5. Аудит информационной безопасности
Порядок проведения контроля защищенности ЛВС
АУДИТ - системный процесс получения и оценки объективных данных о текущем состоянии обеспечения безопасности информации на объектах, действиях и событиях, происходящих в проверяемой информационной системе, определяющих уровень их соответствия определенному критерию.
Цель АУДИТА: обследование процессов обеспечения безопасности информации при выполнении информационной системой своего главного предназначения -информационного обеспечения пользователей.
Коммерческие организации: АУДИТ - возможность.
Государственные организации: АУДИТ - необходимость.
Виды АУДИТА:
• первоначальное обследование (первичный аудит);
• предпроектное обследование (технический аудит);
• аттестация объекта;
• плановое обследование (контрольный аудит).
|
Периоды жизненного цикла обследуемого объекта |
Виды аудита (обследования) | ||||
|
Первичный |
Технический |
Аттестация |
Сюрвей |
Контрольный | |
|
Принятие решения о создании корпоративной ИС |
X |
|
|
|
|
|
Определение требований к создаваемой корпоративной ИС |
|
X |
|
|
|
|
Проектирование и ввод в эксплуатацию корпоративной ИС |
|
|
X |
X |
|
|
Штатная эксплуатация средств корпоративной ИС |
|
|
|
|
X |
|
Ремонт (плановый и внеплановый), устранение неисправностей |
|
|
X |
|
X |
|
Нештатные ситуации, приводящие к ущербу |
|
|
|
X |
X |
|
Устранение последствий нештатных ситуаций |
|
|
|
|
X |
|
Принятие решений о модернизации корпоративной ИС |
X |
X |
X |
|
|
|
Модернизация корпоративной системы |
|
|
|
X |
|
|
Эксплуатация модернизированной корпоративной ИС |
|
|
|
|
X |
|
Вывод из эксплуатации и замена корпоративной ИС |
|
|
|
|
X |
АУДИТ:
внутренний
или внешний?
Что надо делать при аудите?
Оценить информацию:
• Какая информация используется?
• Какая информация особо критична для бизнеса?
• На сколько эта информация влияет на бизнес? Оценить возможные последствия:
• Каковы возможные финансовые потери?
• Возможна ли дезорганизация управления бизнесом?
• Возможен ли ущерб имиджу? Выбрать необходимый уровень БИ:
• Используя типовые профили (требования)
• Создавая собственные профили (требования) Сравнить реальное и требуемое.
Что надо делать при оценке информации?
Какая информация используется:
• Кому информация принадлежит (право собственности)
• Состав тайны (профессиональная, коммерческая, ноу-хау, пр.)
• Подлежит ли обязательной защите по закону) Какая информация критична для бизнеса:
• Финансовая информация
• Управленческая информация •
Насколько эта информация влияет на бизнес:
• Бесконтрольность в обращении с информацией ведет к материальным и моральным потерям
• Своевременность поступления информации влияет на бизнес, а искажение информации часто хуже, чем ее отсутствие
• Бизнес не может полагаться на информацию с негарантированным содержанием и источником
Что надо делать при оценке последствий?
Каковы возможные финансовые потери:
• Невосполнимый ущерб, приводящий к краху бизнеса
• Ущерб отдельным личностям или элементам бизнеса
• Незначительные потери, не влияющие на бизнес в целом Возможна ли дезорганизация бизнеса:
• Управление бизнесом потеряно полностью,
• Невозможность принятия оперативных решений
• Отрицательное влияние на отношения с партнерами Возможен ли ущерб имиджу:
• Негативная реакция государственных органов и международной общественности
• Широкий резонанс и деструктивная критика в СМИ, приводящая к скандалам, проверкам, обсуждениям
Что надо делать при выборе уровня БИ?
Использовать типовые требования (профили)
• Руководящие Документы Гостехкомиссии России
• Регистр типовых Профилей защиты и Заданий по безопасности
Создавать собственные профили (требования)
• На основе анализа угроз безопасности информации и используя методологию стандарта ИСО/МЭК-15408:2000
Внутренний аудит
Преимущества:
• Лучшая осведомленность о специфике КИС и ее компонентах
• Возможность получить необходимую для проведения аудита информацию с минимальными затратами
• Анализируемая информация и данные о результатах аудита остаются внутри предприятия
Недостатки:
• Субъективность оценки
• Наличие текущих задач у сотрудников (недостаток времени)
• Отсутствие необходимого числа сотрудников нужной квалификации
• Необходимость дополнительного обучения персонала
• Отсутствие обширной базы знаний
Внешний аудит
Преимущества:
• Независимость экспертов
• Наличие специалистов необходимой квалификации
• Наличие отработанных методик проведения аудита
• Наличие опыта и обширной базы знаний
Недостатки:
• Высокая стоимость работ
• Информация о КИС и результаты аудита находятся у сторонней организации
• Проблема правильного выбора Исполнителя
Особенности современных информационных систем
• Множество параметров и процессов, которые слабо фиксируются и описываются
• Количество уязвимостей, приводящих к нарушению безопасности информации постоянно возрастает
• Большинство существующих решений учитывают лишь часть проблем обеспечения безопасности
• Методы защиты информации в основном сводятся к применению определенного набора продуктов
АУДИТ: Реалии
Аудит - это ВАЖНО
Аудит - это НУЖНО
Аудит - это ВЫГОДНО
Реалия 1
это ВАЖНО потому, что:
• Экономический ущерб от нарушений режима безопасности информации постоянно растет
• Рынок средств защиты информации и услуг в развивается и не всегда ясно: что же надо?
• Всегда необходим ответ на вопрос: Что такое хорошо и что такое плохо?
Реалия 2
это НУЖНО потому, что:
• Только независимая экспертиза может дать объективную картину состояния безопасности
• Необходимо оценить все аспекты безопасности информации и определить их взаимосвязь
• Нарушения в этой области латентны и лучше их предотвратить, чем устранять последствия
Реалия 3
это ВЫГОДНО потому, что:
• Появляется стратегия развития безопасности информации на основе реальной картины
• Появляется возможность найти баланс между организационной и технической
составляющей
• Затраты на аудит окупаются в дальнейшем за счет оптимизации обеспечения безопасности
АУДИТ: Заблуждения
• Аудит - это стандарт ISO 17799
• Аудит - это стандарт ISO 15408
• Аудит - это сканирование и IDS
Заблуждение 1
Стандарт ISO 17799:
Скорее необходим для оценки уровня менеджмента безопасностью информации, потому что:
• Дает возможность оценки только состояния УПРАВЛЕНИЯ безопасностью информации
• Не дает возможности оценки реального УРОВНЯ защищенности информационной системы
Всегда остается неразрешенный вопрос:
Достаточно ли принятых мер защиты для обеспечения безопасности информации?
Заблуждение 2
Стандарт ISO 15408:
Крайне необходим при выборе требований по безопасности информации и оценке свойств средств защиты, потому что:
• Определяет только МЕТОДОЛОГИЮ формирования требований к безопасности информации для продуктов и технологий
• Требует разработки Профиля защиты и Задания по Безопасности для оценки правильности реализации функций безопасности
Всегда остается неразрешенный вопрос:
Все ли реальные угрозы на проверяемом объекте учтены и могут быть устранены?
Заблуждение 3
Сканирование и IDS:
Скорее необходимо для подтверждения состояния безопасности, но не достаточно для качественного аудита, потому что:
Все сканеры, как правило, ищут только заранее известные уязвимости, которые внесены в базы знаний
При сканировании всегда остается вероятность выведения из строя оборудования
информационной системы
Всегда остается неразрешенный вопрос:
Если при сканировании не выявлены уязвимости, то их нет на самом деле или их не было на момент проверки?
АУДИТ:
как это происходит?
Аудит: стадийность
• Планирование
• Моделирование
• Тестирование
• Анализ
• Разработка предложений
• Документирование
Аудит: этапы проведения
• сбор необходимых исходных данных и их предварительный анализ
• оценка соответствия состояния защищенности ИС предъявляемым требованиям и стандартам
• формулирование рекомендаций по повышению безопасности информации в обследуемой ИС
Аудит:
результаты
• Оценка текущего уровня защищенности информационных ресурсов
• Количественная (качественная) оценка рисков и потенциального ущерба
• Рекомендации по устранению найденных недостатков и несоответствий
• Оценка наличия необходимых нормативно-распорядительных документов по ИБ и выполнения их предписаний
• Техническое задание на разработку системы безопасности
Комплект документов, необходимый для сертификации ИС на соответствие требованиям международных стандартов
СКОЛЬКО МОЖНО ТРАТИТЬ НА БЕЗОПАСНОСТЬ ИНФОРМАЦИИ ?
• Столько же сколько при страховании имущества (безопасность информации - та же страховка):
• оценка - 2-5 % от стоимости возможных потерь за год
- оценить возможные потери достаточно сложно, кстати, сколько стоит хороший сейф для ценностей?
СКОЛЬКО МОЖНО ТРАТИТЬ НА БЕЗОПАСНОСТЬ ИНФОРМАЦИИ ?
• Столько сколько показывает опыт других, которые УЖЕ добились безопасности информации:
- оценка - 5-15 % от стоимости оборудования ИС
- оценить достаточно просто, кстати, заранее известно сколько стоит сейф требуемой надежности.