Аудит безопасности корпоративных информационных систем

А.А. Хайруллина,

ассистент, Уфимский государственный авиационный технический университет (УГАТУ) Этот адрес e-mail защищен от спам-ботов. Чтобы увидеть его, у Вас должен быть включен Java-Script

В статье раскрывается сущность понятия аудита информационной безопасности, описываются три основные виды аудита безопасности корпоративных информационных систем: активный, экспертный и проверка на соответствие стандартам.

Ключевые слова. Аудит, информационная система, информационная безопасность.

Audit security of corporate information systems

A.A. Khayrullina, Assistent

Ufa State Aviation Technical University (UGATU), Russia. Этот адрес e-mail защищен от спам-ботов. Чтобы увидеть его, у Вас должен быть включен Java-Script

The article reveals the essence of the concept of information security audit, describes the three main types of safety audit corporate information systems: active, expert and checking for compliance.

Key words: Audit, information systems, information security.

Половина аудиторских компаний заявляет об уникальности своих услуг. Так что задача выбора аудитора очень непроста. Особенно это верно в отношении информационной безопасности. Проблема заключается в том, что во многих компаниях просто-напросто нет специалиста, способного точно поставить цель аудита и выбрать подходящий способ его проведения. Таким образом, заказчики и исполнители услуги часто говорят на разных языках, не понимая друг друга. Для того чтобы избежать подобных ситуаций в данной статье определяется, что же такое аудит безопасности информационной системы компании и какой он бывает.

В наше время специалистами используется несколько определений аудита. Но наибольшее распространение получили два из них:

  • • аудит информационных систем - это проверка используемых компанией информационных систем, систем безопасности, систем связи с внешней средой, корпоративной сети на предмет их соответствия бизнес-процессам, протекающим в компании, а также соответствия международным стандартам с последующей оценкой рисков сбоев в их функционировании;
  • • аудит информационной безопасности - системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности.

Как видно, суть обоих определений, в общем-то, одинакова и сводится к следующему. Аудит безопасности информационных систем - это их проверка, тестирование, которое должно выявить потенциальные опасности и уязвимости в защите. При этом используется принцип сравнения результатов теста с неким идеалом, установленным целями аудита (задается заказчиком), а также личным опытом самого аудитора. При этом должно учитываться множество самых разнообразных факторов, в том числе и информация о заказчике: область его деятельности, размер фирмы и т. п.

В аудите безопасности информационных систем специалисты выделяют три основные составляющие: способы проведения проверки, что является результатами исследования и идеал, с которым их будут сравнивать. Естественно, все эти компоненты взаимосвязаны между собой. Например, требуемые результаты аудита определяют способ его проведения.

Принято подразделять аудит безопасности информационных систем на три вида: активный, экспертный и проверка на соответствие стандартам. Все они отличаются друг от друга основными компонентами. Рассмотрим их подробнее.

Активный аудит некоторые специалисты называют практическим или инструментальным. Дело в том, что суть этого исследования заключается в проведении экспертами настоящих атак на информационную систему заказчика. Таким образом, происходит проверка надежности защиты в "боевых" условиях. Естественно, если экспертам удается пробить защиту, никаких деструктивных действий они не производят, а только фиксируют факт проникновения и уязвимость, которая позволила это сделать.

Для того чтобы точнее понять, что представляет собой активный аудит, необходимо рассмотреть все его составляющие. Начать лучше всего с разбора способов реализации исследования. В подавляющем большинстве случаев аудиторы используют как можно большее количество самых разнообразных атак. Они могут применять любые программные и аппаратные средства, доступные хакерам. Более того, в некоторых случаях им разрешается совершать попытки проникновения в офис компании, общаться с сотрудниками заказчика, использовать методы социальной инженерии и т. п. То есть фактически эксперты должны вести себя точно так же, как и злоумышленники, которые поставили себе цель любыми способами получить доступ к конфиденциальной информации.

Результатами проведения аудита корпоративной информационной системы является перечень атак, имевших успех, а также уязвимости, которые были использованы для их реализации. Кроме того, исследование должно показать, какие данные являются широкодоступными. Вполне возможно, что среди них окажется и такая информация, которую лучше скрыть от посторонних глаз. Идеалом при проведении активного аудита является ситуация, когда эксперты так и не смогли получить несанкционированный доступ к системе и не обнаружили ничего подозрительного среди общедоступных данных.

В отчете о своей работы по тестированию корпоративной системы информационной безопасности аудиторы должны не только указать на существующие в ней уязвимости, но и предложить способы их устранения. Чаще всего с помощью активного аудита выявляются не очень серьезные проблемы, заключающиеся в использовании устаревших версий программного обеспечения с незакрытыми "дырами". Другой весьма распространенный тип уязвимостей - некорректная настройка тех или иных продуктов. Дело в том, что в защите информационной системы очень многое зависит от администратора, который ее настраивал. Впрочем, иногда активный аудит позволяет выявить и серьезные недочеты в планировании корпоративной защиты.

Необходимо отметить, что большинство экспертов делят свои услуги на две части. Внешний активный аудит позволяет исследовать защищенность корпоративной информационной системы от всевозможных удаленных атак. При его проведении эксперты сканируют доступные хосты, принадлежащие заказчику, проводят на них общие атаки, пытаются выяснить тип и версию операционной системы и провести специализированные воздействия. Вторая часть активного аудита - внутренняя. Она призвана выявить опасности, идущие от некорректно настроенных сотрудников компании или злоумышленников, незаконно проникших в офис. Особое внимание здесь уделяется способам аутентификации пользователей в корпоративной информационной системе, парольный аудит, безопасность данных при передаче по локальной сети, разделение прав доступа и т. п. Интересно, что компании могут заказывать как каждую часть активного аудита по отдельности (внутренний или внешний аудит), так и обе вместе.

Основное назначение активного аудита - периодическая проверка защиты информационной системы с целью выявления вновь появившихся уязвимостей. Ведь ситуация в области ИБ изменяется очень быстро, постоянно находят новые "дыры", выходят обновления ПО, появляются новые атаки. Именно для того чтобы "не отстать от жизни", и нужен активный аудит. Впрочем, совсем не обязательно всегда заказывать полное тестирование. В некоторых случаях вполне достаточно проведения либо внешнего, либо внутреннего аудита. Одной из главных причин принятия такого решения являются, конечно же, финансовые ограничения. Впрочем, не всегда дело только в них. В некоторых случаях компаниям просто не нужен один из видов активного аудита. Примером может служить ситуация, когда выход в Интернет есть только на одном компьютере, не включенном в общую сеть.

Еще одной причиной проведения именно частичного аудита является следующая ситуация. Допустим, была обнаружена утечка важной конфиденциальной информации через Интернет. При этом известен лишь сам факт взлома, но не ясно, каким образом злоумышленники смогли его осуществить. В этом случае проведение внешнего активного аудита позволит найти уязвимость и определить способы ее устранения. При этом исследование внутренней безопасности информационной системы может оказаться избыточным и вылиться только в дополнительные затраты, не принеся реальной пользы.

Суть экспертного аудита заключается в подробнейшем исследовании защиты информационной системы предприятия и в ее сравнении с некоторой идеальной системой обеспечения информационной безопасности. Причем идеал в каждом конкретном случае может меняться очень значительно. Дело в том, что он зависит от двух факторов. Первый из них - требования, предъявленные руководством компании к системе защиты. Вторым фактором, необходимым для представления идеальной системы защиты информации, являются собственный опыт, который накоплен компанией-аудитором, а также знания о текущем положении в области информационной безопасности.

Процесс экспертного аудита состоит из нескольких последовательных шагов. Первый из них - сбор максимально возможного количества данных о действующей в компании информационной системе, ее функциях, используемых технологиях и т. п. Обычно для этого используется интервьюирование сотрудников компании-заказчика и заполнение ими специально составленных анкет. Причем вопросы, задаваемые разным людям, отличаются друг от друга. Так, например, руководители разного уровня могут дать представление о требованиях, предъявляемых к системе защиты, а технические специалисты - данные об основах функционирования информационной системы предприятия и используемых для ее безопасности продуктах и технологиях.

Следующий этап экспертного аудита - это анализ собранной информации. В его процессе осуществляется составление общего проекта информационной системы, которая и будет сравниваться с идеалом.

Такой анализ наиболее хорошо выявляет не какие-то небольшие дыры в системе защиты, которыми могут воспользоваться злоумышленники, а глобальные ошибки в топологии корпоративной сети, в использовании средств безопасности и т. п. Оценка осуществляется исходя из личного опыта и знаний специалиста или специалистов компании- аудитора. В результате работы эти эксперты могут определить потенциально опасные места в системе защиты коммерческой информации и предложить варианты их устранения.

Далее аудиторы должны проанализировать информационные потоки исследуемого предприятия. Для этого чаще всего используется специальная схема, на которую наносится движение всей документации между компьютерами сотрудников, серверами и прочими элементами информационной системы. При этом учитывается ценность данных. В результате схема позволяет наглядно представить движение коммерческой информации и увидеть, в каких точках информационной системы она наиболее уязвима. Результатом выполнения этой операции могут стать предложения по усилению защиты в таких местах. Ну а указанная ценность информации позволяет оценить экономическую оправданность данных мер и следовать при доработке системы безопасности принципу разумной достаточности.

Ну и, наконец, последний шаг экспертного аудита - анализ всех организационно-распорядительных документов: политики безопасности, дополнительных соглашений с сотрудниками, инструкций для работников и т. п. Им ни в коем случае нельзя пренебрегать. Дело в том, что зачастую бывает так, что разные документы противоречат друг другу. Или в них присутствуют своеобразные дыры, позволяющие сотрудникам компании безнаказанно нарушать установленную политику безопасности. Особенно это верно в отношении тех документов, которые регламентируют полномочия и ответственность лиц, ответственных за защиту информационной системы от различных злоумышленников, и технического персонала, занимающегося обслуживанием информационной системы предприятия.

Таким образом, после завершения экспертного исследования аудиторская компания должна предоставить своим клиентам подробный отчет, в котором содержится информация о найденных потенциально слабых местах в системе защиты и пакете организационно-распорядительных документов и предложения по их устранению. Кроме того, эксперты могут дать рекомендации по выбору и применению систем защиты информации и других дополнительных специальных технических средств.

Суть аудита на соответствие стандартам наиболее приближена к тем формулировкам и целям, которые существуют в финансовой сфере. При проведении данного вида аудита состояние информационной безопасности сравнивается с неким абстрактным описанием, приводимым в стандартах.

Официальный отчет, подготовленный в результате проведения данного вида аудита, включает следующую информацию:

  • • степень соответствия проверяемой информационной системы выбранным стандартам;
  • • степень соответствия собственным внутренним требованиям компании в области информационной безопасности;
  • • количество и категории полученных несоответствий и замечаний;
  • • рекомендации по построению или модификации системы обеспечения информационной безопасности, позволяющие привести ее в соответствие с рассматриваемым стандартом;
  • • подробная ссылка на основные документы заказчика, включая политику безопасности, описания процедур обеспечения информационной безопасности, дополнительные обязательные и необязательные стандарты и нормы, применяемые к данной компании.

Ниже перечислены примеры стандартов, на соответствие которым проводится аудит системы информационной безопасности:

  • 1) существующие руководящие документы Гостехкомиссии:
    • • «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (далее - РД для АС);
    • • «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К);
    • • «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» (ГОСТ Р ИСО/МЭК 15408-2002 или «Общие критерии»);
  • 2) зарубежные и международные стандарты:
    • • Международный стандарт ISO/IEC 17799 «Информационные технологии. Управление информационной безопасностью» (Information Technology - Information Security Management). На сегодняшний день является одним из самых распространенных и широко применяемым стандартом во всем мире;
    • • Международный стандарт WebTrust. Применим для подтверждения высокого уровня защищенности системы электронной коммерции и web-сервисов.

Причины проведения аудита на соответствие стандарту (и сертификации) можно условно разделить по степени обязательности данной услуги по отношению к компании: обязательная сертификация;

сертификация, вызванная «внешними» объективными причинами; сертификация, позволяющая получить выгоды в долгосрочной перспективе; добровольная сертификация.

Государственные организации, которые обрабатывают сведения, составляющие государственную тайну, в соответствии с российским законодательством обязаны проводить аттестацию информационной системы (во многом процедура аналогична сертификации). Однако чаще всего они пользуются не услугой аудита на соответствие стандартам, а в обязательном порядке проводят аттестацию собственных информационных систем при участии аттестационных центров.

В последнее время все большее количество компаний рассматривают получение сертификата, подтверждающего высокий уровень информационной безопасности, как «козырь» в борьбе за крупного клиента или делового партнера.

В этом случае целесообразно проведение аудита и последующей сертификации на соответствие тем стандартам, которые являются значимыми для клиента или делового партнера.

Иногда руководство компании проявляет инициативу по сертификации системы информационной безопасности. Для таких организаций важны не только защита собственных ресурсов, но и подтверждение со стороны независимого эксперта (в роли которого выступает компания-аудитор) высокого уровня защиты.

Несколько лет назад Британский институт стандартов (BSI) при участии коммерческих организаций, таких как Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica и др., занялся разработкой стандарта информационной безопасности. И в 1995 г. был принят национальный стандарт BS 7799 управления информационной безопасностью организации вне зависимости от сферы деятельности компании. Служба безопасности, 1Т-отдел, руководство компании начинают работать согласно общему регламенту. Неважно, идет речь о защите бумажного документооборота или электронных данных. Британский стандарт BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, а также, например, Швеция и Нидерланды. В 2000 г. международный институт стандартов ISO на базе британского BS 7799 разработал и выпустил международный стандарт менеджмента безопасности ISO/1EC 17799. Поэтому сегодня можно утверждать, что BS 7799 и ISO 17799 это один и тот же стандарт, имеющий на сегодняшний день мировое признание и статус международного стандарта ISO.

Для решения задачи создания и проверки политики информационной безопасности компании применяются следующие программные комплексы: британская Cobra (компания С & A Systems 88

комплексы: британская Cobra (компания С & A Systems Security Ltd) и российский КОНДОР (компания Digital Security).

Британская Кобра от компании ПС & A Systems Security Ltd представляет собой продукт, позволяющий аудитору провести проверку соответствия информационной системы требованиям ISO 17799. Кобра, как и любой продукт данного класса, представляет собой экспертную систему, задача которой, опросив ИТ-менеджера сделать вывод о соответствии системы ISO 17799.

К недостаткам Кобры можно отнести:

  • • устаревший, не слишком удобный для пользователя интерфейс (несмотря, на то что, данный продукт является в этой области одним из наиболее известных на западе, его разработчики по каким-то причинам не занимаются модернизацией его пользовательского интерфейса);
  • • отсутствие возможности установки пользователем веса на каждое требование;
  • • отсутствие системы на русском языке.

Российская компания Digital Security разработала программный продукт КОНДОР+, позволяющий специалистам (ИТ-менеджерам, офицерам безопасности) проверить политику информационной безопасности компании на соответствие требованиям ISO 17799.

Разработанный программный комплекс КОНДОР+ включает в себя более двухсот вопросов, ответив на которые, специалист получает подробный отчет о состоянии существующей политики безопасности, а так же модуль оценки уровня рисков соответствия требованиям ISO 17799.

По желанию специалиста, работающего с программой, может быть выбрана генерация отчета, например, по какому-то одному или нескольким разделам стандарта ISO 17799, общий подробный отчет с комментариями, общий отчет о состоянии политики безопасности без комментариев для представления руководству и другие. Все варианты отчетов для большей наглядности сопровождаются диаграммами.

Кроме того, КОНДОР+ дает возможность специалисту отслеживать вносимые на основе выданных рекомендаций изменения в политику безопасности, постепенно приводя ее в полное соответствие с требованиями стандарта, а также иметь возможность представлять отчеты руководству, свидетельствующие о целесообразности и обоснованности инвестиций в обеспечение безопасности информационной системы компании.

К недостаткам КОНДОР+ можно отнести:

  • • отсутствие возможности установки пользователем веса на каждое требование (запланировано в следующих версиях);
  • • отсутствие возможности внесения пользователем комментариев (запланировано в следующих версиях).

Список литературы

1. Security Risk Analysis & Assessmen. Ссылка на сайт

http://www.riskworld.net

  • 2. Digital Security. Ссылка на сайт www.dsec.ru
  • 3. Бармен С. Разработка правил информационной безопасности. М.: Вильямс, 2002. — 208 с. — ISBN 5-8459-0323-8, ISBN 1-57870-264-Х.
  • 4. Семененко В. А. Информационная безопасность: Учебное пособие. - М.: МГИУ, 2004 - 215 с. — ISBN 5-8459-0323-8, ISBN 1- 57870-264-Х.

References:

1. Security Risk Analysis & Assessmen. Link to Website

http://www.riskworld.net

  • 2. Digital Security. Link to Website www.dsec.ru
  • 3. Barman S. Development of rules of information security. ML: Williams, 2002 - 208 p. - ISBN 5-8459-0323-8, ISBN 1-57870-264-X.
  • 4. Semenenko V Information Security: A Tutorial. - M .: MGIU, 2004 - 215 p. - ISBN 5-8459-0323-8, ISBN 1-57870-264-X.

Об авторе

Айгуль Ахтямовна Хайруллина, магистрант каф. финансов, денежного обращения и экономической безопасности.

About authors:

Aygul Ahtyamovna Khayrullina, undergraduate the Dept, of Finances, Currency Circulation and Economic Security. Dipl, economics (USATU, 2013). Dipl, mathematician and programmer (USATU, 2013).

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >