аудита заказчику могут предлагается дополнительные услуги, которые напрямую связаны с оценкой состояния системы информационной безопасности, основанные на проведении специализированных исследований с использованием программно-аппаратных средств. Ярким примером является использование компаниями в своей инфор- мационной системе специализированного программного обеспечения соб- ственной разработки. Поскольку подобное программное обеспечение является « уникальным», то и как таковых готовых, универсальных или специализиро- ванных средств и технологий для их анализа на предмет защищенности и отка- зоустойчивости не существует. Поэтому в своей работе аудиторы прибегают к использованию: стресс-тестирования и/или теста на проникновение [16]. Стресс-тестирование — исследование производительности и стабильно- сти работы системы, направленное на определение критических точек нагрузки, при которых система в момент атаки перестает адекватно реагировать на леги- тимные запросы пользователей. Тест на проникновение или пентест (от англ. Penetration Testing), инстру- мент анализа защищенности информационной системы основной целью кото- 17 рого является демонстрация того, к чему удалось получить доступ злоумыш- леннику, при текущем состоянии системы сетевой защиты. Также, стоит более детально разобрать понятие «система тестирования» с используемом нами контексте, потому как данное понятие имеет довольно об- ширное определение. В общем случае, тестирование определяется как процесс, направленный на выявление характеристик информационной системы и демон- страцию различий между ее требуемым и фактическим состоянием (T.Koomen, M.Pol «Test Process Improvement»). Первоочередными задачами тестирования являются определение соответ- ствия предмета тестирования заданным спецификациям, а также определение пригодности объекта тестирования к выполнению тех или иных функций. В за- дачи тестирования не входит определение причин несоответствия заданным требованиям. Также, тестирование не обеспечивает само качество, но на его ос- нове формируется представление о степени неопределенности качества систе- мы. Согласно стандарту ISO 9000 под качеством объекта тестирования пони- мается совокупность характеристик объекта, относящихся к его способности удовлетворить установленные или предполагаемые требования. Другими сло- вами, чем большему количеству требований соответствует тестируемый объект, тем выше его качество. К тому же тестирование не является отдельной деятель- ностью или направлением. Тестирование — один из разделов диагностики и один из инструментов решения проблемы обеспечения качества объекта. Полный перечень мероприятий по обеспечению качества объекта вклю- чает в себя три группы мероприятий [36]: 1. Предупредительные — нацелены на предотвращение дефектов ( например: методики, процедуры, шаблоны документов). 2. Выявляющие — нацелены на нахождение недостатков (например, те- стирование). 18 3. Корректирующие — нацелены на устранение недостатков (например, исправление ошибок, найденные в ходе тестирования). Таким образом, тестирование — это один из способов выявления дефек- тов. В свою очередь, выявление дефектов — это один из видов деятельности по обеспечению качества объекта. Тестирование определяется по-разному и зави- сит прежде всего от компании и/или от основных целей его проведения. 1.3 Анализ литературы и интернет-источников 1.3.1 Анализ печатных источников На начальном этапе работы было проанализировано большое количество информации, представленной, как в Интернете, так и в печатных источниках. После изучения материала, было вынесено заключение о том, что полноценной информации по методике проведения тестирования по оценке рисков и угроз информационной безопасности как для предприятий, так и для образователь- ных учреждений как таковых не существуют. Имеются отдельные наработки, в плане рассматриваемого теоретического материал по тому, какие угрозы ин- формационной безопасности существуют на настоящий момент, и какие из них наиболее характерны для того или иного типа предприятия, а также описыва- ются объекты, которые в основном подвергаются атакам. Учебное пособие «Аудит безопасности фирмы: теория и практика» по- священо проблемам аудита информационной безопасности, как одного из направлений деятельности системы безопасности компании [38]. В данном учебном пособии рассматриваются как общие вопросы аудита безопасности компании, так и вопросы аудита отдельных направлений и областей информа- ционной безопасности. В книге «Аудит информационной безопасности» [7] рассматривается це- лый комплекс вопросов, связанных с проведением аудита информационной 19 безопасности на предприятии, даны основные понятия, показана роль анализа и управления информационными рисками. Также, в данной книге проводится описание международных и российских стандартов информационной безопас- ности, излагаются методологические основы применения стандартов ISO 15408 и ISO 17799 (ныне действующий стандарт ISO 27002-2013) для оценки рисков и управления информационной безопасностью, дана характеристика программ- ных средств, применяемых при аудите информационной безопасности. Автор книги уделяет особое внимание практическим вопросам методики проведения аудита информационной безопасности в компаниях различного типа и уровня. Виктор Сердюк в своем учебном пособии «Организация и технологии защиты информации. Обнаружение и предотвращение информационных атак в автоматизированных системах предприятий» [29] описывает проблемы защиты информационных систем от информационных атак. В основу учебного пособия заложен накопленный многолетний опыт специалистов информационной без- опасности по разработке и внедрению комплексных систем безопасности для защиты от информационных атак. Учебное пособие охватывает наиболее зна- чимые и основные темы информационной безопасности, такие как: виды уяз- вимостей; информационные атаки и их последствия; методика проведения аудита и оценка рисков информационной безопасности; системы обнаружения и предотвращения атак и особенности их практического применения; обучение и сертификация специалистов по информационной безопасности. Не менее полезным является учебное пособие Юрия Родичева «Норма- тивная база и стандарты в области информационной безопасности» [28], в ко- тором рассмотрены наиболее важные нормативные документы Федеральной службы по техническому и экспортному контролю (ФСТЭК), а также междуна- родные и национальные стандарты Российской Федерации (РФ) в области ин- формационной безопасности, так как на основании рассматриваемой норматив- но-правовой базы выстраивается методика проверки предприятия на предмет 20 соответствия существующей политики информационной безопасности тому или иному закону, стандарту, постановлению и т. п. 1.3.2 Анализ интернет-источников В статье «Аудит информационной безопасности — основа эффективной защиты предприятия» [10] (рисунок 1), дается определение понятию «аудит информационной безопасности» и приводится подробная характеристика его составляющих, включая основные виды аудита. Также, автор статьи детально описывает основные этапы работ при проведении аудита в компании-заказчике, включая используемые методы и необходимый для проведения аудита перечень исходных данных. Рисунок 1 — Веб-портал ДиалогНаука Александр Астахов в своей статье «Аудит безопасности информацион- ных систем» [9] (рисунок 2) рассказывает об обобщенной практике проведения аудита безопасности информационных систем; раскрывает понятие аудита ин- формационной безопасности; обосновывает цели его проведения; рассматрива- ет методы анализа и управления рисками, используемые аудиторами, а также 21 средства их реализации; действующие стандарты и системы сертификации ин- формационных систем, в рамках которых проводится аудит безопасности. Также, Александр Астахов является автором другой статьи на смежную тему «Виды аудита информационной безопасности» [9] (рисунок 2), в которой акцентируется внимание на особенности проведения каждого из вида аудита и приводится подробная классификация оказываемых при проведении аудита услуг. Автор приводит критерии оптимального выбора и применения того или иного вида аудита. Рисунок 2 — Веб-портал ISO 27000 «Искусство управления информационной безопасностью» В работе кандидата технических наук, эксперта по информационной без- опасности, исполнительного директора компании «Digital Security» [30] Ильи Давидовича Медведовского под названием «Практическое применение между- народного стандарта информационной безопасности ISO 17799» (рисунок 3) содержатся и описываются критерии оценки защищенности информационных систем, критерии проведения аудита безопасности информационных систем, практическое применение международного стандарта ISO 17799 (ныне дей- ствующий стандарт ISO 27002-2013) [24]. Данная работа И. Д. Медведовского нашла свою реализацию в программном продукте «Кондор», на основные идеи и принципы функционирования которого мы опирались при создании и разра- ботке программного продукта. 22 Рисунок 3 — Веб-портал CitForum В своей работе «Стандарт на страже информационной безопасности» [35] ( рисунок 4) эксперт информационной безопасности С. И. Игнатенко заявляет и раскрывает важность использования и практическую пользу от применения международных стандартов в сфере информационной безопасности, в частно- сти международного стандарта ISO 17799 (ныне действующий стандарт ISO 27002-2013). Эксперт говорит о том, что «в связи с ростом зависимости ор- ганизаций от информационных систем и сервисов происходит резкое увеличе- ние рисков, связанных с недостаточным уровнем обеспечения безопасности по- лучения, хранения и переработки информации. Сложность информационных систем и необходимость их интеграции в общедоступные приводит к невоз- можности или значительному затруднению осуществления контроля над обес- печением безопасности информации и ресурсов. Возникает острая необходи- мость в стандартизации систем и процессов информационной безопасности» [35]. 23 Рисунок 4 — Веб-портал InformationSecurity 1.3.3 Анализ аналогичных систем и тестов Как таковых современных аналогов разработанному программному про- дукту по выбранным международным стандартам ISO 27002 и ISO 15408 в от- крытых источниках сети Интернет нам найти не удалось. Хочется отметить, что основная идея в разработке системы тестирования по современным международным стандартам в области информационной без- опасности как таковой была взята с опорой на принцип реализации и функцио- нирования программного продукта «Кондор», который является коммерческим проектом компании DigitalSecurity [30]. Программный продукт «Кондор» (функционирует в связке с программным продуктом «Гриф», устанавливаемые одним пакетом) — система разработки и управления политикой информацион- ной безопасности компании на основе международного стандарта ISO 17799 [33] , предназначенная для разработки положений политики информационной безопасности компании и управления процессом внедрения их на практике. Данный проект был закрыт по инициативе руководства самой компании в 2008 году, вместе с его распространением, поддержкой и обслуживанием. Ком- пания изменил вектор своей коммерческой деятельности. 24 На практике аудиторы, занятые в сфере информационной безопасности, при проведении проверок пользуются несколькими программными продуктами. Данные программные продукты имеют нечто схожее с принципами функционирования разработанной нами системы тестирования, поскольку в ос- нову их работы также заложены тестовые вопросы, но их спецификация отлич- на от той, которая была предложена нами. Примеры программных продуктов, имеющие максимально близкий функционал: 1. Программное обеспечение RiskWatch, разрабатываемое одноименной американской компанией, является довольно мощным инструментом анализа и управления рисками, по сравнению со своими конкурентами. Также, этим его отличает крайне высокая стоимость. В семейство RiskWatch входят программ- ные продукты для проведения различных видов аудита безопасности и анализа рисков [25]: • RiskWatch for Physical Security — служит для оценки физических методов защиты информационной системы; • RiskWatch for Information Systems — разработано для оценки ин- формационных рисков; • RiskWatch RW17799 for ISO17799 — используется для оценки требованиям стандарта ISO17799 (ныне действующий стандарт ISO 27002- 2013). 2. Система COBRA, разрабатываемая австралийской компанией Risk Associates — инструмент для анализа рисков и оценки соответствия информа- ционной системы стандарту ISO 17799 (современный аналог ISO 27002-2013). COBRA реализует методы количественной оценки рисков, а также инструмен- ты для консалтинга и проведения обзоров безопасности. При разработке ин- струментария COBRA были использованы принципы построения экспертных систем, обширная база знаний по угрозам и уязвимостям, а также большое ко- личество вопросников, с успехом применяемые на практике [26]. |