ОИБ. основы информ. безопасности. Учебное пособие Томск

173
Авторизованный аудит – это проверка защищенности информационных активов предприятия на всех уровнях защиты (законодательном, административном, процедурном и программно-техническом). Подобную проверку осуществляют специально аккредитованные аудиторские службы.
Влияние аудита безопасности на развитие компании
Большинство лиц, ответственных за обеспечение информационной безопасности, задавалось вопросом: «Как оцепить уровень безопасности корпоративной информационной системы нашего предприятия для управления им в целом и определения перспектив его развития?».
Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. Поэтому вопрос «как оценить уровень безопасности корпоративной информационной системы» – обязательно влечет за собой следующие: в соответствии с какими критериями производить оценку эффективности защиты, как оценивать и переоценивать информационные риски предприятия? Вследствие этого, в дополнение к требованиям, рекомендациям и руководящим документам
Гостехкомисии России и ФАПСИ приходится адаптировать к нашим условиям и применять методики международных стандартов (ISO 17799, 9001, 15408, BSI и пр.), а также исполь- зовать методы количественного анализа рисков в совокупности с оценками экономической эффективности инвестиций в обеспечение безопасности и защиты информации.
Такие методики работы по анализу рисков информационной безопасности, проектированию и сопровождению систем безопасности должны позволить: произвести количественную оценку текущего уровня безопасности, задать допустимые уровни рисков, разработать план мероприятий по обеспечению требуемого уровня безопасности на организационно-управленческом, технологическом и техническом уровнях с использованием современных методик и средств; рассчитать и экономически обосновать перед руководством или акционерами размер необходимых вложений в обеспечение безопасности на основе технологий анализа рисков, соотнести расходы на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения; выявить и провести первоочередное блокирование наиболее опасных уязвимостей до осуществления атак на уязвимые ресурсы; определить функциональные отношения и зоны ответственности при взаимодействии подразделений и лиц по обеспечению информационной безопасности предприятия, создать необходимый пакет организационно-распорядительной документации; разработать и согласовать со службами организации, надзорными органами проект внедрения необходимых комплексов защиты, учитывающий современный уровень и тенденции развития информационных технологий; обеспечить поддержание внедренного комплекса защиты в соответствии с из меняющимися условиями работы организации, регулярными доработками организационно- распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты.
Новые возможности развития компании
Выполнение приведенных выше мероприятий открывает перед должностными лицами разного уровня новые широкие возможности:
руководителям организаций и предприятий позволяет обеспечить формирование единых политики и концепции безопасности предприятия; рассчитать, согласовать и

174 обосновать необходимые затраты в защиту предприятия; объективно и независимо оценить текущей уровень информационной безопасности предприятия; обеспечить требуемый уровень безопасности и в целом повысить экономическую эффективность предприятия; эффективно создавать и использовать профили защиты конкретного предприятия на основе неоднократно апробированных и адаптированных качественных и количественных методик опенки информационной безопасности предприятий;
начальникам служб автоматизации и информационной безопасности предприятия – получить оперативную и объективную качественную и количественную оценку состояния информационной безопасности предприятия на всех основных уровнях рассмотрения вопросов безопасности: организационно-управленческом, технологическом и техническом;
выработать и обосновать необходимые меры организационного характера (состав и структуру службы информационной безопасности, положение о коммерческой тайне, пакет должностных инструкций и инструкции действия в нештатных ситуациях); помогают составить экономическое обоснование необходимых инвестиций в защиту информации, обоснованно выбрать те или иные аппаратно-программные средства защиты информации в рамках единой концепции безопасности в соответствии с требованиями распоряжений и руководящих документов Гостехкомиссии России, ФАПСИ, а также международных стандартов ISO 17799, 9001, 15408, BSI; адаптировать и использовать в своей работе предложенные количественные показатели опенки информационной безопасности, методики оценки и управления безопасностью с привязкой к экономической составляющей эффективности предприятия;
системным, сетевым администраторам и администраторам безопасности
предприятия - объективно оценить безопасность всех основных компонентов и сервисов корпоративной информационной системы предприятия, техническое состояние аппаратно- программных средств защиты информации (межсетевых экранов, маршрутизаторов, хостов, серверов, корпоративных БД и приложений); успешно применять на практике рекомендации, полученные в ходе выполнения аналитического исследования, для нейтрализации и локализации выявленных уязвимостей аппаратно-программного уровня;
сотрудникам и работникам предприятий и организаций - определить основные
функциональные отношения и, что особенно важно, зоны ответственности, в том числе финансовой, за надлежащее использование информационных ресурсов и состояние политики
безопасности предприятия.
7.2.2. Основные этапы проведения аудита
Комплексный аудит информационной безопасности включает следующие виды работ: обследование объекта - построение информационной модели АС заказчика; инвентаризация ресурсов – ранжирование ресурсов компании по степени важности; построение частной модели угроз – классификация угроз по степени опасности и вероятности; построение модели нарушителя; оценка потенциального ущерба от нарушения безопасности – оценка рисков с применением методики трехфакторного анализа; оценка существующей системы безопасности на соответствие требованиям стандартов безопасности: ведомственным, государственным, международным; выявление уязвимых мест и каналов утечки информации; разработка и оценка предложений по применению контрмер; проектирование комплекса средств защиты; разработка организационных мероприятий - пакет организационно-распорядительной документации;

175 оценка остаточных рисков.
Практические шаги авторизованного аудита безопасности
Как на практике реализовать перечисленные возможности? По мнению специалистов, это становится возможным в ходе следующих практических шагов аудита безопасности.
1. Комплексный анализ ИС предприятия и подсистемы информационной без- опасности на методологическом, организационно-управленческом, технологическом и техническом уровнях. Анализ рисков.
1.1. Исследование и оценка состояния информационной безопасности КИС и подсистемы информационной безопасности предприятия.
Комплексная оценка соответствия типовых требований РД Гостехкомиссии РФ системе информационной безопасности предприятия.
Комплексная оценка соответствия типовых требований международных стандартов
ISO системе информационной безопасности предприятия.
Комплексная оценка соответствия специальных требований заказчика системе информационной безопасности предприятия.
1.2. Работы на основе анализа рисков.
Анализ рисков. Уровень управления рисками на основе качественных оценок рисков.
Анализ рисков. Уровень управления рисками на основе количественных оценок рисков.
1.3. Инструментальные исследования.
1.3.1. Инструментальное исследование элементов инфраструктуры компьютерной сети и корпоративной информационной системы на наличие уязвимостей.
1.3.2.
Инструментальное исследование защищенности точек доступа предприятия в
Internet.
1.4. Анализ документооборота предприятия.
2. Разработка комплексных рекомендаций по методологическому, организационно- управленческому, технологическому, общетехническому и программно-аппаратному обеспечению режима информационной безопасности предприятия.
2.1. Разработка концепции обеспечения информационной безопасности предприятия.
2.2. Разработка корпоративной политики обеспечения информационной безопасности предприятия на организационно-управленческом, правовом, технологическом и техническом уровнях.
2.3. Разработка плана защиты предприятия заказчика.
2.4. Дополнительные работы по анализу и созданию методологического, организационно-управленческого, технологического, инфраструктурного и технического обеспечения режима информационной безопасности предприятия заказчика.
3. Организационно-технологический анализ ИС предприятия.
3.1. Оценка организационно-управленческого уровня безопасности.
Оценка соответствия типовым требованиям руководящих документов РФ к системе информационной безопасности предприятия в области организационно-технологических норм.
Анализ документооборота предприятия категории
«конфиденциально» на соответствие требованиям концепции информационной безопасности, положению о коммерческой тайне, прочим внутренним требованиям предприятия по обеспечению конфиденциальности информации.
Дополнительные работы по исследованию и оценке информационной безопасности объекта.

176 3.2. Разработка рекомендаций по организационно-управленческому, технологическому, общетехническому обеспечению режима информационной безопасности предприятия.
Разработка элементов концепции обеспечения информационной безопасности предприятия.
Разработка элементов корпоративной политики обеспечения информационной безопасности предприятия на организационно-управленческом, правовом и технологическом уровнях.
4. Экспертиза решений и проектов.
Экспертиза решений и проектов автоматизации на соответствие требованиям по обеспечению информационной безопасности экспертно-документальным методом.
Экспертиза проектов подсистем информационной безопасности на соответствие требованиям по безопасности экспертно-документальным методом.
5. Работы по анализу документооборота и поставке типовых комплектов организационно-распорядительной документации.
Анализ документооборота предприятия категории ―конфиденциально‖ на соответствие требованиям концепции информационной безопасности, положению о коммерческой тайне, прочим внутренним требованиям предприятия по обеспечению конфиденциальности информации.
Поставка комплекта типовой организационно-распорядительной документации в соответствии с рекомендациями корпоративной политики ИБ предприятия на организационно- управленческом и правовом уровне.
6. Работы, поддерживающие практическую реализацию плана защиты.
Разработка технического проекта модернизации средств защиты КИС, установленных у заказчика по результатам проведенного комплексного аналитического исследования корпоративной сети.
Разработка системы поддержки принятия решений на предприятии заказчика по обеспечению информационной безопасности предприятия на основе CASE-систем и др.
Подготовка предприятия к аттестации.
6.3.1. Подготовка ―под ключ‖ предприятия к аттестации объектов информатизации заказчика на соответствие требованиям РД РФ.
6.3.2. Подготовка предприятия к аттестации КИС на соответствие требованиям по безопасности международных стандартов ISO 15408, ISO 17799, стандарта ISO 9001 при обеспечении требований информационной безопасности предприятия.
6.4. Разработка организационно-распорядительной и технологической документации.
6.4.1. Разработка расширенного перечня сведений ограниченного распространения как части политики безопасности.
6.4.2. Разработка пакета организационно-распорядительной документации (ОРД) в соответствии с рекомендациями корпоративной политики ИБ предприятия на организационно-управленческом и правовом уровне.
6.4.3. Поставка комплекта типовой организационно-распорядительной документации в соответствии с рекомендациями корпоративной, политики ИБ предприятия на организационно-управленческом и правовом уровнях.
7. Повышение квалификации и переподготовка специалистов.
Тренинги в области организационно-правовой составляющей защиты информации.
Обучение основам экономической безопасности.
Тренинги в области технологии защиты информации.
Тренинги по применению продуктов (технических средств) защиты информации.

177
Обучение действиям при попытке взлома информационных систем.
Обучение и тренинги по восстановлению работоспособности системы после нарушения штатного режима ее функционирования, а также по восстановлению данных и программ из резервных копий.
Сопровождение системы информационной безопасности после проведенного комплексного анализа или анализа элементов системы ИБ предприятия.
Ежегодная переоценка состояния ИБ.
Здесь под термином аудит информационной безопасности корпоративной системы
Internet/Intranet понимается системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности на всех основных уровнях обеспечения безопасности: методологическом, организационно-управленческом, технологическом и техническом.Таких оценок, которые позволяют выработать практические рекомендации по управлению и обеспечению информационной безопасности компании, адекватные поставленным целям и задачам развития бизнеса.
В целом независимо от своей разновидности, состава и объема аудит безопасности корпоративной системы Internet/Intranet должен позволить решить следующие актуальные задачи каждой проверяемой компании: обеспечить (при необходимости повысить) информационную безопасность предприятия; снизить потенциальные потери предприятия путем повышения устойчивости функционирования корпоративной сети; защитить конфиденциальную информацию, передаваемую по открытым каналам связи; защитить информацию от умышленного искажения (разрушения), несанкци- онированного копирования, доступа или использования; обеспечить контроль действий пользователей в корпоративной сети предприятия; своевременно оценить и переоценить информационные риски бизнес деятельности компании; выработать оптимальные планы развития и управления предприятием.
Планирование авторизованного аудита информационной безопасности компании
В соответствии с рекомендациями международных стандартов информационной безопасности процедура проведения аудита безопасности компании должна планироваться заранее. Для этого необходимо составить план проведения аудита, который должен отражать все мероприятия и процедуры, связанные с первоначальными и контрольными проверками продолжительностью более одного дня. Кроме того необходимо ознакомиться с соответствующей законодательной и нормативной базой для выявления требований по информационной безопасности, которые могут быть использованы для обеспечения информационной безопасности компании.
Для проведения аудита информационной безопасности компании необходимо подготовить все необходимые сведения о собственной структуре, бизнес деятельности, текущих проектах, состоянии информационной инфраструктуры и т. п. Кроме того, потребуется: документально оформленные концепция и политика безопасности компании, список используемого в компании системного и прикладного программного обеспечения,

178 описание технологии обработки данных, состав и структура подсистемы защиты информации, общая карта компьютерной сети компании.
План проведения аудита должен определять проверяемые области деятельности компании и время их проверки с указанием, какие именно требования международных стандартов, например ISO 17799, и руководящих документов Гостехкомиссии РФ будут проверяться. Т.е. план подготовки и проведения аудита должен определять потребности компании в оценке и объективном анализе состояния информационной безопасности, потребности в соответствующих аппаратно-программных средствах защиты информации, потребности в обучении и переподготовке службы информационной безопасности, а также освещать другие вопросы, ответы на которые невозможно дать без проведения аудита. В дальнейшем план проведения аудита с внесенными в него изменениями по ходу проверок прилагается к отчету о проведении аудита. Кроме того, необходимо помнить о согласовании плана проведения аудита с Концепцией и Политикой информационной безопасности компании.
Рекомендуется выделять четыре возможных этапа планирования аудита:
Подготовка аудита безопасности;
Анализ требований и исходных данных;
Расчет трудоемкости и стоимости выполняемых работ;
Документирование процедуры проведения аудита.
Подготовительный этап
На подготовительном этапе исполнитель определяет общий порядок работ, устанавливающий последовательность выполнения и возможные затраты ресурсов, и согласовывает его с заказчиком. На этом этапе рассматриваются:
Назначение и цели предстоящего аудита, порядок их достижения.
Принципы установки рамок проведения аудита.
Функции, структура и состав корпоративной системы Internet/Intranet, узкие места и потенциальные уязвимости в системе управления информационной безопасностью.
Методики оценки квалификации специалистов и сотрудников службы информационной безопасности.
Способы категорирования обрабатываемой в корпоративной информационной системе информации, например на общедоступную, конфиденциальную и строго конфиденциальную;
Методы и инструментарии оценки временных затрат и затрат ресурсов компании на аудит информационной безопасности. Возможность использования результатов ранее проведенного аудита, в том числе анализа информационных рисков и анализа соответствия требованиям международных стандартов и руководящих документов Гостехкомиссии РФ;
Состав группы экспертов в области безопасности корпоративных систем In- ternet/Intranet и распределение обязанностей между ними;
Параметры корпоративной информационной сети компании и среды ее функ- ционирования, оказывающие существенное влияние на качество аудита безопасности;
Совокупность учитываемых при проведении аудита безопасности требований международных, государственных, межведомственных и внутренних стандартов;
Внутренняя отчетная документация, оформление и при необходимости корректировка концепции и политики информационной безопасности компании;
Перспективы и тенденции развития корпоративной системы защиты информации компании, вопросы выработки стратегии и тактики ее развития.
Согласованный с заказчиком общий порядок проведения аудита безопасности компании может быть отражен в соответствующем техническом задании.

179