новая папка 1 / 586696
.pdf
Министерство образования и науки Российской Федерации НОВОСИБИРСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ
Г.А. ДРОНОВА
АТТЕСТАЦИЯ И АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Учебно-методическое пособие
НОВОСИБИРСК
2016
1
УДК 004.056:006.015.5(075.8) + 004.415.53(075.8) Д 758
Рецензенты:
С.А. Зырянов, канд. техн. наук, доцент кафедры ЗИ И.Н. Томилов, канд. техн. наук, доцент кафедры АСУ
Дронова Г.А.
Д 758 Аттестация и аудит информационной безопасности: учеб.- метод. пособие / Г.А. Дронова. – Новосибирск: Изд-во НГТУ, 2016. – 19 с.
ISBN 978-5-7782-3114-6
Настоящее пособие предназначено для студентов, обучающихся по направлению 10.03.01 «Информационная безопасность» и специальности 10.05.03 «Информационная безопасность автоматизированных систем», а также может быть полезно при переподготовке руководителей подразделений и специалистов по информационной безопасности как коммерческих, так и государственных организаций.
В учебно-методическом пособии описываются необходимость обеспечения доверия к информационной безопасности, процессы обеспечения доверия – сертификация, аттестация и аудит, виды и методы аудита.
Работа подготовлена на кафедре защиты информации
иутверждена Редакционно-издательским советом университета
вкачестве учебно-методического пособия
|
УДК 004.056:006.015.5(075.8) + 004.415.53(075.8) |
ISBN 978-5-7782-3114-6 |
Дронова Г.А., 2016 |
|
Новосибирский государственный |
|
технический университет, 2016 |
|
2 |
ВВЕДЕНИЕ
Существование большинства бизнес- и производственных процессов современных организаций (как частных, так и государственных) невозможно без их информационного обеспечения. Фактически все больше и больше бизнес-процессов поддерживаются как минимум одной, а в большинстве случаев – несколькими информационными системами (в кредитно-финансовых организациях число доходит до нескольких десятков ИС), взаимодействующими как между собой, так и с внешними информационными ресурсами. Значительно усложняют ситуацию следующие обстоятельства:
–современный бизнес стал венчурным (высокорискованным);
–перечень рисков для бизнеса включает до шестисот рискфакторов;
–информационные системы должны обеспечивать функционирование бизнес-процессов независимо от территориального расположения подразделений компаний, структуры и состава ИТ-компонентов;
–руководство организаций, по различным причинам, неохотно выделяет средства на обеспечение информационной безопасности1;
–все чаще современному бизнесу требуется прямой контакт с большим количеством внешних пользователей информационных систем (клиенты-пользователи сервисов и услуг, контрагенты).
Таким образом – функционирование современного бизнеса обеспечивается сложной ИТ-инфраструктурой. Однако чем сложнее система, тем больше уязвимостей она имеет. Успешная реализация хотя бы одной имеющейся уязвимости способна привести к длительному останову и даже полному выходу из строя ИТ-инфраструктуры, а, соответственно, и к нарушению непрерывности бизнеса компании. Успешно противодействовать существующим угрозам ИТ-инфраструктуре мо-
1 Markus Ranum: «Когда дело доходит до безопасности, то нужно, чтобы парень, стоящий рядом с вами, получил пулю в голову, тогда руководство обратит внимание на безопасность».
3
жет только современная, актуальная система информационной безопасности. Актуальность СИБ обеспечивается соответствующей системой управления информационной безопасностью – СУИБ. В большинстве случаев владельцы бизнеса и руководители готовы вкладывать средства в развитие СОИБ организации, однако им необходимо получение подтверждения как об эффективности СОИБ, так и об экономической целесообразности финансовых вложений.
Основной целью курса «Аттестация и аудит информационной безопасности» является получение знаний слушателями по следующим вопросам:
элементы системы обеспечения информационной безопасности;
обеспечение доверия к СОИБ;
понятие о сертификации и аттестации объектов информатиза-
ции;
аудит и мониторинг, виды аудита.
4
1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Актив |
– |
все, что имеет ценность для организации и |
находится в ее распоряжении |
||
ИБ |
– |
информационная безопасность |
Информация |
– |
сведения (сообщения, данные) независимо |
от формы их представления |
||
|
|
комплекс взаимосвязанных обслуживающих |
Инфраструктура |
– структур, составляющих основу для реше- |
|
|
|
ния проблемы (задачи) |
|
|
система организационных структур, обеспе- |
Информационная |
– |
чивающих функционирование и развитие |
инфраструктура |
информационного пространства и средств |
|
|
|
информационного взаимодействия |
ИТ |
– |
информационные технологии |
СИБ |
– |
система информационной безопасности |
СОИБ |
– |
система обеспечения информационной без- |
опасности |
||
СУИБ |
– |
система управления информационной без- |
опасностью |
||
5
2.ОБЕСПЕЧЕНИЕ ДОВЕРИЯ К ИБ
2.1.СОВРЕМЕННЫЙ БИЗНЕС И СОИБ
Современный бизнес2 немыслим без использования информационных технологий – сегодня информационные технологии в бизнесе являются не столько роскошью, сколько необходимостью. Практически все сферы предпринимательства информатизированы, что приводит к максимально эффективному и достаточно динамичному развитию бизнеса.
Любая деловая активность подразумевает использование или преобразование посредством соответствующих технологий неких ресурсов. Однако как сами ресурсы, так и технологии имеют уязвимости, которые могут быть реализованы с той или иной степенью вероятности, как злоумышленниками, так и природными или техногенными негативными событиями. Таким образом – наличие уязвимостей порождает риски для бизнеса, которые, в случае их успешной реализации, способны нанести финансовые, репутационные и иные потери (рис. 1)3.
Поскольку чем более сложной ИТ-инфраструктурой обеспечивается функционирование бизнеса, тем больше ИТ-уязвимостей имеется. Успешная реализация хотя бы одной из них способна привести к длительному останову или даже полному выходу из строя ИТ-инфра- структуры организации, что неизбежно ведет как к финансовым потерям для бизнеса, так и к полной ликвидации бизнеса.
В целях снижения рисков нарушения непрерывности бизнеса, по причине реализации угроз в области ИТ-инфраструктуры, в организации должна быть создана система, снижающая риски для ИТ-инфра-
2В данном учебно-методическом пособии под бизнесом понимается любая деловая активность, включая деятельность государственных организаций.
3Риск – это возможность того, что произойдет определенное неблагоприятное событие, имеющее свою цену (размер ожидаемого ущерба) и вероятность наступления. Риск информационной безопасности представляет собой возможность нарушения ИБ с негативными для организации последствиями.
6
структуры. Данную задачу решает система информационной безопасности (СИБ), которую можно определить как организованную совокупность специальных органов, служб, средств, методов и мероприятий, снижающих уязвимость информационных ресурсов, обеспечивающих целостность информации, доступность информации и информационных сервисов, препятствующих несанкционированному доступу к информации, ее разглашению или утечке.
Рис. 1. Угрозы и риски бизнеса
Как и любая система, система информационной безопасности имеет свои цели, задачи, методы и средства деятельности. Главная стратегическая задача информационной безопасности заключается в обеспечении устойчивого функционирования объекта защиты, т. е. обеспече-
нии непрерывности бизнеса посредством поддержания установленных уровней целостности, доступности и конфиденциальности для каждого актуального информационного ресурса.
Обеспечивая выполнение главной стратегической задачи, информационная безопасность решает косвенным образом еще одну важ-
нейшую для бизнеса задачу – повышение качества предоставляемых ИТ-услуг пользователям (т. е. повышает уровень зрелости ИТ-про- цессов организации).
7
Для наличия эффективной информационной безопасности в организации, помимо СИБ, необходима соответствующая система управления (система управления информационной безопасностью – СУИБ).
Основными задачами СУИБ являются организация, планирова-
ние, мотивация, контроль действий в рамках СИБ, сбор и оценка
результатов этих действий, корректирующие воздействия на СИБ. СУИБ обеспечивает объединение всех применяемых на предприя-
тии защитных и организационных мер в единый адекватный реальным угрозам и управляемый комплекс, позволяющий достигать корпоративных целей информационной безопасности на уровне всего предприятия.
Построение СУИБ позволяет четко определить, как взаимосвязаны процессы и подсистемы ИБ, кто за них отвечает, какие финансовые и трудовые ресурсы необходимы для их эффективного функционирования.
Вряде отраслей (в частности в кредитно-финансовой сфере) введен
вдействие термин СОИБ (система обеспечения информационной безопасности), логически объединяющий СИБ и СУИБ организации в единую систему:
СОИБ = СИБ + СУИБ.
2.2. ОБЕСПЕЧЕНИЕ ДОВЕРИЯ К СОИБ
Построение современной СОИБ сопряжено с высокими финансовыми затратами. Руководству организации, принимающему решение о финансировании проектов информационной безопасности, естественным образом необходимо знать ответы на два вопроса – во-первых, не чрезмерны (достаточны) ли финансовые вложения в ИБ и, во-вторых, эффективна ли созданная СОИБ. Ответы на оба вопроса основываются на обеспечении доверия к информационной безопасности.
Согласно ГОСТ Р ИСО/МЭК 15408-3 «Методы и средства обеспечения безопасности. Критерии оценки информационных технологий», доверие – основа для уверенности в том, что продукт или система ИТ отвечает целям безопасности. В стандарте CobIT главной целью ИТаудита определено «Обеспечение уверенности руководства в результатах аудита», что является аналогом доверия к выводам аудиторов относительно соответствия ИТили ИБ-системы выставленным требованиям.
8
Исходя из базовых требований к информационной безопасности, заключающихся в том, что информационная безопасность должна быть эффективной и экономически оправданной, обеспечение доверия к СОИБ организации заключается в оправданной, гарантированной уверенности руководства, во-первых, в способности СОИБ противостоять угрозам на определенном уровне рисков, а во-вторых, что затраченные на ИБ средства выделены в достаточном количестве и потрачены эффективно.
Обеспечение доверия к информационной безопасности достигается процедурами сертификации или аттестации (к отдельным элементам или наборам элементов информационной безопасности), а также ИБаудитом (СОИБ в целом).
9
3.СЕРТИФИКАЦИЯ, АТТЕСТАЦИЯ
ИАУДИТ
3.1. СЕРТИФИКАЦИЯ
Одним из простейших способов обеспечения некоторого уровня доверия к информационной безопасности является применение сертифицированных продуктов (компьютеров, программного обеспечения и т. д.), т. е. изделий прошедших сертификацию в уполномоченных на это организациях. Сертификация – процедура подтверждения качества, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме (сертификат соответствия), что продукция соответствует установленным требованиям. Сертификация проводится на проверку соответствия требованиям законодательства, государственным стандартам, нормам безопасности.
Однако, поскольку СОИБ это не только набор отдельных изделий, продуктов, систем безопасности, а еще и набор методов, технологий, персонал и т. д., сертификация не позволяет оценить информационную безопасность организации в целом на соответствие требованиям законодательства, регуляторов, стандартов.
Для менеджмента (управления) также имеется своя система сертификации. Сертификация систем управления – это процедура подтверждения степени соответствия и результативности определенной системы менеджмента требованиям стандарта на данную систему менеджмента. В частности, в информационной безопасности существует сертификация по системе менеджмента информационной безопасности (сертифицируется на соответствие требованиям стандарта ГОСТ Р ИСО /МЭК 27001). Однако процедура сертификации не дешевая и для подтверждения того, что с течением времени система управления соответствует требованиям, необходимо периодическое проведение аудита.
10