Аудит системы информационной безопасности на объекте как основание для подготовки организационных и правовых мероприятий. Его критерии, формы и методы.

Под аудитом безопасности понимается системный процесс получения и оценки объективных данных о текущем состоянии обеспечения безопасности на объектах информатизации, действиях и событиях, происходящих в информационной системе, определяющих уровень их соответствия определенному критерию.

Прежде чем решить, как и от кого защищать информацию, необходимо уяснить реальное положение в области обеспечения безопасности информации на предприятии и оценить степень защищенности информационных активов. Для этого проводится комплексное обследование защищенности ИС (или аудит безопасности), основанные на выявленных угрозах безопасности информации и имеющихся методах их парирования, результаты которого позволяют:

§ оценить необходимость и достаточность принятых мер обеспечения безопасности информации;

§ сформировать политику безопасности;

§ правильно выбрать степень защищенности информационной системы;

§ выработать требования к средствам и методам защиты;

§ добиться максимальной отдачи от инвестиций в создание и обслуживание системы обеспечения информационной безопасности (СОБИ).

Цель проведения аудита безопасности получение объективных данных о текущем состоянии обеспечения безопасности информации на объектах ИС, позволяющих провести минимизацию вероятности причинения ущерба собственнику информационных активов в результате нарушения конфиденциальности, целостности или доступности информации, подлежащей защите, за счет получения несанкционированного доступа к ней, а также выработка комплекса мер, направленных на повышение степени защищенности информации ограниченного доступа. Методологическое обследование процессов, методов и средств обеспечения безопасности информации при выполнении ИС своего главного предназначения – информационное обеспечение бизнеса. Причем предполагается, что ИС является оптимальной для решения бизнес-задач.

Комплексный подход к аудиту, то есть:

§ проверка достаточности правовых, экономических и организационных мер защиты (физической защиты, работы персонала, регламентация его действий);

§ проверка достаточности принятых программно-аппаратных и технических мер защиты (соответствие установленным требованиям применяемых в ИС программно-аппаратных средств защиты).

Критерии аудита проверка на :

· Выполнение системой своих функций

· Экономически оправданная система

Как правило аудит предполагает наличие уже работающей системы безопасности, которую требуется проверить и улучшить (изменить) в соответствии с текущими нуждами организации. Результат аудита — адаптация, приближение обследуемой системы к требуемому уровня обеспечения безопасности.

Виды аудита (формы) в области безопасности

Отличия по цели, а методика их проведения абсолютно идентична.

Итак виды аудита:

1. первоначальное обследование (первичный аудит)

2. предпроектное обследование (технический аудит)

3. аттестация объекта

4. сюрвей

5. контрольное обследование

1. Заказчик принимает решение о защите своей инф. Заказчику необходимо получить ответ на вопросы – что у него есть реально, на сколько это соответствует определенным требованиям и критериям и после этого получить общее видение проблемы и направление ее решения. Результатом этого аудита может стать концепция информационной безопасности предприятия, политика безопасности. Как только проведено первичное обследование, собраны некоторые данные, получена общая картина состояния, выработана некоторая система взглядов, о том, что делать дальше, наступает технический аудит.

2. При проведении технического аудита берется имеющаяся или проектируемая информационная система и сравнивается с моделью угроз данного объекта, и определяется, какие требования должны быть заложены. Результатом технического аудита является набор требований к системе информационной безопасности. Т.е. если говорить о программно-аппаратных средствах защиты, то это может быть профиль защиты или техническое задание. Также определяются комплекс организационных мероприятий, уровень защиты, и т.д.

3. После того как систему безопасности информации построили, заказчик может убедиться, а действительно ли исполнитель сделал систему, удовлетворяющую требованиям. Проводят аттестацию объекта. Результатом аттестации является строго определенный документ – аттестат соответствия. Это государственный документ, подтверждающий соответствию государственным требованиям, т.е. ГОСТу, руководящим документам и т.д.

4. Если собственник информации осознал ценность своей информации, а после первичного обследования пришел к выводу, что в результате потери информации он может понести значительные финансовые потери, он может задуматься над возможностью компенсации ущерба. И одним из вариантов является страхование информационных рисков. И в таком случае проводится следующая форма аудита безопасности - сюрвей. Это специфическая форма, но все-таки форма аудита (или обследования). Сюрвей проводится с целью предстрахового обследования. И особенностью сюрвея является то, что результаты обследования передаются третей стороне – страховой компании, для определения размера страхового взноса. Результатом является сюрвей-рипорт (экспертное заключение).

5. Контрольное обследование – проводится в основном в двух критических случаях. это если произошло событие, приведшее к потере (утрате, искажению и т.д.) информации, и в данном случае необходимо выяснить причины происшедшего. И второй случай - это плановое контрольное обследование с целью проверки соблюдения правил безопасности информации.

Этапы аудита

Методы аудита

На разных этапах обследования используются различные методы: технические, аналитические, экспертные, расчетные. При этом, результаты, полученные одними методами, могут дублироваться (дополняться) результатами, полученными другими методами. Совокупность всех применяемых методов позволяет дать объективную оценку состояния обеспечения безопасности информации на обследуемом объекте. Основными группами методов при обследовании являются:

§ Экспертно-аналитические методы предусматривают проверку соответствия обследуемого объекта установленным требованиям по безопасности информации на основании экспертной оценки полноты и достаточности представленных документов по обеспечению необходимых мер защиты информации, а также соответствия реальных условий эксплуатации оборудования предъявляемым требованиям по размещению, монтажу и эксплуатации технических и программных средств.

§ Экспертно-инструментальные методы предполагают проведение проверки функций или комплекса функций защиты информации с помощью специального инструментария (тестирующих средств) и средств мониторинга, а также путем пробного запуска средств защиты информации и наблюдения реакции за их выполнением. В процессе испытаний технических и программных средств используются тестирующие средства, принятые в установленном порядке.

§ Моделирование действий злоумышленника («дружественный взлом» системы защиты информации) применяются после анализа результатов, полученных в ходе использования первых двух групп методов, - они необходимы как для контроля данных результатов, а также для подтверждения реальных возможностей потенциальных злоумышленников (как внутренних, легально допущенных к работе с тем или иным уровнем привилегий в ИС, так и внешних – в случае подключения ИС к глобальным информационным сетям). Кроме того, подобные методы могут использоваться для получения дополнительной исходной информации об объекте, которую не удалось получить другими методами. Применение методов моделирования действий злоумышленника ограниченно. При использовании данных методов необходимо учитывать, что при осуществлении тестовой атаки, используемое в ИС оборудование может быть выведено из строя, информационные ресурсы утрачены или искажены. Применение методов моделирования действий злоумышленника осуществляется только с согласия заказчика и под его контролем.