Главная страница
Навигация по странице:

  • Выработка рекомендаций

  • Подготовка отчетных документов

  • Активный аудит

  • Экспертный аудит

  • Аудит на соответствие стандартам

  • Дополнительные услуги

  • 1.3.2 Анализ интернет-источников

  • 1.3.3 Анализ аналогичных систем и тестов

  • описание системы. Система тестирования для проведения аудита информационной безопасности на предприятии на основе


    Скачать 2.75 Mb.
    НазваниеСистема тестирования для проведения аудита информационной безопасности на предприятии на основе
    Анкорописание системы
    Дата15.01.2023
    Размер2.75 Mb.
    Формат файлаpdf
    Имя файлаRSVPU_2018_384.pdf
    ТипДокументы
    #887924
    страница2 из 6
    1   2   3   4   5   6
    Анализ данных аудита. Используемые аудиторами методы анализа дан- ных определяются на основании выбранного подхода к проведению аудита, ко- торые могут существенно различаться [9].
    Первый подход базируется на анализе рисков. Опираясь на методы ана- лиза рисков, аудитор определяет для обследуемой информационной системы индивидуальный набор требований безопасности, в наибольшей степени учи- тывающий особенности данной информационной системы, среды ее функцио- нирования и существующие в данной среде угрозы безопасности. Данный под- ход является наиболее трудоемким и требует высокой квалификации аудитора.
    В данном случае на качество результата аудита может сильно повлиять исполь- зуемая методика анализа и управления рисками, а также степень ее применимо- сти к данному типу информационной системы.
    Второй подход основан на использовании стандартов информационной безопасности. Используемыми стандартами определяется базовый набор требо- ваний безопасности к определенному классу информационных систем, который

    13 формируется в результате обобщенной мировой практики. Стандарты могут определять разные наборы требований безопасности, в зависимости от уровня защищенности информационной системы, которые требуется обеспечить, в за- висимости от ее принадлежности (коммерческая организация, государственное учреждение и т. п.), а также назначения (финансы, промышленности, связь и т. п.). В данном случае от аудитора требуется правильно определить набор тре- бований стандарта, соответствие которым требуется обеспечить для данной информационной системы. Также, необходимо правильно выбрать методику, которая позволит оценить это соответствие. Из-за своей простоты (поскольку стандартный набор требований для проведения аудита уже определен стандар- том) и надежности (стандарт - есть стандарт и его требования не оспоримы), описанный подход наиболее распространен на практике (особенно при прове- дении внешнего аудита). Данный подход при минимальных затратах на ресур- сах позволяет сформировать обоснованные выводы о текущем состоянии уров- ня безопасности информационной системы.
    Третий подход предполагает комбинирование первых двух, поэтому яв- ляется наиболее эффективным. Базовый набор требований безопасности, предъявляемых к информационной системе, определяется стандартом. Допол- нительные требования, в максимальной степени учитывающие особенности функционирования данной информационной системы, формируются на основе анализа рисков. Этот подход является намного проще первого, так как большая часть требований безопасности уже определена стандартом, и, в то же время, он лишен недостатка второго подхода, заключающего в том, что требования стан- дарта могут не учитывать специфики исследуемой информационной системы.
    Выработка рекомендаций. Рекомендации, выдаваемые аудитором по ре- зультатам анализа состояния информационной системы, определяются исполь- зуемым подходом, особенностями исследуемой информационной системы, со- стоянием дел с информационной безопасностью и степенью детализации, ис- пользуемой при проведении аудита. В любом случае, рекомендации аудитора

    14 должны быть конкретными и применимыми к данной информационной систе- ме, к тому же быть экономически обоснованными, аргументированными (под- крепленными результатами анализа) и отсортированными по степени важности.
    При этом мероприятия по обеспечению безопасности организационного уровня практически всегда имеют приоритет над конкретными программно- техническими методами защиты [9].
    Подготовка отчетных документов. Аудиторский отчет является основ- ным результатом проведения аудита. Его качество характеризует качество ра- боты аудитора. Структура отчета может существенно различаться в зависимо- сти от вида, характера и целей проводимого аудита. По крайней мере должен содержать описание целей проведения аудита; характеристику обследуемой информационной системы; границы проведения аудита; используемые методы; результаты анализа данных аудита; выводы, обобщающие эти результаты и со- держащие оценку уровня защищенности информационной системы и/или ее соответствие требованиям стандартов; рекомендации аудитора по устранению существующих недостатков и совершенствованию систем безопасности [9].
    Основными видами аудита информационной безопасности, применяемы- ми на практике, являются [16]:
    1.
    Активный аудит (инструментальный анализ защищенности).
    2.
    Экспертный аудит.
    3.
    Аудит на соответствие стандартам.
    4.
    Дополнительные услуги.
    Активный аудит. Один из самых распространенных видов оказываемых услуг. Он включает в себя исследование состояния защищенности информаци- онной системы с позиции злоумышленника: при помощи специального про- граммного обеспечения осуществляется сбор информации о состоянии системы сетевой защиты (те параметры и настройки, на основании использования кото- рых злоумышленник может получить доступ к сети и произвести атаку). Дру- гими словами, перед аудитором ставится задача — смоделировать как можно

    15 больше разнообразных сетевых атак на систему сетевой защиты предприятия имея минимум информации. В результате проведения активного аудита стано- вятся известны все уязвимости, определяются степень их критичности и мето- ды устранения, а также сведения о широкодоступной информации сети заказ- чика. На основании чего, впоследствии составляются рекомендации по модер- низации системы сетевой защиты, которые позволяют устранить выявленные недостатки, повысить уровень защищенности информационной системы от действий злоумышленников и свести к минимуму расходы на обеспечение ин- формационной безопасности [16].
    Экспертный аудит. Один из самых объемных видов работ. Он подразу- мевает сравнение состояния текущего уровня информационной безопасности с требованиями, предъявляемыми руководством компании, к системе информа- ционной безопасности и «идеальной» системой информационной безопасности.
    В процессе экспертного аудита проводятся следующие виды работ, совместно с представителями компании-заказчика [16]:
    • сбор исходных данных об информационной системе: функции, осо- бенности, топология сети, используемые технологии автоматизированной об- работки и передачи данных (с учетом планируемых перспектив развития);
    • сбор организационно-распорядительных документов по обеспечению информационной безопасности и их анализ (например, политика безопасности, план защиты, различного рода инструкции и приказы);
    • выявление точек ответственности систем, устройств и серверов ин- формационной системы;
    • составление перечня подсистем всех подразделений компании (с кате- горизацией критичной информации и схемами информационных потоков) и т. п.
    Аудит на соответствие стандартам. При проведении данного вида ауди- та сравнивается состояние информационной безопасности с описанием, приво- димым в стандартах. По результатам проведенного аудита выдается официаль-

    16 ный отчет, в котором прописывается степень соответствия информационной системы компании-заказчика выбранным стандартам и ее внутренним требова- ниям в области информационной безопасности. Также приводится количество и категории полученных несоответствий и замечаний, даются рекомендации по построению и/или модификации существующей системы информационной без- опасности, позволяющие привести ее в соответствие с рассматриваемым стан- дартом.
    Мотивация руководства компаний к прохождению аудита информацион- ной безопасности различна, но в основном сводится к получению сертификата, подтверждающего высокий уровень информационной безопасности в компа- нии, с целью укреплений позиций на рынке для выхода на более крупных кли- ентов и/или деловых партнеров и расположения их к сотрудничеству [16].
    Дополнительные услуги. В ходе проведения аудита заказчику могут предлагается дополнительные услуги, которые напрямую связаны с оценкой состояния системы информационной безопасности, основанные на проведении специализированных исследований с использованием программно-аппаратных средств. Ярким примером является использование компаниями в своей инфор- мационной системе специализированного программного обеспечения соб- ственной разработки. Поскольку подобное программное обеспечение является
    «
    уникальным», то и как таковых готовых, универсальных или специализиро- ванных средств и технологий для их анализа на предмет защищенности и отка- зоустойчивости не существует. Поэтому в своей работе аудиторы прибегают к использованию: стресс-тестирования и/или теста на проникновение [16].
    Стресс-тестирование — исследование производительности и стабильно- сти работы системы, направленное на определение критических точек нагрузки, при которых система в момент атаки перестает адекватно реагировать на леги- тимные запросы пользователей.
    Тест на проникновение или пентест (от англ. Penetration Testing), инстру- мент анализа защищенности информационной системы основной целью кото-

    17 рого является демонстрация того, к чему удалось получить доступ злоумыш- леннику, при текущем состоянии системы сетевой защиты.
    Также, стоит более детально разобрать понятие «система тестирования» с используемом нами контексте, потому как данное понятие имеет довольно об- ширное определение. В общем случае, тестирование определяется как процесс, направленный на выявление характеристик информационной системы и демон- страцию различий между ее требуемым и фактическим состоянием (T.Koomen,
    M.Pol «Test Process Improvement»).
    Первоочередными задачами тестирования являются определение соответ- ствия предмета тестирования заданным спецификациям, а также определение пригодности объекта тестирования к выполнению тех или иных функций. В за- дачи тестирования не входит определение причин несоответствия заданным требованиям. Также, тестирование не обеспечивает само качество, но на его ос- нове формируется представление о степени неопределенности качества систе- мы.
    Согласно стандарту ISO 9000 под качеством объекта тестирования пони- мается совокупность характеристик объекта, относящихся к его способности удовлетворить установленные или предполагаемые требования. Другими сло- вами, чем большему количеству требований соответствует тестируемый объект, тем выше его качество. К тому же тестирование не является отдельной деятель- ностью или направлением.
    Тестирование — один из разделов диагностики и один из инструментов решения проблемы обеспечения качества объекта.
    Полный перечень мероприятий по обеспечению качества объекта вклю- чает в себя три группы мероприятий [36]:
    1.
    Предупредительные — нацелены на предотвращение дефектов
    (
    например: методики, процедуры, шаблоны документов).
    2.
    Выявляющие — нацелены на нахождение недостатков (например, те- стирование).

    18 3.
    Корректирующие — нацелены на устранение недостатков (например, исправление ошибок, найденные в ходе тестирования).
    Таким образом, тестирование — это один из способов выявления дефек- тов. В свою очередь, выявление дефектов — это один из видов деятельности по обеспечению качества объекта. Тестирование определяется по-разному и зави- сит прежде всего от компании и/или от основных целей его проведения.
    1.3
    Анализ литературы и интернет-источников
    1.3.1
    Анализ печатных источников
    На начальном этапе работы было проанализировано большое количество информации, представленной, как в Интернете, так и в печатных источниках.
    После изучения материала, было вынесено заключение о том, что полноценной информации по методике проведения тестирования по оценке рисков и угроз информационной безопасности как для предприятий, так и для образователь- ных учреждений как таковых не существуют. Имеются отдельные наработки, в плане рассматриваемого теоретического материал по тому, какие угрозы ин- формационной безопасности существуют на настоящий момент, и какие из них наиболее характерны для того или иного типа предприятия, а также описыва- ются объекты, которые в основном подвергаются атакам.
    Учебное пособие «Аудит безопасности фирмы: теория и практика» по- священо проблемам аудита информационной безопасности, как одного из направлений деятельности системы безопасности компании [38]. В данном учебном пособии рассматриваются как общие вопросы аудита безопасности компании, так и вопросы аудита отдельных направлений и областей информа- ционной безопасности.
    В книге «Аудит информационной безопасности» [7] рассматривается це- лый комплекс вопросов, связанных с проведением аудита информационной

    19 безопасности на предприятии, даны основные понятия, показана роль анализа и управления информационными рисками. Также, в данной книге проводится описание международных и российских стандартов информационной безопас- ности, излагаются методологические основы применения стандартов ISO 15408 и ISO 17799 (ныне действующий стандарт ISO 27002-2013) для оценки рисков и управления информационной безопасностью, дана характеристика программ- ных средств, применяемых при аудите информационной безопасности. Автор книги уделяет особое внимание практическим вопросам методики проведения аудита информационной безопасности в компаниях различного типа и уровня.
    Виктор Сердюк в своем учебном пособии «Организация и технологии защиты информации. Обнаружение и предотвращение информационных атак в автоматизированных системах предприятий» [29] описывает проблемы защиты информационных систем от информационных атак. В основу учебного пособия заложен накопленный многолетний опыт специалистов информационной без- опасности по разработке и внедрению комплексных систем безопасности для защиты от информационных атак. Учебное пособие охватывает наиболее зна- чимые и основные темы информационной безопасности, такие как: виды уяз- вимостей; информационные атаки и их последствия; методика проведения аудита и оценка рисков информационной безопасности; системы обнаружения и предотвращения атак и особенности их практического применения; обучение и сертификация специалистов по информационной безопасности.
    Не менее полезным является учебное пособие Юрия Родичева «Норма- тивная база и стандарты в области информационной безопасности» [28], в ко- тором рассмотрены наиболее важные нормативные документы Федеральной службы по техническому и экспортному контролю (ФСТЭК), а также междуна- родные и национальные стандарты Российской Федерации (РФ) в области ин- формационной безопасности, так как на основании рассматриваемой норматив- но-правовой базы выстраивается методика проверки предприятия на предмет

    20 соответствия существующей политики информационной безопасности тому или иному закону, стандарту, постановлению и т. п.
    1.3.2
    Анализ интернет-источников
    В статье «Аудит информационной безопасности — основа эффективной защиты предприятия» [10] (рисунок 1), дается определение понятию «аудит информационной безопасности» и приводится подробная характеристика его составляющих, включая основные виды аудита. Также, автор статьи детально описывает основные этапы работ при проведении аудита в компании-заказчике, включая используемые методы и необходимый для проведения аудита перечень исходных данных.
    Рисунок 1 — Веб-портал ДиалогНаука
    Александр Астахов в своей статье «Аудит безопасности информацион- ных систем» [9] (рисунок 2) рассказывает об обобщенной практике проведения аудита безопасности информационных систем; раскрывает понятие аудита ин- формационной безопасности; обосновывает цели его проведения; рассматрива- ет методы анализа и управления рисками, используемые аудиторами, а также

    21 средства их реализации; действующие стандарты и системы сертификации ин- формационных систем, в рамках которых проводится аудит безопасности.
    Также, Александр Астахов является автором другой статьи на смежную тему «Виды аудита информационной безопасности» [9] (рисунок 2), в которой акцентируется внимание на особенности проведения каждого из вида аудита и приводится подробная классификация оказываемых при проведении аудита услуг. Автор приводит критерии оптимального выбора и применения того или иного вида аудита.
    Рисунок 2 — Веб-портал ISO 27000 «Искусство управления информационной безопасностью»
    В работе кандидата технических наук, эксперта по информационной без- опасности, исполнительного директора компании «Digital Security» [30] Ильи
    Давидовича Медведовского под названием «Практическое применение между- народного стандарта информационной безопасности ISO 17799» (рисунок 3) содержатся и описываются критерии оценки защищенности информационных систем, критерии проведения аудита безопасности информационных систем, практическое применение международного стандарта ISO 17799 (ныне дей- ствующий стандарт ISO 27002-2013) [24]. Данная работа И. Д. Медведовского нашла свою реализацию в программном продукте «Кондор», на основные идеи и принципы функционирования которого мы опирались при создании и разра- ботке программного продукта.

    22
    Рисунок 3 — Веб-портал CitForum
    В своей работе «Стандарт на страже информационной безопасности» [35]
    (
    рисунок 4) эксперт информационной безопасности С. И. Игнатенко заявляет и раскрывает важность использования и практическую пользу от применения международных стандартов в сфере информационной безопасности, в частно- сти международного стандарта ISO 17799 (ныне действующий стандарт
    ISO 27002-2013).
    Эксперт говорит о том, что «в связи с ростом зависимости ор- ганизаций от информационных систем и сервисов происходит резкое увеличе- ние рисков, связанных с недостаточным уровнем обеспечения безопасности по- лучения, хранения и переработки информации. Сложность информационных систем и необходимость их интеграции в общедоступные приводит к невоз- можности или значительному затруднению осуществления контроля над обес- печением безопасности информации и ресурсов. Возникает острая необходи- мость в стандартизации систем и процессов информационной безопасности»
    [35].

    23
    Рисунок 4 — Веб-портал InformationSecurity
    1.3.3
    Анализ аналогичных систем и тестов
    Как таковых современных аналогов разработанному программному про- дукту по выбранным международным стандартам ISO 27002 и ISO 15408 в от- крытых источниках сети Интернет нам найти не удалось.
    Хочется отметить, что основная идея в разработке системы тестирования по современным международным стандартам в области информационной без- опасности как таковой была взята с опорой на принцип реализации и функцио- нирования программного продукта «Кондор», который является коммерческим проектом компании DigitalSecurity [30]. Программный продукт «Кондор»
    (функционирует в связке с программным продуктом «Гриф», устанавливаемые одним пакетом) — система разработки и управления политикой информацион- ной безопасности компании на основе международного стандарта ISO 17799
    [33]
    , предназначенная для разработки положений политики информационной безопасности компании и управления процессом внедрения их на практике.
    Данный проект был закрыт по инициативе руководства самой компании в
    2008 году, вместе с его распространением, поддержкой и обслуживанием. Ком- пания изменил вектор своей коммерческой деятельности.

    24
    На практике аудиторы, занятые в сфере информационной безопасности, при проведении проверок пользуются несколькими программными продуктами.
    Данные программные продукты имеют нечто схожее с принципами функционирования разработанной нами системы тестирования, поскольку в ос- нову их работы также заложены тестовые вопросы, но их спецификация отлич- на от той, которая была предложена нами. Примеры программных продуктов, имеющие максимально близкий функционал:
    1.
    Программное обеспечение RiskWatch, разрабатываемое одноименной американской компанией, является довольно мощным инструментом анализа и управления рисками, по сравнению со своими конкурентами. Также, этим его отличает крайне высокая стоимость. В семейство RiskWatch входят программ- ные продукты для проведения различных видов аудита безопасности и анализа рисков [25]:
    • RiskWatch for Physical Security — служит для оценки физических методов защиты информационной системы;
    • RiskWatch for Information Systems — разработано для оценки ин- формационных рисков;
    • RiskWatch RW17799 for ISO17799 — используется для оценки требованиям стандарта ISO17799 (ныне действующий стандарт ISO 27002-
    2013).
    2.
    Система COBRA, разрабатываемая австралийской компанией Risk
    Associates — инструмент для анализа рисков и оценки соответствия информа- ционной системы стандарту ISO 17799 (современный аналог ISO 27002-2013).
    COBRA реализует методы количественной оценки рисков, а также инструмен- ты для консалтинга и проведения обзоров безопасности. При разработке ин- струментария COBRA были использованы принципы построения экспертных систем, обширная база знаний по угрозам и уязвимостям, а также большое ко- личество вопросников, с успехом применяемые на практике [26].

    25
    1   2   3   4   5   6


    написать администратору сайта