Главная страница
Навигация по странице:

  • Joomla

  • MySQL

  • Drupal

  • описание системы. Система тестирования для проведения аудита информационной безопасности на предприятии на основе


    Скачать 2.75 Mb.
    НазваниеСистема тестирования для проведения аудита информационной безопасности на предприятии на основе
    Анкорописание системы
    Дата15.01.2023
    Размер2.75 Mb.
    Формат файлаpdf
    Имя файлаRSVPU_2018_384.pdf
    ТипДокументы
    #887924
    страница3 из 6
    1   2   3   4   5   6
    1.4
    Анализ
    международных
    стандартов
    информационной
    безопасности
    Современному специалисту информационной безопасности без знаний соответствующих стандартов и законодательства в области информационной безопасности попросту не обойтись. Самая главная причина заключается в том, что ими регулируются основные направления деятельности, виды и формы ра- бот, направленные на обеспечение информационной безопасности, а также определяется необходимость четкого следования им, поскольку они составля- ются и постоянно обновляются на фоне собираемого мирового опыта.
    Международный стандарт ISO/IEC 15408 был разработан на основе стан- дарта «Общие критерии безопасности информационных технологий». Совре- менный аналог данного стандарта в
    РФ носит название
    ГОСТ Р ИСО/МЭК 15408 «Информационная технология (ИТ). Методы и сред- ства обеспечения безопасности. Критерии оценки безопасности информацион- ных технологий» [17,18,19] и состоит из трех частей:
    1.
    Введение и общая модель [17].
    2.
    Функциональные компоненты безопасности [18].
    3.
    Компоненты доверия к безопасности [19].
    Хочется отметить, что ранее в отечественных нормативных документах в области информационной безопасности, до выхода данного стандарта, понятие риска не вводилось. Стандарт разработан таким образом, чтобы удовлетворить потребности трех групп специалистов: разработчиков, экспертов по сертифика- ции и пользователей объекта оценки. Под объектом оценки понимается подле- жащий оценке продукт информационных технологий или система с руковод- ствами администратора и пользователя. К таким объектам относятся: операци- онные системы, прикладные программы, информационные системы и т. д.
    Стандарт предусматривают наличие двух типов требований безопасности:

    26 1.
    Функциональные требования безопасности, которые относятся к сер- висам безопасности: идентификация, аутентификация, управление доступом, аудит и т. д.
    2.
    Требования доверия к безопасности, которые относятся к технологии разработки, тестирования, анализа уязвимостей, поставке, сопровождения и т. д.
    Чтобы структурировать пространство требований, в стандарте использу- ется иерархия «класс-семейство-компонент-элемент»: классы определяют наиболее общую, «предметную» группировку требований; семейства в преде- лах класса различаются по строгости и другим нюансам требований; компонент
    — минимальный набор требований, фигурирующий как целое; элемент — не- делимое требование [23,32].
    В стандарте выделены 11 классов функциональных требований:
    • аудит безопасности;
    • связь (передача данных);
    • криптографическая поддержка (криптографическая защита);
    • защита данных пользователя;
    • идентификация и аутентификация;
    • управление безопасностью;
    • приватность (конфиденциальность);
    • защита функций безопасности объекта;
    • использование ресурсов;
    • доступ к объекту оценки;
    • доверенный маршрут/канал.
    Международные стандарты ISO/IEC 17799, ISO/IEC 27001, ISO/IEC 27002 взаимосвязаны друг с другом, потому как посвящены вопросам управления
    (менеджменту) информационной безопасностью.

    27
    Международный стандарт ISO/IEC 27001 «Информационные техноло- гии — Технологии безопасности — Системы менеджмента информационной безопасности — Требования» [34] (от англ. «Information technology — Security techniques — Information security management systems — Requirements») был разработан в 2005 году на основе стандарта BS 7779-2:2002 (рисунок 5). В стандарте ISO 27001 аккумулированы описания лучших мировых практик в об- ласти управления информационной безопасностью. В нем также устанавлива- ются требования к системе менеджмента информационной безопасности пред- приятия, с целью установления способности предприятия защищать свои ин- формационные ресурсы. Международный стандарт ISO 27001 подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной без- опасности, основной целью которой является выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных ак- тивов и гарантирующих доверие заинтересованных сторон. В Российской Фе- дерации современный аналог стандарта ISO/IEC 27001 носит название ГОСТ Р
    ИСО/МЭК 27001-2006 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасно- сти. Требования» [20].
    Рисунок 5 — Этапы развития стандарта ISO/IEC 27001:2013
    Международный стандарт ISO/IEC 27002 «Информационные техноло- гии — Технологии безопасности — Практические правила менеджмента ин- формационной безопасности» (от англ. Information technology — Security techniques — Code of practice for information security management
    ) был разрабо-

    28 тан (рисунок 6) в 2005 году на основе стандарта ISO 17799, который был опуб- ликован в 2000 году и является полной копией Британского стандарта BS 7799-
    1:1999 «
    Практические правила управления информационной безопасностью»
    (от англ. Code of Practice for Information Security Management). Стандарт
    BS 7799-1:1999 описывает 127 механизмов контроля, необходимых для постро- ения системы управления информационной безопасностью (СУИБ) организа- ции и служит практическим руководством по созданию СУИБ, хоть и изна- чально предназначался для определения норм безопасности при ведении ком- мерческой деятельности [31]. Стандарт ISO/IEC 27002 содержит лучшие прак- тические советы и рекомендации по разработке и внедрению компаниями си- стемы менеджмента информационной безопасности, в контексте выбора, внед- рения и использования средств управления имеющимися рисками. Он содержит более полное описание и рекомендации по внедрению средств управления ин- формационной безопасностью по сравнению с международным стандартом
    ISO/IEC 27001:2013
    . В Российской Федерации современный аналог стандарта
    ISO/IEC 27002 носит название ГОСТ Р ИСО/МЭК 27002-2012 «Информацион- ная технология (ИТ). Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности» [21].
    Рисунок 6 — Этапы развития стандарта ISO/IEC 27002:2013
    На основании изученной информации можно сделать вывод о том, что актуальность в разработке программного продукта существует, поскольку были наработки по устаревшим стандартам, в то время как по актуальным стандар-

    29 там подобных систем найти не удалось. На сегодняшний день оценка рисков информационной безопасности на предприятиях производится на основании международного стандарта ISO/IEC 27002, знание которого необходимо для современного специалиста по информационной безопасности. С практической точки зрения стандартов и спецификаций (международные, национальные и т. п.) в области информационной безопасности очень и очень много, но каждый уважающий себя специалист должен обладать знаниями и иметь представления о наиболее популярных стандартах: ISO 15408, ISO 27001, ISO 27002 (бывший
    ISO 17799).

    30
    2
    ОПИСАНИЕ СИСТЕМЫ ТЕСТИРОВАНИЯ
    2.1
    Назначение продукта
    Разработанный нами программный продукт нацелен на использование его возможностей как коммерческими предприятиями, так и образовательными ор- ганизациями, с целью проверки текущего состояния информационной безопас- ности компании на предмет выявления существующих уязвимостей и оценку рисков угроз информационной безопасности.
    Принцип работы программного продукта имитирует процедуру проверки рисков и уязвимостей в компании, подобно той, которую применяют аудиторы, используя свои собственные методы и программные средства. Отличие заклю- чается лишь в том, что при проведении процедуры аудита аудиторы запраши- вают у руководства компании необходимую информацию, проверяя ее и требу- емые стандартами критерии в компании-заказчике, редко ссылаясь на подроб- ности проводимой ими проверки, а выдавая лишь на конечном этапе информа- цию о найденных уязвимостях, нарушениях и способах их устранения. Так на основании полученной информации, сформированной по результатам прохож- дения тестирования, руководством компании самостоятельно могут быть пред- приняты дополнительные меры по оценке или совершенствованию существу- ющей системы информационной безопасности: совершенствование политики безопасности, формирование определенных инструкций и правил для персона- ла внутри организации, либо для самостоятельной подготовки к аудиту, по- скольку продукт основан на используемых аудиторами международных стан- дартах в области информационной безопасности: ISO/IEC 27002, ISO/IEC 15408 и проверяет часть предъявляемых стандартами и проверяемых аудиторами тре- бований, и критериев в компании.

    31
    Система тестирования представляет собой ничто иное как веб- приложение с подключенными к нему: плагином тестирования и банком вопро- сов. При прохождении тестирования плагин собирает полученные ответы на входе, а затем выводит по ним статистику, в которой отражается результат пройденного тестирования — сумма набранных баллов. В отчете по пройден- ному тестированию будет подробно выведена информация, при ответе на какой вопрос было допущено нарушение одного или нескольких требований и/или рекомендаций международных стандартов в области информационной безопас- ности.
    В силу своей особенности данный программный продукт будет интере- сен:
    • студентам, обучающимся по направлению подготовки и преподавате- лям, ведущим дисциплины в рамках данных направлений подготовки:
    44.03.04
    Профессиональное обучение (по отраслям), профиль подготовки «Ин- форматика и вычислительная техника», профилизация «Информационная без- опасность»; 10.03.01 Информационная безопасность; 38.04.09 Государственный аудит и т. п.;
    • руководителям коммерческих предприятий или образовательных ор- ганизаций, а также лицам ответственным за информационную безопасность в компании;
    • специалистам и аудиторам, занятым в области информационной без- опасности.
    2.2
    Описание банка вопросов
    Для планируемой системы тестирования по стандарту ISO 27002 (бывший стандарт ISO/IEC 17799) был разработан банк вопросов, который включает в себя 325 вопросов, разделенные на 10 разделов (Таблица 1).

    32
    Банк вопросов состоит из вопросов закрытой формы с выбором одного варианта ответа по принципу противоположности (Приложение Б).
    Таблица 1 — Содержание банка вопросов
    Раздел
    Характеристика раздела
    Объем
    Политика без- опасности
    Данный раздел содержит вопросы о существующей организации политики безопасности: положения политики, порядок внесения изменений, утверждения политики.
    14
    Организация информационной безопасности
    Данный раздел содержит вопросы о принятых в компании орга- низационных мерах по обеспечению информационной безопас- ности и об ответственности за ее обеспечение
    16
    Управление ре- сурсами
    Данный раздел содержит вопросы о процедуре учета ресурсов и о классификации и категоризации информации.
    10
    Безопасность персонала
    Данный раздел содержит вопросы о процедуре приема сотруд- ников на работу, об уровне осведомленности персонала по во- просам информационной безопасности и о действиях, осуществ- ляемых персоналом в случае инцидентов в области информаци- онное безопасности.
    16
    Физическая без- опасность и без- опасность окру- жения
    Данный раздел содержит вопросы о физическом контроле до- ступа к ресурсам, содержащим ценную информацию, и о физи- ческих угрозах оборудованию.
    39
    Управление коммуникациями и операциями
    Данный раздел содержит вопросы о процедурах внесения изме- нений в среду выполнения бизнес-операций, об антивирусной защите, о контроле целостности, резервном копировании ин- формации и восстановлении из резервных копий, о правилах об- ращении с информацией и программным обеспечением при пе- редаче, о безопасности электронной коммерции и электронного офиса. Вопросы раздела отражают процесс безопасной обработ- ки передачи информации.
    73
    Управление до- ступом
    Данный раздел содержит вопросы о правах и привилегиях поль- зователей при доступе к ресурсам организации, о политике сете- вых служб, о парольной политике, о мониторинге процедур по- вышенного риска, о доступе мобильных и удаленных пользова- телей к ресурсам организации. Вопросы раздела отражают рас- пределение доступа к ценным ресурсам организации.
    66
    Приобретение, разработка и поддержка си- стем
    Данный раздел содержит вопросы о проверках входных и вы- ходных данный систем, о системе криптографической защиты информации, о правилах внесения изменений в исполняемые файлы и библиотеки, о правилах работы с тестовой средой, о приобретении программных продуктов.
    42
    Управление бес- перебойной ра- ботой организа- ции
    Данный раздел содержит вопросы о планах обеспечения непре- рывности ведения бизнеса, о восстановлении системы после сбо- ев, о тренингах персонала по действиям в случае аварийных си- туаций.
    24
    Соответствие
    Данный раздел содержит вопросы о лицензионных соглашениях 25

    33 нормативным требованиям приобретенного программного обеспечения, о соответствии си- стемы стандартам информационной безопасности, о критериях сохранения улик, о проверках, проводимых в информационной системе: например, проверка технического соответствия, сто- ронний аудит.
    Разработанные вопросы отвечают требованиям, предъявляемым:
    1.
    К формулировке тестовых заданий в закрытой форме с выбором одно- го правильного ответа по принципу противоположности.
    2.
    Международными стандартами на предмет:
    • соответствия изложенного в них материала;
    • правдоподобности и правильности формулировки вопросов к про- веряемым стандартами требований, правил и норм;
    • полноты оценки состояния текущего уровня информационной без- опасности на предприятии, проверяемых параметров и степени их соответствия международным стандартам.
    2.3
    Выбор средства реализации
    Перед тем, как приступить к непосредственной разработке программного продукта, перед нами встал выбор средства реализации, в котором можно бы- ло бы начать разработку задуманной идеи. Перед нами был выбор использова- ния следующих сред для разработки программного продукта:
    1. Joomla — система управления содержимым (CMS) с открытым ис- ходным кодом, разработанная на языках PHP (от англ. Hypertext Preprocessor — скриптовый язык общего назначения) и JavaScript (объектно-ориентированный язык программирования, используемый для добавления форм интерактивности для веб-сайта) и использующая в качестве хранилища базы данных систему управления базами данных (СУБД) MySQL [4].
    2. WordPress — система управления содержимым сайта с открытым ис- ходным кодом, написанная на языке PHP, с реализованным сервером базы дан- ных в СУБД MySQL [6].

    34 3. Drupal — система управления содержимым, используемая как каркас для веб-приложений (CMF), написанная на языке PHP и использующая в каче- стве хранилища реляционную базу данных (поддерживаются MySQL, Post- greSQL и др.). Особо хочется отметить, что Drupal является свободным про- граммным обеспечением и развивается усилиями людей со всего мира [3].
    4.
    «Ручная верстка». Поскольку учебный план по нашему профилю подготовки не предполагает углубленного изучения языков и сред программи- рования, мы решили отказаться от идеи написания сайта и плагина «вручную».
    Сопоставив все достоинства и недостатки Joomla, WordPress и Drupal, мы выбрали в качестве среды разработки CMS Joomla версии 2.5.17 (рисунок 7) по следующим значимым причинам, которые были определены, как наиболее зна- чимые и пригодные для дальнейшей работы:
    • простота использования, нетребовательность к временным затратам на понимание структуры и конструирование сложных сайтов;
    • большое количество готовых разработанных шаблонов и модулей;
    • изначальная ориентированность на электронную коммерцию и соци- альные площадки;
    • удобство внесения правок как в программном коде, так и в самой структуре сайта;
    • улучшенная подготовленность к монетизации сайта и возможность продвинутой настройки продвижения сайта в поисковых системах (SEO);
    • система более надежна, за счет постоянно разрабатываемых обновле- ний, выявления и устранения уязвимостей и повышении уровня безопасности.

    35
    Рисунок 7 — Панель управления CMS Joomla версии 2.5.17
    Определившись с выбором среды разработки, мы начали поиск плагинов для проведения системы тестирования. Выбор был между двумя максимально подходящими продуктами:
    Joomla! Quiz Deluxe — выпущенный компанией Joomla компонент для создания и проведения тестов, онлайн-опросов любой сложности и разно- образной логикой подсчета результатов. Лицензионная платная версия продук- та дает возможность использовать любой из 17 типов предлагаемых типов во- просов, а также производить гибкую настройку тестов в соответствии с предъ- являемыми требованиями [5].
    ARI Quiz Lite — русифицированный бесплатный конструктор форм тестов для проверки уровня знаний посетителей сайта с открытым кодом. Его основные возможности и преимущества: управление доступом пользователей к тестам, подробная статистика результатов тестирования, групповое тестирова- ние по категориям, использование шаблонов при построении тестов и вопросов к нему [2].
    По итогу был выбран плагин — ARI Quiz Lite (рисунок 19). Это обу- словлено сразу несколькими причинами: во-первых, он является наиболее уни- версальным средством для проведения тестирования и распространяется абсо- лютно бесплатно; во-вторых, в него интегрирована поддержка русского языка, вследствие чего русифицировано управление; в-третьих, он обладает всеми не-

    36 обходимыми функциями, а также поддерживает возможность внесения каких- либо сторонних изменений со стороны пользователя, исходя их его потребно- стей. Выбранный плагин впоследствии был доработан в соответствии с задача- ми выпускной квалификационной работы и идеи работы программного продук- та в целом, в котором определяются и задаются определенные параметры для оценки.
    1   2   3   4   5   6


    написать администратору сайта