Обзор подготовлен При поддержке
CNewsAnalytics IT Expert

Аудит безопасности: реалии и заблуждения

Аудит безопасности: реалии и заблуждения

Начиная данную статью, сразу же оговоримся, что речь пойдет именно об аудите безопасности, а не об аудите информационных систем. Мы твердо стоим на той позиции, что эти два понятия необходимо разделять. Ибо, подходя к проведению аудита безопасности, мы уже априори считаем, что информационная система существует, настроена правильно или, как минимум, устраивает ее пользователя. Ниже мы попытаемся предотвратить взращивание очередной «химеры» на рынке информационной безопасности, то есть показать реалии и заблуждения на этот счет

Сегодня аудит стараются возвести в статус панацеи от всего — каковой ранее считали шифрование и межсетевое экранирование. Сейчас, наверное, только самая ленивая компания на рынке информационной безопасности не предлагает своим заказчикам провести аудит. А вот вкладывают в это понятие — кто что придется. Говоря об аудите в области безопасности информации, наверное, все-таки будет правильнее назвать это комплексным обследованием объекта информатизации. Термин «аудит» в нашей стране имеет все-таки финансовое значение и определен законом об аудите. Хотя, раз уж прижился термин в «ИТ-шном мире» — почему нет?

Перед тем, как рассуждать о реалиях и заблуждениях касательно аудита в области безопасности информации, необходимо сначала определиться, с тем, что мы под этим понимаем, дабы сразу расставить все точки и не дать повода для неправильного толкования нашей позиции.

Итак, аудит безопасности информации — системный процесс получения и оценки объективных данных о текущем состоянии обеспечения безопасности информации на объектах, действиях и событиях, происходящих в проверяемой информационной системе, определяющих уровень их соответствия определенному критерию. Целью его является обследование процессов обеспечения безопасности информации при выполнении информационной системой своего главного предназначения — информационного обеспечения пользователей.

На этом моменте хотелось бы заострить внимание — нельзя безопасность информации ставить во главу угла, как бы важна не была ее роль. Не удивляйтесь, что эти слова Вы слышите из уст именно профессиональных «безопасников». Одним из весомых показателей профессионализма является объективность, и мы еще раз подчеркиваем, что главной задачей является именно обеспечение бизнеса необходимой ему информацией. Другое дело, что для эффективного ведения бизнеса информация должна быть целостной, конфиденциальной и доступной, а здесь уже без обеспечения безопасности информации не обойтись, но, тем не менее, это все-таки только «боевое обеспечение».

Итак, вернемся к аудиту. Мы определили, что это комплекс мероприятий направленных на оценку существующего положения на объекте информатизации (например, это может быть корпоративная информационная система). Здесь можно добавить, что на руку поляризации аудита сыграли особенности современных информационных систем. Их довольно много, но наиболее значительные можно выделить следующие:

  • Множество параметров и процессов, которые слабо фиксируются и описываются
  • Количество уязвимостей, приводящих к нарушению безопасности информации постоянно возрастает
  • Большинство существующих решений учитывают лишь часть проблем обеспечения безопасности
  • Методы защиты информации в основном сводятся к применению определенного набора продуктов

В чем же на сегодняшний день заключаются реалии аудита? Можно выделить три основных момента, к которым на сегодняшний день подошел ИТ рынок:

    Аудит это важно, потому что:
  • Экономический ущерб от нарушений режима безопасности информации постоянно растет
  • Рынок средств защиты информации и услуг развивается и не всегда ясно: что же надо?
  • Всегда необходим ответ на вопрос: Что такое хорошо и что такое плохо?
    Аудит это нужно, потому что:
  • Только независимая экспертиза может дать объективную картину состояния безопасности
  • Необходимо оценить все аспекты безопасности информации и определить их взаимосвязь
  • Нарушения в этой области латентны, и лучше их предотвратить, чем устранять последствия
    Аудит это выгодно, потому что:
  • Появляется стратегия развития безопасности информации на основе реальной картины
  • Появляется возможность найти баланс между организационной и технической составляющей
  • Затраты на аудит окупаются в дальнейшем за счет оптимизации обеспечения безопасности

Три распространенных заблуждения на счет аудита

Первое заблуждение состоит в том, что многие думают что аудит — это стандарт ISO 17799. Сейчас модно стало смотреть в сторону международных стандартов, и ничего плохого в этом, собственно говоря, нет. Однако если о говорить о качественном аудите безопасности, то ISO17799 скорее необходим для оценки уровня меджемента безопасностью информации, потому что, во-первых, дает возможность оценки только состояния УПРАВЛЕНИЯ безопасностью информации, а во-вторых, не дает возможности оценки реального УРОВНЯ защищенности информационной системы. Поэтому всегда остается неразрешенный вопрос: достаточно ли принятых мер защиты для обеспечения безопасности информации?

Второе заблуждение, что аудит — это стандарт ISO 15408. С учетом популярности этой темы сегодня, он, конечно, даст фору ISO 17799. Но этот стандарт также не может в полной мере определить требования к аудиту, т.к. определяет только МЕТОДОЛОГИЮ формирования требований к безопасности информации для продуктов и технологий. Кроме того, он требует разработки профиля защиты и задания по безопасности для оценки правильности реализации функций безопасности. Таким образом, остается вопрос: все ли реальные угрозы на проверяемом объекте учтены и могут быть устранены?

Третье распространенное заблуждение, что аудит — это сканирование и IDS. Сканирование скорее необходимо для подтверждения состояния безопасности, но не достаточно для качественного аудита, потому что все сканеры, как правило, ищут только заранее известные уязвимости, которые внесены в базы знаний. Кроме того, при сканировании всегда остается вероятность выведения из строя оборудования информационной системы. И в результате всегда остается неразрешенный вопрос: если при сканировании не выявлены уязвимости, то их нет на самом деле или их не было на момент проверки?

Виды аудита безопасности информации

Можно выделить несколько видов аудита в области безопасности информации, однако стоит отметить, что отличаются они только по цели, а методика их проведения абсолютно идентична.

Итак виды аудита:

  • первоначальное обследование (первичный аудит)
  • предпроектное обследование (технический аудит)
  • аттестация объекта
  • сюрвей
  • контрольное обследование

Первоначальное обследование проводится на той стадии, когда заказчик принимает решение о защите своей информации. На этом этапе заказчику необходимо получить ответ на вопросы — что у него есть реально, на сколько это соответствует определенным требованиям и критериям и после этого получить общее видение проблемы и направление ее решения. Результатом этого аудита может явиться концепция информационной безопасности предприятия, т.е. та система взглядов, которая позволит выстроить грамотную защиту информации. Из концепции может родиться политика безопасности — по сути, набор правил безопасности, выполнение которых можно требовать от всех участников информационного обмена.

Мы провели первичное обследование, собрали некоторые данные, получили общую картину состояния, выработали некоторую систему взглядов, о том, что нам теперь делать. Далее наступает технический аудит.

При проведении технического аудита берется имеющаяся или проектируемая информационная система и сравнивается с моделью угроз данного объекта, и определяете, какие требования должны быть заложены. Результатом технического аудита может явится набор требований к системе информационной безопасности. Если говорить о программно-аппаратных средствах защиты, то это может быть профиль защиты или техническое задание. А также мы определяем комплекс организационных мероприятий, уровень защиты, и т.д.

После того как систему безопасности информации построили, заказчик может убедиться, а действительно ли исполнитель сделал систему, удовлетворяющую требованиям. Здесь вступает следующая стадия аудита — аттестация объекта.
Результатом аттестации является строго определенный документ — аттестат соответствия. Это государственный документ, подтверждающий соответствию государственным требованиям, т.е. ГОСТу, руководящим документам и т.д. Другой вариант, если заказчик хочет убедится только для себя. В таком случае результатом может быть заключение, эксперта которому он доверяет.

Если собственник информации осознал ценность своей информации, а после первичного обследования пришел к выводу, что в результате потери информации возможны значительные финансовые потери, он может задуматься над возможностью компенсации ущерба. И одним из вариантов является страхование информационных рисков. И в таком случае проводится следующая форма аудита безопасности — сюрвей.

Это специфическая форма, но все-таки форма аудита (или обследования). Сюрвей проводится с целью предстрахового обследования. И особенностью сюрвея является то, что результаты обследования передаются третей стороне — страховой компании, для определения размера страхового взноса. Результатом является сюрвей-рипорт (экспертное заключение).

Последняя форма аудита — контрольное обследование — проводится в основном в двух критических случаях. Первый случай, это если произошло событие приведшее к потере (утрате, искажению и т.д.) информации, и в данном случае необходимо выяснить причины происшедшего. И второй случай — это плановое контрольное обследование с целью проверки соблюдения правил безопасности информации.

Методика проведения аудита

Теперь можно перейти к методам проведения аудита, точнее, к методике. К сожалению, все имеющиеся на сегодняшний день методики (преимущественно иностранные) позволяют получить только лишь качественную оценку. Например, Guide to BS 7799 risk assessment and risk management. — DISC, PD 3002, 1998 ,Guide to BS 7799 auditing.о — DISC, PD 3004, 1998 (на основе стандартов BS 7799 и ISO/IEC 17799–00).

Мы уже говорили о том, что сам стандарт BS 7799 и ISO/IEC 17799–00 позволяет оценить только состояние управления безопасностью информации и не дает возможности оценить реальный уровень защищенности информационной системы. В данных методиках оценка безопасности информации проводится по 10 ключевым контрольным точкам, которые представляют собой либо обязательные требования (требования действующего законодательства), либо считаются основными структурными элементами информационной безопасности (к примеру, обучение правилам безопасности). Эти контрольные точки применимы ко всем организациям. К ним относятся:

  • документ о политике информационной безопасности;
  • распределение обязанностей по обеспечению информационной безопасности;
  • обучение и подготовка персонала к поддержанию режима информационной безопасности;
  • уведомление о случаях нарушения защиты;
  • средства защиты от вирусов;
  • планирование бесперебойной работы организации;
  • контроль копирования ПО, защищенного законом об авторском праве;
  • защита документации организации;
  • защита данных;
  • контроль соответствия политике безопасности.

Процедура аудита безопасности ИС включает в себя проверку наличия перечисленных ключевых точек, оценку полноты и правильности их реализации, а также анализ их адекватности существующим рискам. Такой подход может дать ответ только на уровне «это хорошо, а это плохо». А вопросы — «насколько плохо или хорошо», «до какой степени критично или некритично» — остаются без ответа. Поэтому нами была разработана методика, которая выдает руководителю количественный итог, полную картину ситуации, цифрами подтверждая рекомендации специалистов, отвечающих за обеспечение безопасности информации в компании. Рассмотрим, что же легло в основу такой методики.

Деятельность всех организаций по обеспечению информационной безопасности направлена только на то, чтобы не допустить убытков от потери конфиденциальной информации. Соответственно, уже предполагается наличие ценной информации, из-за потери которой компания может понести убытки, и мы получаем цепочку: источник угрозы — фактор (уязвимость) — угроза (действие) — последствия (атака).

Угрозы и уязвимости ИС

Сегодня угрозу безопасности информации отождествляют обычно либо с характером (видом, способом) дестабилизирующего воздействия на информацию, либо с последствиями (результатами) такого воздействия. Однако практика свидетельствует, что о том, что такого рода сложные термины могут иметь большое количество трактовок и возможен иной подход к определению угрозы безопасности информации, базирующийся на понятии «угроза».

«Угроза» — намерение нанести физический, материальный или иной вред общественным или личным интересам, возможная опасность (С. И. Ожегов, Словарь русского языка), иначе говоря, понятие угроза жестко связано с юридической категорией «ущерб» — фактические расходы, понесенные субъектом в результате нарушения его прав (например, разглашения или использования нарушителем конфиденциальной информации), утраты или повреждения имущества, а также расходы, которые он должен будет произвести для восстановления нарушенного права и стоимости поврежденного или утраченного имущества (ГК ФР, часть I, ст.15).

Анализ негативных последствий реализации угроз предполагает обязательную идентификацию возможных источников угроз, уязвимостей, способствующих их проявлению и методов реализации. И тогда цепочка вырастает в схему, представленную на рис. 1.

Модель реализации угроз ИБ
Рис. 1.

В ходе анализа необходимо убедиться, что все возможные источники угроз и уязвимости идентифицированы и сопоставлены друг с другом, а всем идентифицированным источникам угроз и уязвимостям (факторам) сопоставлены методы реализации. При этом важно иметь возможность, при необходимости, не меняя самого методического инструментария, вводить новые виды источников угроз, методов реализации, уязвимостей, которые станут известны в результате развития знаний в этой области.

Угрозы классифицируются по возможности нанесения ущерба субъекту отношений при нарушении целей безопасности. Ущерб может быть причинен каким-либо субъектом (преступление, вина или небрежность), а также стать следствием, независящим от субъекта проявлений. Угроз не так уж и много:

  • при обеспечении конфиденциальности информации:
    • хищение (копирование) информации и средств ее обработки
    • утрата (неумышленная потеря, утечка) информации
  • при обеспечении целостности информации:
    • модификация (искажение) информации
    • отрицание подлинности информации
    • навязывание ложной информации
  • при обеспечении доступности информации:
    • блокирование информации
    • уничтожение информации и средств ее обработки

Все источники угроз можно разделить на классы, обусловленные типом носителя, а классы на группы по местоположению (Рис. 2).

Уязвимости также можно разделить на классы по принадлежности к источнику уязвимостей, а классы на группы и подгруппы по проявлениям (рис. 3).

Методы реализации можно разделить на группы по способам реализации (рис. 4). При этом необходимо учитывать, что само понятие «метод», применимо только при рассмотрении реализации угроз антропогенными источниками. Для техногенных и стихийных источников, это понятие трансформируется в понятие «предпосылка».

Классификация возможностей реализации угроз (атак), представляет собой совокупность возможных вариантов действий источника угроз определенными методами реализации с использованием уязвимостей, которые приводят к реализации целей атаки. Цель атаки может не совпадать с целью реализации угроз и может быть направлена на получения промежуточного результата, необходимого для достижения в дальнейшем реализации угрозы. В случае такого несовпадения атака рассматривается как этап подготовки к совершению действий, направленных на реализацию угрозы, то есть как «подготовка к совершению» противоправного действия. Результатом атаки являются последствия, которые являются реализацией угрозы и/или способствуют такой реализации.

Сам подход к анализу и оценке состояния безопасности информации основывается на вычислении весовых коэффициентов опасности для источников угроз и уязвимостей, сравнения этих коэффициентов с заранее заданным критерием и последовательном сокращении (исключении) полного перечня возможных источников угроз и уязвимостей до минимально актуального для конкретного объекта.

Роман Кобцев, Сергей Вихорев

Вернуться на главную страницу обзора

Версия для печати

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS