Вступ

Актуальність теми. Становлення ринкової економіки і поява багатьох юридично відокремлених суб’єктів господарювання, у яких перетинаються інтереси багатьох зацікавлених сторін, зумовили необхідність незалежного фінансового контролю. Такий різновид зовнішнього контролю у світовій практиці має назву незалежного аудиту. Визначень аудиту є багато, і в кожному з них викладається сутність, призначення і мета проведення аудиту, проте єдиної думки про поняття аудиту і його завдання у вітчизняних і зарубіжних вчених немає.

Однією з найважливіших частин інформаційної інфраструктури сучасних підприємств і багатьох державних організацій є інформаційно-комунікаційні системи та мережі (ІКСМ), які давно перейшли до розряду критичних для забезпечення безперервного і надійного захисту інформаційних ресурсів та процесів. Вихід з ладу такої системи або спотворення підсистеми доступу до інформаційних ресурсів фактично означає зупинку діяльності всієї організації.

В умовах функціонування автоматизованих інформаційних систем зазнають певних змін основні принципи аудиту. Відповідно застосування ІКСМ може вплинути на:

— процедури, яких дотримується аудитор у процесі одержання достатнього уявлення про системи бухгалтерського обліку і внутрішнього контролю;

— аналіз властивого ризику і ризику системи контролю, за допомогою чого аудитор проводить оцінку ризику;

— розробку і здійснення аудитором тестів системи контролю і процедур перевірки по суті, необхідних для досягнення цілей аудиту.

Тому мета нашої роботи дослідити значення аудиту системи інформаційної безпеки.

Розділ 1. Теоретичні аспекти аудиту ефективності й безпечності інформаційної системи

1.1. Поняття аудиту системи інформаційної безпеки

Темпи розвитку сучасних інформаційних технологій значно випереджають темпи розробки рекомендаційної й нормативно-правової бази керівних документів, що діють на території Росії. Тому рішення питання про оцінку рівня захищеності інформаційних активів компанії обов’язково пов’язане із проблемою вибору критеріїв і показників захищеності, а також ефективності корпоративної системи захисту інформації. Внаслідок цього, на додаток до вимог і рекомендацій стандартів, Конституції й федеральних законів, що керують документів Держтехкоміссії України, доводиться використовувати ряд міжнародних рекомендацій. У тому числі адаптувати до вітчизняних умов і застосовувати на практиці методики міжнародних стандартів, таких, як ІSO 17799, 9001 15408, BSІ й інші, а також використовувати методики керування інформаційними ризиками в сукупності з оцінками економічної ефективності інвестицій у забезпечення захисту інформації компанії.

Не дивлячись на те, що в даний час ще не сформувалося сталого визначення аудиту безпеки, в загальному випадку його можна представити у вигляді процесу збору і аналізу інформації про АС, необхідною для подальшого проведення якісної або кількісної оцінки рівня захисту від атак зловмисників.

Існує безліч випадків, в яких доцільно проводити аудит безпеки. Ось лише деякі з них:

• аудит АС з метою підготовки технічного завдання на проектування і розробку системи захисту інформації;
• аудит АС після впровадження системи безпеки для оцінки рівня її ефективності;
• аудит, направлений на приведення системи безпеки, що діє, у відповідність вимогам російського або міжнародного законодавства;
• аудит, призначений для систематизації і впорядковування існуючих заходів захисту інформації;
• аудит в цілях розслідування інциденту, що відбувся, пов′язаного з порушенням інформаційної безпеки.

Як правило, для проведення аудиту притягуються зовнішні компанії, які надають консалтингові послуги в області інформаційної безпеки. Ініціатором процедури аудиту може бути керівництво підприємства, служба автоматизації або служба інформаційної безпеки. У ряді випадків аудит також може проводитися на вимогу страхових компаній або регулюючих органів.

Аудит безпеки проводиться групою експертів, чисельність і склад якої залежить від цілей і завдань обстеження, а також складності об’єкту оцінки.

Аналітичні роботи в області інформаційної безпеки можуть проводитися по наступних напрямках [5]:

1) «Комплексний аналіз інформаційних систем компанії й підсистеми інформаційної безпеки на правовому, методологічному, організаційно-управлінському, технологічному й технічному рівнях. Аналіз ризиків».

2) «Розробка комплексних рекомендацій з методологічного,   організаційно-управлінського,   технологічного, загальтехнічного й програмно-апаратному забезпеченню режиму ІС компанії»,

3) «Організаційно-технологічний аналіз ІС компанії»;

4) «Експертиза рішень і проектів».

5) «Роботи з аналізу документообігу й поставці типових комплектів організаційно-розпорядницької документації».

6) «Роботи, що підтримують практичну реалізацію плану захисту».

7) «Підвищення кваліфікації й перепідготовка фахівців».

Рис. 1. Етапи здійснення аудиту інформаційних систем

1.2. Напрями аудиту інформаційних систем

Для перевірок ефективності й безпечності інформаційної системи як такої здійснюють комп’ютерний аудит інформаційної системи. Під ним мається на увазі оцінка поточного стану комп’ютерної системи на відповідність певному стандарту або запропонованим вимогам [6]. Цей термін використовується насамперед спеціалістами з загальної безпеки комп’ютерних інформаційних систем і у вузькому значенні не стосується аудиту фінансової звітності. Такий аудит не спрямований на пропонування конкретного рішення, він дає можливість поглянути на інфор­маційну систему комплексно, виявити проблемні місця, сформувати обґрунтовані рекомендації для ухвалення рішення про усунення недоліків [8], включає декілька напрямів (рис. 2).

Аудит технічного стану інформаційної системи спрямований на зменшення втрат, викликаних системними збоями. Збої можуть стати причиною відчутних втрат підприємств. Враховуючи, що в інформаційних системах, в яких не налагоджені належні процеси контролю і попередження можливих причин збоїв, вони виникають в найвідповідальніші, а отже, і найнапруженіші моменти, втрати можуть виливатися у величезні суми. Скорочення таких втрат можна досягти шляхом комплексного дослідження технічного стану всіх компонентів інформаційної системи. Аудит технічного стану інформаційної системи, перш за все, призначений для оцінки поточного стану інформаційної системи з метою реконструкції і модернізації, щоб підготуватися до розширення інформаційної системи і впровадження нових технологій. Його проведення дає змогу також організувати і налагодити підтримку інформаційної системи та розробити корпоративні стандарти підтримки інформаційної системи.

Аудит технічного стану інформаційної системи включає проведення таких заходів, як облік наявних на підприємстві апаратних засобів, програмного забезпечення, периферійних пристроїв і аналіз побудови структурованої кабельної системи, мереж передачі даних, функціонування ІТ-служби підприємства, технічних параметрів ефективності роботи інформаційної системи, її надійності та безпеки.

Аудит ефективності інформаційної системи дає можливість підприємству оцінити сукупну вартість володіння інформаційною системою і порівняти показники досліджуваної системи з лідером в цій галузі, а також оцінити строки повернення інвестицій при вкладенні коштів в інформаційну систему, розробити оптимальну схему вкладень, здійснити ефективне витрачання коштів на обслуговування й підтримку, понизити виробничі витрати. Цей вид аудиту включає такі частини інформаційної системи підприємства, як апаратні засоби, програмне забезпечення, периферійні пристрої, ІТ-персонал компанії, а також документи, бізнес-процеси, інформаційні потоки, користувачі.

У результаті проведення такого аудиту підприємству-клієнту надається перелік звітності, що включає підсумковий звіт з рекомендаціями щодо оптимізації інформаційної системи і звіт за наслідками розрахунку сукупної вартості володіння.

Результати аудиту інформаційної безпеки дають змогу побудувати оптимальну за ефективністю й витратами корпоративну систему захисту інформації, адекватну завданням і меті бізнесу. Аудит інформаційної безпеки не обмежується перевіркою тільки фізичної безпеки, наявні методики дають можливість проаналізувати бізнес-процеси і визначити основні інформаційні потоки компанії, які мають бути захищені.

При проведенні аудиту інформаційної безпеки виявляється поточний стан системи безпеки і визначаються найкритичніші ділянки системи, перевіряється відповідність наявної в компанії системи захисту інформації вимогам інформаційної безпеки, що висуваються до неї, оцінюється ефективність вкладень в корпоративну систему захисту інформації. Аудит включає такі етапи:

— комплексна перевірка рівнів забезпечення інформаційної безпеки;

— аналіз інформаційних ризиків;

— аналіз системи захисту зовнішніх мереж;

— аналіз системи контролю інформації, яка передається через телефонні з’єднання та електронною поштою;

— визначення можливих каналів просочування конфіденційної інформації.

У перелік матеріалів, що надаються за підсумками аудиту, входять також звіт про поточний стан системи інформаційної безпеки й ефективність вкладень в систему інформаційної безпеки, а також рекомендації щодо політики безпеки і плану інформаційного захисту.

Якщо підприємство починає великі проекти модернізації інформаційної системи підприємства, використовує послуги системних інтеграторів з метою визначення реальних строків і вартості проектів перед початком робіт або ставить перед собою мету контролю проектів впровадження в своїх філіях і дочірніх компаніях, застосовується аудит проектів впровадження і реінжинірингу. Він дає змогу оцінити ризики впровадження або реінжинірингу інформаційної системи, строки та плановані ресурси на розробку і впровадження рішень, правильність вибору методів і технологій, а також завчасно виявити можливі помилки й отримати рекомендації, спрямовані на підвищення ефективності проекту. У проведення аудиту проектів впровадження і реінжинірингу входить перевірка проекту і складного технічного завдання на відповідність реальним вимогам підприємства та стандартам, перевірка виконаних робіт на відповідність технічному завданню, а також здійснюється оцінка ефективності виконаних робіт.

Роботи, що підтримують практичну реалізацію плану інформаційної безпеки, зокрема , полягають у наступному:

— розробка технічного проекту модернізації засобів захисту ІС, установлених на фірмі за результатами проведеного комплексного аналітичного дослідження корпоративної мережі;

— підготовка компанії до атестації (до атестації об’єктів інформатизації замовника на відповідність вимогам керівних документів, а також на відповідність вимогам безпеки міжнародних стандартів ІSO 15408, ІSO 17799, стандарту ІSO 9001 при забезпеченні вимог інформаційної безпеки компанії);

— розробка розширеного переліку відомостей обмеженого поширення як частини політики безпеки;

— розробка пакета організаційно-розпорядницької документації відповідно до  рекомендацій корпоративної політики ІБ компанії на організаційно-управлінському й правовому рівні;

— поставка комплекту типової організаційно-розпорядницької документації відповідно до  рекомендацій корпоративної політики ИБ компанії на організаційно-управлінському й правовому рівнях.

Рівень інформаційної безпеки компанії багато в чому залежить від кваліфікації фахівців. З метою підвищення кваліфікації й перепідготовки кадрів рекомендується проводити тренінги по застосуванню засобів захисту інформації, технології захисту інформації, навчати співробітників основам економічної безпеки.

Немаловажну роль грає й щорічна переоцінка стану інформаційної безпеки компанії.

Проведення аудита стану інформаційної безпеки корпоративної інформаційної системи замовника здійснюється в три етапи [3]:

— проведення комплексного обстеження корпоративної інформаційної системи;

— проведення аналізу ризиків;

— розробка рекомендацій з удосконалювання системи захисту корпоративної інформаційної системи і плану впровадження рекомендацій.

1.3. Оціночний аудит інформаційних систем

Державні органи, а також зарубіжні партнери компанії можуть зажадати сертифікації інформаційної системи підприємства з метою відповідності послуг необхідному рівню якості. Для цього проводиться оціночний аудит інформаційних систем. У рамках оціночного аудиту інформаційної системи, як правило, виявляються відхилення від наявних стандартів і формуються рекомендації, які дають змогу усунути знайдені невідповідності.

Програмне забезпечення посідає важливе місце в інформаційній системі будь-якого підприємства. Оціночний аудит програмного забезпечення дозволяє визначити економічну ефективність від впровадження й експлуатації як певного виду програм, так і комплексу програмних продуктів. Результати, отримані після його проведення, допоможуть підвищити економічну ефективність використання програмного забезпечення, визначити функціональність його використання й оптимальну схему впровадження, здійснити вибір найдешевшого варіанта переходу до ліцензійного програмного забезпечення, отримати рекомендації з оптимізації програмної інфраструктури.

У перелік звітності, що надається, входять опис результатів аналізу програмної інфраструктури, рекомендації щодо сумісності й коректності настроювання програмного забезпечення та підвищення ефективності й функціональності його використання.

Поєднання різних за змістом видів діяльності (технічних і фінансових), якими доводиться займатися в сучасних умовах аудитору, можна легко сприйняти та пояснити, якщо погодитись з думкою відомого американського фахівця в галузі менеджменту П. Дракера [8] стосовно того, що застосування комп’ютерних інформаційних технологій привносить в наше життя такі масштабні зміни, які можна порівняти зі змінами, що свого часу спричинили винайдення писемності та винайдення технології друкування книг. Саме тому в умовах застосування КІСП відбувається взаємне проникнення різних за своїм змістом та суб’єктами видів контрольної та організаційної діяльності. Наприклад, після виконання комп’ютерного аудиту інформаційної системи аудитор отримує змогу всебічного оцінити реальний стан комп’ютерної інформаційної системи підприємства. А це безпосередньо впливає на оцінку аудитором системи внутрішнього контролю на підприємстві.

Здебільшого комп’ютерний аудит інформаційних систем потрібний, якщо автоматизована система призначена для обробки конфіденційної чи секретної інформації. Але саме до таких належать комп’ютерні системи бухгалтерського обліку. Проведення комп’ютерного аудиту корисно також після побудови автоматизованої системи та її підсистеми безпеки на етапі приймання в експлуатацію для оцінки ступеня дотримання висунутих до неї вимог.

Розділ 2. Характеристика видів аудиту інформаційної безпеки

2.1. Основні види аудиту інформаційної безпеки

Необхідно зазначити, що на сучасному етапі  практично забезпечене конституційне право кожного вільно шукати, одержувати, передавати, проводити і поширювати інформацію будь-яким законним способом. Істотні позитивні зміни відбулися в інформаційному забезпеченні державної політики. Активно розвивається інфраструктура єдиного інформаційного простору України. Українські  інформаційні і телекомунікаційні системи і мережі зв’язку реально інтегруються в світовий інформаційний простір. Вони побудовані з використанням останніх досягнень в сфері інформаційних технологій, які широко представлені на ринку, де активно діють практично всі крупні зарубіжні компанії-розробники. Інформаційні технології ефективно використовуються в діяльності практично всіх організацій і установ, державних органів і значної частини фізичних осіб. З метою здійснення державної політики в цій сфері прийняті і реалізуються національні програми «Електронна Україна» і «Електронний уряд».

Сформовані умови для забезпечення безпеки функціонування інформаційних і телекомунікаційних систем, що створюються на території України. Створені найважливіші регулюючі чинники державної дії на інформаційні процеси і інформатизацію: нормативно-правове забезпечення цієї сфери; системи ліцензування і сертифікації інформаційних продуктів і послуг, інформаційно-телекомунікаційних систем і мереж зв’язку, технологій. Так, в даний час законодавство в сфері інформаційного розвитку економіки і суспільства включає закони України: «Про державну таємницю», «Про захист інформації в АС», «Про інформацію», «Про зв’язок», «Про Національну систему конфіденційного зв’язку». Також необхідно врахувати і тенденції розвитку національної нормативної бази в даній сфері, а саме розгляд владою таких нових законів України як закони «Про електронний цифровий підпис», «Про електронний документообіг», «Про електронну комерцію» і ін.

Разом з тим на тлі цих помітних досягнень, на жаль, доводиться констатувати, що рівень розвитку інформаційної сфери України ще досить низький. Відставання від розвинених країн, за оцінкою фахівців, складає 10-15 років. Існують ряд серйозних проблем, рішення яких життєво необхідне для подальшого розвитку країни. Одночасно, оцінюючи ситуацію в сфері забезпечення інформаційної безпеки України в цілому, не дивлячись на наявні досягнення, слід зазначити, що вона тривожна.

Так, явно не відповідають прогнозам правові гарантії реалізації конституційних прав людини і громадянина на недоторканність приватного життя, на особисту і сімейну таємниці, на добре ім’я і честь, на охорону права інтелектуальної власності.  Недостатніми є і гарантії свободи масової інформації. Більшість вітчизняних газет і журналів, зокрема регіональних, знаходяться в істотній фінансовій залежності від крупного капіталу, політичних партій, рухів і фондів, місцевих адміністрацій. Це приводить до віддзеркалення в їх інформаційній політиці, перш за все, інтересів фінансових спонсорів, далеко не завжди співпадаючих з інтересами держави і більшості населення. Представляється, що до найбільш серйозних проблем належить і необхідність прискорення розвитку вітчизняної індустрії конкурентоздатної продукції в сфері інформатизації, телекомунікації і зв’язку, забезпечення потреб внутрішнього ринку цією продукцією і вихід на світовий ринок.

Для вирішення даної проблеми доцільно використовувати, в першу чергу, заходи економічного і правового характеру. Серед них можна назвати розробку і реалізацію гнучкої інвестиційно-інноваційної політики в сфері розробки програмних продуктів, підтримки виходу продукції вітчизняної інформаційної індустрії на світовий ринок. Вдосконалення системи оподаткування українських підприємств, що працюють в сфері розробки сучасних інформаційних технологій. Зміцнення гарантій захисту прав суб’єктів на об’єкти інтелектуальної власності.

У міру розвитку української інформаційної інфраструктури зростає актуальність підвищення рівня безпеки всіх її складових. Тому іншою проблемою є захист інформаційних ресурсів від несанкціонованого доступу, забезпечення безпеки інформаційно — телекомунікаційних систем, активно використовуваних в різних сферах суспільного життя і діяльності держави. В умовах глобалізації інформаційна сфера стає як ареною міжнародної співпраці, так і ареною суперництва. Повномасштабне залучення України в процес формування глобального інформаційного суспільства, супроводжується забезпеченням її інформаційної безпеки, як одного з найважливіших стратегічних завдань безпеки національної.  Актуальність даної проблеми багато в чому обумовлена зростанням «кіберзлочинності» і розширенням можливостей міжнародного тероризму по використанню сучасних інформаційних технологій для здійснення терористичних актів.

В умовах глобалізації інформаційних технологій об’єктом інформаційної злочинності стає весь світовий інформаційний простір в цілому і кожний його елемент зокрема. Нейтралізувати наслідки противоправних дій в інформаційній сфері, наприклад, інформаційного тероризму, надзвичайно важко, а іноді взагалі неможливо. Усвідомивши небезпеку, породжену глобалізацією інформаційних технологій, і розуміючи, що прогрес суспільства неможна зупинити, слід зосередитися на підтримці позитивних і нейтралізації негативних особливостей розвитку інформаційних технологій.

В даний час можна виділити наступні основні види аудиту інформаційної безпеки:

• експертний аудит безпеки, в процесі якого виявляються недоліки в системі заходів захисту інформації на основі наявного досвіду експертів, що беруть участь в процедурі обстеження;
• оцінка відповідності рекомендаціям Міжнародного стандарту ISO 17799, а також вимогам керівних документів ФСТЕК (Гостехкоміссиі);
• інструментальний аналіз захищеності АС, направлений на виявлення і усунення уязвімостей програмно-апаратного забезпечення системи;
• комплексний аудит, що включає всі вищеперелічені форми проведення обстеження.

Кожний з вищеперелічених видів аудиту може проводитися окремо або в комплексі залежно від тих завдань, які необхідно вирішити підприємству. Як об’єкт аудиту може виступати як АС компанії в цілому, так і її окремі сегменти, в яких проводиться обробка інформації, належному захисту.

В загальному випадку аудит безпеки, незалежно від форми його проведення, складається з чотирьох основних етапів, кожний з яких передбачає виконання певного кола завдань.

На першому етапі спільно із Замовником розробляється регламент, що встановлює склад і порядок проведення робіт. Основне завдання регламенту полягає у визначенні меж, в рамках яких буде проведено обстеження. Регламент є тим документом, який дозволяє уникнути взаємних претензій по завершенню аудиту, оскільки чітко визначає обов′язки сторін.

Як правило, регламент містить наступну основну інформацію:

• склад робочих груп від Виконавця і Замовника, що беруть участь в процесі проведення аудиту;
• перелік інформації, яка буде надана Виконавцеві для проведення аудиту;
• список і місцеположення об’єктів Замовника, що підлягають аудиту;
• перелік ресурсів, які розглядаються як об’єкти захисту (інформаційні ресурси, програмні ресурси, фізичні ресурси і т.д.);
• модель погроз інформаційній безпеці, на основі якої проводиться аудит;
• категорії користувачів, які розглядаються як потенційні порушники;
• порядок і час проведення інструментального обстеження автоматизованої системи Замовника.

На другому етапі, відповідно до узгодженого регламенту, здійснюється збір початкової інформації. Методи збору інформації включають інтерв′ювання співробітників Замовника, заповнення опитних листів, аналіз наданої організаційно-розпорядливої і технічної документації, використання спеціалізованих інструментальних засобів.

Третій етап робіт припускає проведення аналізу зібраної інформації з метою оцінки поточного рівня захищеності АС Замовника. За наслідками проведеного аналізу на четвертому етапі проводиться розробка рекомендацій по підвищенню рівня захищеності АС від погроз інформаційній безпеці.

Нижче в докладнішому варіанті розглянуті етапи аудиту, пов′язані із збором інформації, її аналізом і розробкою рекомендацій по підвищенню рівня захисту АС.

2.2. Збір даних для проведення аудиту

Якість аудиту безпеки, що проводиться, багато в чому залежить від повноти і точності інформації, яка була отримана в процесі збору початкових даних.

Тому інформація повинна включати: існуючу організаційно-розпорядливу документацію, що стосується питань інформаційної безпеки, відомості про програмно-апаратне забезпечення АС, інформацію про засоби захисту, встановлені в АС і т.д.

Як вже наголошувалося вище, збір початкових даних може здійснюватися з використанням наступних методів:

• інтерв′ювання співробітників Замовника, що володіють необхідною інформацією. При цьому інтерв′ю, як правило, проводиться як з технічними фахівцями, так і з представниками керівної ланки компанії. Перелік питань, які планується обговорити в процесі інтерв′ю, узгоджується наперед;
• надання опитних листів з певної тематики, самостійно заповнюваних співробітниками Замовника. У тих випадках, коли представлені матеріали не повністю дають відповіді на необхідні питання, проводиться додаткове інтерв′ювання;
• аналіз існуючої організаційно-технічної документації, використовуваної Замовником;
• використання спеціалізованих програмних засобів, які дозволяють отримати необхідну інформацію про склад і настройки програмно-апаратного забезпечення автоматизованої системи Замовника.

Так, наприклад, в процесі аудиту можуть використовуватися системи аналізу захищеності (Security Scanners), які дозволяють провести інвентаризацію наявних мережевих ресурсів і виявити наявні в них уразливості. Прикладами таких систем є Internet Scanner (компанії ISS) і XSpider (компанії Positive Technologies).

Після збору необхідної інформації проводиться її аналіз з метою оцінки поточного рівня захищеності системи. В процесі такого аналізу визначаються ризики інформаційної безпеки, яким може бути схильна компанія. Фактично ризик є інтегральною оцінкою того, наскільки ефективно існуючі засоби захисту здатні протистояти інформаційним атакам.

Забезпечення безпеки ІКСМ включає організацію протидії будь-якому несанкціонованому вторгненню в процес функціонування, а також спробам модифікації, розкрадання, виводу з ладу або руйнування її компонентів, тобто захист всіх компонентів інформаційно-комунікаційних систем та мереж — апаратних засобів, програмного забезпечення, даних та персоналу, тощо.

Поряд зі стандартними засобами захисту, без яких неможливе нормальне функціонування інформаційних мереж (таких як міжмережеві екрани, системи резервного копіювання й антивірусні засоби), існує необхідність використання систем моніторингу та управління доступу (систем виявлення атак або вторгнень), які є основним засобом боротьби з мережними атаками чи іншими несанкціонованим діями.

Питання підвищення захищеності інформаційної інфраструктури постійно знаходяться в центрі уваги. В даний час необхідно проводити роботу за такими важливими напрямками, як:

— побудова системи забезпечення безпеки інформаційно-телекомунікаційних систем (інформаційні фонди і телекомунікаційні інфраструктури) як об’єктів дії ризиків;

— захист інформаційних систем (інформації, інформаційної інфраструктури) від  протиправних посягань, досягнення незаконної мети, забезпечення антигромадських інтересів;

— вивчення і запобігання інформаційно-технологічних катастроф;

— стандартизація, сертифікація і аудит інформаційно-телекомунікаційних систем на предмет їх безпеки;

— забезпечення інформаційного і інформаційно-технічного виявлення, припинення, розкриття і розслідування протиправних посягань;

— формування інформаційного права як самостійної комплексної кодифікуючої галузі права;

— постійний моніторинг системи ризиків і погроз у сфері інформаційних відносин;

— кадрове забезпечення інформаційної безпеки.

На сучасному етапі необхідне глибоке усвідомлення на всіх рівнях державного управління тієї істини, що формування, поширення, використання і захист інформаційних ресурсів України є основою забезпечення її національних інтересів в інформаційній сфері, становлення і розвитку інформаційного простору та його інтегрування у світовий інформаційний простір.

Розділ 3. Сучасні методи аудиту систем та мереж інформаційної безпеки

3.1. Методи аудиту системи інформаційної безпеки на підприємстві

Сучасні системи та мережі мають високу складність побудови, оскільки вони територіально розподілені з точки зору ресурсів та розташування систем управління. Вони поєднують в собі можливість передачі даних з можливостями телефонії й відеоконференцзв’язку, наявності вбудованої системи підтримки інформаційної безпеки, а також резервних і дублюючих елементів, які відповідають за забезпечення надійності і доступності функціонування інформаційної мережі. Для всіх організацій в більшій мірі актуальна і перша (складність) і друга (критичність) властивості сучасних мереж та систем. Тобто разом з перевагами, які забезпечують сучасні інформаційні мережі з’являються й небезпечні ризики, стосовно взаємодії з відкритим і неконтрольованим зовнішнім інформаційним середовищем. Для зниження цих ризиків необхідно приділяти все більш уваги організації моніторингу функціонування, згідно державних і міжнародних стандартів.

Політика безпеки повинна містити в собі офіційні процедури по управлінню, моніторингу  та розподілу  прав доступу до інформаційних систем та її послуг. Загальна політика безпеки ІКСМ та організації в цілому, повинна включати й документувати вимоги бізнесу, щодо методів та заходів моніторингу доступом до системи та її ресурсів. Порядок управління та моніторингу доступу, права кожного користувача або групи користувачів повинні бути чітко фіксовані у формулюванні політики доступу та її безпеки.

Процедури політики безпеки повинні охоплювати всі стадії в життєвому циклі користувальницького доступу, від початкової реєстрації нових користувачів до кінцевого зняття з реєстрації користувачів, яким більше не потрібен, або заборонений доступ до інформаційних систем і послуг.

Під забезпеченням управління  доступом будемо розуміти порядок розробки і впровадження процедур захисту з  метою реалізації авторизованого   доступу до інформаційних ресурсів та інформації.

Порядок управляння доступу повинен створюватися з метою управління інформаційними ресурсами з урахуванням вимог  політики безпеки й авторизації інформації й користувачів.

Для проведення та організації ефективного захисту інформації в сучасних ІКСМ необхідно проводити моніторинг системи, для того щоб виявляти відхилення від політики управління доступом і записувати контрольовані події, Моніторинг доступу в системі забезпечить контроль інцидентів та виявлення порушників. Він дозволяє перевіряти ефективність прийнятих засобів управління й підтверджувати відповідність моделі системи політиці доступу .

Заходи забезпечення процедур управління доступом (рис. 3):

—         вимоги до безпеки інформації;

—         ідентифікація всієї інформації;

—         класифікація інформації що циркулює, обробляється та зберігаеться;

—         взаємоузгодженість між політиками управління доступом і класифікацією інформації різних систем і мереж;

—         відповідне законодавство й будь-які договірні зобов’язання щодо захисту доступу до даних або послуг системи;

—         стандартні профілі доступу користувача та політика розмежування доступу;

—         управління правами доступу в розподіленому й об’єднаному у мережу інформаційному середовищі, що визнає всі типи доступних зв’язків.

Заходи управління доступу повинні бути погоджені з політикою моніторингу доступу до інформаційних ресурсів ІКСМ.

Під моніторингом доступу й використання системи будемо розуміти процес виявлення відхилень від реалізації політики управління доступом до інформаційних ресурсів та мережних послуг з метою фіксації неавторизованих дій.

Також варто створювати журнали аудита для запису подій пов’язаних з безпекою інформаційних ресурсів та мережних послуг, і зберігати їх протягом погодженого періоду, з метою надання допомоги в майбутніх розслідуваннях і моніторингу управління доступом.

Записи аудита ІКСМ повинні включати основні пункти контролю доступу до ресурсів та послуг  (рис.3): користувальницькі ID; дату й час входу й виходу; ідентифікатор термінала або місце розташування, якщо можливо; запис успішних і відхилених спроб доступу до системи; запис успішних і відхилених даних й інших спроб доступу до ресурсів.

Таким чином введення систем та процедур моніторингу необхідні забезпечать впевненість в тім, що користувачі ІКСМ виконують тільки ті дії, на які вони були явно авторизовані та поять права відповідно до політики розмежування доступу. Рівень моніторингу, необхідного для окремих засобів, ресурсів та послуг, варто визначати за допомогою оцінки ризику.

На основі викладеного можна вважати, що моніторинг повинен включати наступні напрями, в яких проводиться аудит мережі (рис. 4):

–       авторизований доступ, включаючи деталі, такі як:

• користувальницький ID;
• дата й час головних подій;
• типи подій;
• файли, до яких був здійснений доступ;
• використовувані програми/утиліти;

– всі привілейовані дії, такі як:

• використання облікового запису супервізора;
• запуск й зупинка системи;
• приєднання/від’єднання пристрою введення/виводу;

– спроби неавторизованого доступу, такі як:

• невдалі спроби;
• порушення політики доступу й повідомлення мережних шлюзів і міжмережних екранів;
• попередження від власних систем виявлення вторгнення;

– попередження або відмови системи, такі як:

• консольні (термінальні) попередження або повідомлення;
• виключення, записані в системні журнали реєстрації;
• попереджувальні сигнали, пов’язані з керуванням мережею.

Варто регулярно розглядати результат дій по моніторингу. Необхідно, щоб частота огляду залежала від передбачуваних ризиків. Фактори ризику, які необхідно розглядати, включають:

– критичність процесів додатків;

– цінність, чутливість або критичність зв’язаної інформації;

– минулий досвід проникнення в систему й неправильне використання системи;

– ступінь взаємозв’язку систем (особливо загальнодоступних мереж).

Сформовано систему вимог та основних правил, щодо процесів моніторингу й управління доступом до інформаційної мережі на базі державних та міжнародних стандартів серії ISO.

ІТ аудит — це комплексне дослідження й аналіз діючої ІТ-інфраструктури організації, що дозволить вирішувати виниклі питання, визначити якість ІТ-інфраструктури і виявити її відповідність завданнями бізнесу; встановлення рівня її відповідності заданим критеріям; оцінка ефективності використання.

Аудит ІТ-інфраструктури потрібний якщо: використається безліч різнорідних інформаційних систем і додатків і з’явилися труднощі з їхньою інтеграцією; ІТ-інфраструктура не справляється зі збільшеними обсягами завдань; компанія хоче застосовувати інноваційні технології для досягнення конкурентних переваг і хоче одержати реальну віддачу від інвестицій в ІТ; необхідно оцінити якість робіт зі створення/модернізації ІТ-інфраструктури.

Професійно проведений аудит інформаційних систем (ІС) є запорукою успішного рішення проблем в ІТ-інфраструктурі підприємства. Аудит ІС дозволить відповісти на наступні питання:

1)       чи відповідає використовувана ІС цілям і завданням організації, яка роль ІС у діяльності організації;

2)       яка структура комплексу апаратно-програмних засобів і використовуваних ІС;

3)       який техніко-технологічний рівень використовуваних ІТ, чи задовольняє він сучасним вимогам;

4)       який ступінь захисту конфіденційних даних, що циркулюють у використовуваних ІС, і які шляхи мінімізації ризиків витоку цих даних;

5)       яка надійність функціонування ІС, а також шляхи мінімізації ризиків виникнення різних збоїв апаратного й програмного характеру;

6)       наскільки існуючі ІС виправдують вкладені в них інвестиції;

7)       чи відповідає кваліфікація співробітників відділу технічної підтримки необхідним вимогам по супроводу ІС підприємства;

8)       які критерії ефективності функціонування ІС підприємства, по яких можна судити про можливість використання існуючого устаткування і ПО, або необхідності їхньої модернізації й заміни;

9)       чи потрібна негайна модернізація ІТ-інфраструктури або поступовий перехід до більше просунутих технологій.

3.2. Експертні системи аудиту інформаційної безпеки

інформації вдосконалюються настільки ж швидко як і засоби захисту, особливо важливого значення набуває задача своєчасної, оперативної оцінки ймовірності порушення конфіденційності інформації, цілісності та доступності — інформаційної безпеки, та пошуку засобів підвищення рівня інформаційної захищеності до належного рівня. Застосування традиційних методів рішення цієї задачі, в тому числі — проведення аудиту захищеності об’єкта, пов’язано з значними трудовими, часовими, економічними затратами. Створення та застосування комп’ютерних експертних систем аудиту, як один із варіантів підвищення ефективності оцінки інформаційної безпеки, надає змогу оперативно отримувати актуальний результат з гнучкими можливостями формування звітів різного рівня деталізації.

Експертна система накопичує інформацію про об’єкт дослідження шляхом опитування користувача для встановлення відповідей по ряду фактів, і подальшої їх обробки.

Таким чином алгоритм реалізації роботи експертної системи та математична модель повинні бути адаптивними — враховувати велику кількість не пов’язаних між собою чинників, не визначених як за кількістю, так і за типом інформації — логічна або числова.

Специфіка проблем та особливості функціонування характерні для галузі об’єкта дослідження можуть вимагати внести до аналізу додаткові факти чи видалити вже не актуальні, певні канали витоку інформації можуть бути відсутніми на об’єкті дослідження, або не цікавити користувача, в той же час ситуація на об’єкті дослідження динамічно змінюється тому система повинна надати користувачу можливість керувати процесом експертизи і модифікувати значення вже зібраних фактів, видаляти їх або додавати нові.

Експертна система повинна бути орієнтована на користувачів з різним рівнем кваліфікації, в тому числі — з низьким, що вимагає враховувати ситуації, коли користувач не може відповісти на запитання повністю, або взагалі не знає відповіді. Таким чином необхідно передбачити можливість перефразування запитання, внесення ряду додаткових запитань, що встановлять факти пов’язані з даним запитанням. Разом з тим, якщо одразу отримана повна відповідь, система повинна не виводити додаткові запитання.

Важливим фактором для оцінювання результатів, викладених в звіті, можуть бути коментарі користувача, який працював з системою, щодо питань і відповідей. Тому система має передбачати можливість внесення коментарів і відображення їх в звітах.

Для забезпечення ефективного керування процесом експертизи важливо використовувати в системі орієнтований на користувача інтерфейс з розбиттям запитань на групи за темою опитування, формуванням з груп запитань блоків за каналами витоку, розбиття процесу експертного оцінювання на етапи з виведенням проміжних значень.

Такий підхід дозволить структурувати складну систему, створити дерево опитування, що спрощує як процес проходження опитування так і модифікації користувачем і розробку самої системи на етапі створення алгоритму роботи, програмної реалізації, проектування базі даних.

Експертна система повинна мати засоби збереження інформації в базу даних та можливість експорту і синхронізації зі зовнішніми носіями. Як носій інформації про всю систему захищеності об’єкта база даних повинна мати систему автентифікації користувача, розмежування прав доступу — користувачі повинні мати доступ тільки до тих баз даних, що створили, криптографічний захист.

Результатом роботі експертної системи є експертний висновок у вигляді звіту про рівень захищеності об’єкту, ймовірностей витоку інформації по відповідним каналам і інша аналітична інформація з гнучким рівнем налаштування деталізації, можливістю застосування шаблонів звіту: створення, редагування та збереження.

Висновки

Отже, аудит безпеки інформаційної безпеки – це системний процес одержання об’єктивних якісних і кількісних оцінок поточного стану безпеки інформаційної системи, комплексна оцінка рівня інформаційної безпеки клієнта з урахуванням трьох основних факторів: персоналу, процесів і технологій. Порівняльний аналіз поточного стану інформаційної системи, що визначається за підсумками анкетування, з тестовою моделлю вимог стандарту ISO 27001.

Сьогодні більшість організацій проводить модернізацію й розвиток існуючих інформаційних систем. Однак нерідко це представляється занадто витратним або складним для реалізації: якщо автоматизація проводилася частково, по запитах окремих підрозділів або для рішення яких-небудь локальних завдань, на підприємстві може існувати безліч різноманітних додатків. Для того, щоб визначити ті компоненти системи, які дійсно вимагають модернізації й не відповідають вимогам бізнесу, необхідно провести аудит інформаційних технологій (ІТ). Це відправний пункт для подальшого розвитку всіх інформаційних систем компанії.

Необхідність проведення регулярного аудиту інформаційної безпеки полягає в оцінці реального стану захищеності ресурсів ІТС та її змозі протистояти зовнішнім і внутрішнім загрозам інформаційної безпеки, які постійно змінюються та адаптуються.

Можна відзначити, що моніторинг та управління доступу корпоративних  мереж є перспективним напрямком розвитку інформаційної інфраструктури та гарантованості надання послуг. Незважаючи на ряд проблем, що виникають при його впровадженні, використання подібних рішень забезпечить значний ріст ефективності використання апаратного й програмного забезпечення й знизить число критичних збоїв та несанкціонованих дій, що особливо важливо для сучасних ІКСМ.

Незважаючи на те, що в Україні прийнята і діє низка нормативних актів, проблема захисту і безпеки даних при застосуванні комп’ютерних програм бухгалтерського обліку на підприємствах досі не вирішена. Цими нормативними актами не передбачена обов’язкова сертифікація програмного забезпечення для ведення бухгалтерського обліку на підприємствах. Відповідного стандарту з бухгалтерського обліку також немає. Винятком є регулювання Національним банком України використання банками та їх клієнтами розрахункових систем «клієнт — банк». Базові принципи та процедура використання таких програмних систем визначені Інструкцією НБУ № 7, якою встановлюється обов’язкова сертифікація програмних продуктів Національним банком. Для того, щоб отримати сертифікат (дозвіл) НБУ, фірма-розробник має передбачити в своєму програмному продукті виконання таких основних функцій, як передача повідомлень між клієнтом та банком у зашифрованому вигляді за допомогою сертифікованих засобів захисту; автоматичне ведення протоколів роботи; автоматична архівація протоколів роботи наприкінці дня.

У галузі захисту і безпеки даних досвід комп’ютеризації банківської системи може бути корисний для розробки стандартів з бухгалтерського програмного забезпечення в Україні. Таким чином, можна зробити висновок, що в Україні мають місце слабкий розвиток хакерських груп і громадських організацій професіоналів з комп’ютерної безпеки на тлі невисокої комп’ютерної грамотності населення, розвивається ринок послуг з інформаційної безпеки та є достатня нормативна база з питань інформаційної безпеки та державна структура, яка займається цими питаннями. Отже, сукупність зовнішніх факторів сприяє дотриманню інформаційної безпеки окремого підприємства (правильніше, не сприяє його порушенню) і знижує ризик виникнення викривлень в обліку через несприятливі зовнішні впливи на інформаційну систему підприємства.

Список використаної літератури

1. Гайкович В.Ю., Ершов Д.В. Основы безопасности информационных технологий: Учеб. пособие. – М.: МИФИ, 1995. – 252 с.
2. Домарев В.В. Безопасность информационных технологий. Системный подход. – К.: ООО «ТИД «ДС», 2004. – 992 с.
3. Живко М.О. Основні чинники інформаційної безпеки підприємства // Актуальні проблеми економіки. — 2009. — № 8. — С. 67-74
4. Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. – М.: Горячая линия – Телеком, 2000. – 452 с.
5. Кормич Б.А. Інформаційна безпека: організаційно-правові основи: навчальний посібник. Рекомендовано МОН України для вищих юридичних навчальних закладів. – К.: Кондор, 2004. – 384 с.
6. Кормич Б.А. Організаційно-правові засади політики інформаційної безпеки України: Монографія. – Одеса: Юрид. література, 2003. – 472 с.
7. Лапо А. Гуманітарні та технічні чинники підвищення інформаційної безпеки / А. Лапо // Вісник Київського інституту бізнесу і технологій. — 2007. — № 2. — С. 130-132
8. Линник Г. Принципи адміністративно-правового регулювання інформаційної безпеки в Україні // Підприємництво, господарство і право. — 2010. — № 5 . — С. 93-97
9. Медвідь Ф. Інформаційна безпека України в контексті становлення стратегії національної безпеки держави // Юридичний Вісник України. — 2008. — № 43. — С. 11
10. Морозов О.Л. Інформаційна безпека в умовах сучасного стану і перспектив розвитку державності // Віче. — 2007. — № 12. — С. 23-25
11. Соснін О. Про поточні питання розбудови інформаційного суспільства в Україні // Віче. — 2010. — № 4. — С. 24-28
12. Толкачов О. Проблема інформаційної безпеки України // Сучасність. — 2009. — № 6. — С. 183-194
13. Чубарук Т. Проблеми законодавчого забезпечення інформаційної безпеки в Україні // Право України. — 2007 . — № 9 .- С. 67 — 69
14. Юдін О.К., Корченко О.Г., Конахович Г.Ф. Захист інформації в мережах передачі даних: Підручник. – К.: Вид-во ТОВ «НВП» ІНТЕРСЕРВІС», 2009. – 716 с.