Аудит системи інформаційної безпеки
Вступ
Аудит інформаційної безпеки — це системний процес отримання об’єктивних якісних та кількісних оцінок поточного стану інформаційної системи відповідно до критеріїв інформаційної безпеки з метою підвищення ефективності і рентабельності економічної діяльності організації.
Існують наступні види аудиту інформаційної безпеки:
Експертний аудит інформаційної безпеки (виявляються недоліки в системі заходів захисту інформації, спираючись на досвід експертів, що беруть участь у процедурі аудиту);
Під час експертного аудиту інформаційної безпеки проводиться обстеження інформаційно-телекомунікаційної системи, яке включає:
- обстеження інформаційного середовища;
- обстеження фізичного середовища;
- обстеження технологічного середовища;
- обстеження середовища користувачів.
За результатами експертного аудиту складається звіт та розробляються рекомендації з нейтралізації виявлених вразливостей.
1. Поняття аудиту інформаційної безпеки
На сьогоднішній день автоматизовані системи (АС) грають ключову роль в забезпеченні ефективного виконання бізнес-процесів як комерційних, так і державних підприємств. Разом з тим повсюдне використання АС для зберігання, обробки і передачі інформації приводить до підвищення актуальності проблем, пов’язаних з їх захистом.
Підтвердженням цьому служить той факт, що за останні декілька років, як в Росії, так і в провідних зарубіжних країнах має місце тенденція збільшення числа інформаційних атак, що приводять до значних фінансових і матеріальних втрат.
Для того, щоб гарантувати ефективний захист від інформаційних атак зловмисників компаніям необхідно мати об’єктивну оцінку поточного рівня безпеки АС. Саме для цих цілей і застосовується аудит безпеки, різні аспекти якого розглядаються в рамках справжньої статті.
Не дивлячись на те, що в даний час ще не сформувалося сталого визначення аудиту безпеки, в загальному випадку його можна представити у вигляді процесу збору і аналізу інформації про АС, необхідною для подальшого проведення якісної або кількісної оцінки рівня захисту від атак зловмисників.
Існує безліч випадків, в яких доцільно проводити аудит безпеки. Ось лише деякі з них:
- аудит АС з метою підготовки технічного завдання на проектування і розробку системи захисту інформації;
- аудит АС після впровадження системи безпеки для оцінки рівня її ефективності;
- аудит, направлений на приведення системи безпеки, що діє, у відповідність вимогам російського або міжнародного законодавства;
- аудит, призначений для систематизації і впорядковування існуючих заходів захисту інформації;
- аудит в цілях розслідування інциденту, що відбувся, пов’язаного з порушенням інформаційної безпеки.
Як правило, для проведення аудиту притягуються зовнішні компанії, які надають консалтингові послуги в області інформаційної безпеки. Ініціатором процедури аудиту може бути керівництво підприємства, служба автоматизації або служба інформаційної безпеки. У ряді випадків аудит також може проводитися на вимогу страхових компаній або регулюючих органів.
Аудит безпеки проводиться групою експертів, чисельність і склад якої залежить від цілей і завдань обстеження, а також складності об’єкту оцінки.
В даний час можна виділити наступні основні види аудиту інформаційної безпеки:
- експертний аудит безпеки, в процесі якого виявляються недоліки в системі заходів захисту інформації на основі наявного досвіду експертів, що беруть участь в процедурі обстеження;
- оцінка відповідності рекомендаціям Міжнародного стандарту ISO 17799, а також вимогам керівних документів ФСТЕК (Держтехкомісії);
- інструментальний аналіз захищеності АС, направлений на виявлення і усунення вразливостей програмно-апаратного забезпечення системи;
- комплексний аудит, що включає всі вищеперераховані форми проведення обстеження.
Кожний з вищеперерахованих видів аудиту може проводитися окремо або в комплексі залежно від тих завдань, які необхідно вирішити підприємству. Як об’єкт аудиту може виступати як АС компанії в цілому, так і її окремі сегменти, в яких проводиться обробка інформації, належному захисту.
2. Особливості проведення аудиту інформаційної безпеки та інформаційних технологій
Питання, пов’язані із внутрішнім контролем бізнес-процесів організації, її фінансово-господарської діяльності й інформаційних технологій виникають постійно. У пошуку відповідей на ці питання керівники організацій створюють власні служби внутрішнього аудита, запрошуються аудиторські компанії, звертаються до консультантів. Аналізу підлягають наступні об’єкти:
1) бізнес-архітектура: оцінюється рівень зрілості інформаційної системи (наскільки її
функціональність покриває потреби бізнес-напрямків);
2) прикладна архітектура: аналізується схема взаємодії прикладних систем, склад архітектури
даних;
3) інфраструктура: визначається рівень відповідності ІТ-інфраструктури вимогам продуктивності/надійності;
4) керування ІТ, у тому числі керування внутрішніми ІТ-проектами організації;
5) ризики й фактори успіху: надаються висновки про виявлені проблеми й причини їхнього
виникнення, а також про позитивні рішення й тенденції.
Для рішення завдання, пов’язаного зі створенням власної служби внутрішнього аудита, організація на певному етапі оцінює економічну ефективність подібної служби, яка покликана стати додатковим джерелом інформації для керівника, що приймає рішення. Якщо служба внутрішнього аудита визнається економічно ефективною для організації, то вона створюється, якщо неефективною, то запрошуються зовнішні консультанти або аудитори для проведення робіт.
Незалежно від результатів вибору з перерахованих вище можливостей перед керівником незаперечно виникає ще одна проблема: необхідність вибору методологічного засобу, на основі якого буде побудована система керування й контролю і яке буде робочим інструментом служби внутрішнього ІТ-аудита. На сьогоднішній день такі стандарти, як ISO, ITIL та інші, уже застосовуються у світовій практиці, більше того, інтерес до них незмінно росте. Всі вони практично рівною мірою наділені певними перевагами й недоліками, насамперед через функціональну спрямованість і специфічну область застосування.
Ефективна система керування й контролю ІТ вирішує не тільки внутрішні проблеми, але й дозволяє підвищити інвестиційну привабливість організації, представляючи її для інвестора як «відкриту» фінансову систему. Одне з рішень — впровадження стандарту COBIT, що формалізує не тільки конкретні проекти в сфері ІТ, але й створює те ядро керування й контролю ІТ, навколо якого вибудовуються виробничі процеси організації з максимально можливим рівнем ефективності.
ІТ аудит — це комплексне дослідження й аналіз діючої ІТ-інфраструктури організації, що дозволить вирішувати виниклі питання, визначити якість ІТ-інфраструктури і виявити її відповідність завданнями бізнесу; встановлення рівня її відповідності заданим критеріям; оцінка ефективності використання.
Аудит ІТ-інфраструктури потрібний якщо: використається безліч різнорідних інформаційних систем і додатків і з’явилися труднощі з їхньою інтеграцією; ІТ-інфраструктура не справляється зі збільшеними обсягами завдань; компанія хоче застосовувати інноваційні технології для досягнення конкурентних переваг і хоче одержати реальну віддачу від інвестицій в ІТ; необхідно оцінити якість робіт зі створення/модернізації ІТ-інфраструктури.
Професійно проведений аудит інформаційних систем (ІС) є запорукою успішного рішення проблем в ІТ-інфраструктурі підприємства. Аудит ІС дозволить відповісти на наступні питання:
1) чи відповідає використовувана ІС цілям і завданням організації, яка роль ІС у діяльності
організації;
2) яка структура комплексу апаратно-програмних засобів і використовуваних ІС;
3) який техніко-технологічний рівень використовуваних ІТ, чи задовольняє він сучасним вимогам;
4) який ступінь захисту конфіденційних даних, що циркулюють у використовуваних ІС, і які шляхи мінімізації ризиків витоку цих даних;
5) яка надійність функціонування ІС, а також шляхи мінімізації ризиків виникнення різних збоїв апаратного й програмного характеру;
6) наскільки існуючі ІС виправдують вкладені в них інвестиції;
7) чи відповідає кваліфікація співробітників відділу технічної підтримки необхідним вимогам по супроводу ІС підприємства;
8) які критерії ефективності функціонування ІС підприємства, по яких можна судити про можливість використання існуючого устаткування і ПО, або необхідності їхньої модернізації й заміни;
9) чи потрібна негайна модернізація ІТ-інфраструктури або поступовий перехід до більше просунутих технологій.
Використання стандарту COBIT для аудита ІС дозволяє зв’язати керування інформаційними технологіями з бізнес-завданнями підприємства. У рамках цієї методології відбувається аналіз наступних ресурсів:
1) трудові ресурси — керівництво, штатний і позаштатний персонал організації; розглядаються їх навички, розуміння завдань і продуктивність роботи;
2) додатки — прикладне програмне забезпечення, що використовується в роботі організації;
3) технології — операційні системи, бази даних, системи керування та ін.;
4) устаткування — апаратні засоби ІС організації, з урахуванням їх обслуговування;
5) інформація — записи, документи, зовнішня й внутрішня, структурована й неструктурована, текстова й графічна, мультимедіа та ін.
Аналіз здійснюється з використанням наступних критеріїв оцінки:
1) ефективність — критерій, що визначає доречність і відповідність інформації завданням бізнесу;
2) технічний рівень — критерій відповідності стандартам і інструкціям;
3) безпека — захист інформації;
4) цілісність — точність і закінченість інформації;
5) придатність — доступність інформації необхідним бізнес-процесам у сьогоденні й майбутньому,
а також захист необхідних і супутніх ресурсів.
В загальному випадку аудит безпеки, незалежно від форми його проведення, складається з чотирьох основних етапів, кожний з яких передбачає виконання певного круга завдань.
На першому етапі спільно із Замовником розробляється регламент, що встановлює склад і порядок проведення робіт. Основне завдання регламенту полягає у визначенні меж, в рамках яких буде проведено обстеження. Регламент є тим документом, який дозволяє уникнути взаємних претензій по завершенню аудиту, оскільки чітко визначає обов’язки сторін.
Як правило, регламент містить наступну основну інформацію:
- склад робочих груп від Виконавця і Замовника, що беруть участь в процесі проведення аудиту;
- перелік інформації, яка буде надана Виконавцеві для проведення аудиту;
- список і місцеположення об’єктів Замовника, що підлягають аудиту;
- перелік ресурсів, які розглядаються як об’єкти захисту (інформаційні ресурси, програмні ресурси, фізичні ресурси і т.д.);
- модель погроз інформаційній безпеці, на основі якої проводиться аудит;
- категорії користувачів, які розглядаються як потенційні порушники;
- порядок і час проведення інструментального обстеження автоматизованої системи Замовника.
На другому етапі, відповідно до узгодженого регламенту, здійснюється збір початкової інформації. Методи збору інформації включають інтерв′ювання співробітників Замовника, заповнення опитних листів, аналіз наданої організаційно-розпорядливої і технічної документації, використання спеціалізованих інструментальних засобів.
Третій етап робіт припускає проведення аналізу зібраної інформації з метою оцінки поточного рівня захищеності АС Замовника. За наслідками проведеного аналізу на четвертому етапі проводиться розробка рекомендацій по підвищенню рівня захищеності АС від погроз інформаційній безпеці.
Нижче в докладнішому варіанті розглянуті етапи аудиту, пов’язані із збором інформації, її аналізом і розробкою рекомендацій по підвищенню рівня захисту АС.
Якість аудиту безпеки, що проводиться, багато в чому залежить від повноти і точності інформації, яка була отримана в процесі збору початкових даних.
Тому інформація повинна включати: існуючу організаційно-розпорядливу документацію, що стосується питань інформаційної безпеки, відомості про програмно-апаратне забезпечення АС, інформацію про засоби захисту, встановлені в АС і т.д.
Висновки
Після збору необхідної інформації проводиться її аналіз з метою оцінки поточного рівня захищеності системи. В процесі такого аналізу визначаються ризики інформаційної безпеки, яким може бути схильна компанія. Фактично ризик є інтегральною оцінкою того, наскільки ефективно існуючі засоби захисту здатні протистояти інформаційним атакам.
Зазвичай виділяють дві основні групи методів розрахунку ризиків безпеки. Перша група дозволяє встановити рівень ризику шляхом оцінки ступеня відповідності певному набору вимог по забезпеченню інформаційної безпеки.
Аудит — це системний процес одержання й оцінки об’єктивних даних про поточний стан ІТС та системи захисту інформації, діях і подіях, що відбуваються в ній, що встановлює рівень її відповідності вимогам нормативної документації в області інформаційної безпеки та рівень ефективності КСЗІ.
Варто також відзначити момент перевірки системи, оскільки від якості й частоти її проведення може відповідно понизиться або підвищиться якість всієї системи.
Перевірки можуть проводитися в будь-який час і з будь-якою періодичністю залежно від конкретної ситуації. У деяких системах вони повинні бути убудовані в автоматизовані процеси з метою забезпечення негайного виконання й реагування. Для інших процесів реагування потрібно тільки у випадку інцидентів безпеки, коли в захищені інформаційні ресурси були внесені зміни або доповнення, а також коли відбулися зміни погроз і вразливостей. Необхідні щорічні або іншої періодичності перевірки або аудити, щоб гарантувати, що система управління в цілому досягає своїх цілей.
Список використаної літератури
- Богуш В. Інформаційна безпека держави: підручник / Володимир Богуш, Олександр Юдін,; Гол. ред. Ю. О. Шпак, 2005. — 432 с.
- Василюк В. Я. Інформаційна безпека держави: Курс лекцій: Для студентів, які навчаються за спеціальностями » Організація захисту інформації з обмеженим доступом», «Правознавство» / В. Я. Василюк, С. О. Климчук, 2008. — 135 с.
- Зацеркляний М. М. Основи економічної безпеки: навчальний посібник / М. М. Зацеркляний, О. Ф. Мельников, 2009. — 337 с.
- Інформаційна політика України: Європейський контекст / Леонід Губерський, Євген Камінський, Євгенія Макаренко и др., 2007. — 358 с.
- Кормич Б. Інформаційна безпека: організаційно-правові основи: Навчальний посібник / Борис Кормич,, 2005008. — 382 с.
- Ліпкан В. А. Інформаційна безпека України в умовах євроінтеграції [Текст] : Навчальний посібник / В. А. Ліпкан, Ю. Є. Максименко, В. М. Желіховський, 2006. — 279 с.
- Основи інформаційної безпеки та захисту інформації у контексті євроатлантичної інтеграції України: Науково-методологічний посібник / А. В. Анісімов, В. А. Заславський, О. М. Фаль ; за заг. ред. : В. П. Горбуліна, 2006. — 103 с.
- Пєвцов Г. Інформаційна безпека регіону: проблема, концепція та шляхи її реалізації / Геннадій Пєвцов, Олександр Черкасов, 2008. — 135 с.