Методы оценки информационной безопасности АС

Аудит информационной безопасности – процесс сбора и анализа информации об АС, необходимой для последующего проведения качественной или количественной оценки уровня защиты от атак злоумышленников.

В число задач, решаемых при проведении аудита информационной безопасности АС, входят:

· Сбор и анализ исходных данных об организационной и функциональной структуре АС, необходимых для оценки состояния информационной безопасности.

· Анализ существующей политики обеспечения информационной безопасности на предмет полноты и эффективности.

· Построение модели нарушителей информационной безопасности.

· Построение модели угроз информационной безопасности по отношению к ресурсам АС, а также уязвимостей в существующей системе защиты, делающих возможным реализацию угроз информационной безопасности в АС.

· Анализ информационных и технологических рисков связанных с осуществлением угроз информационной безопасности.

· Осуществление тестовых попыток несанкционированного доступа к критически важным узлам ИС и определение уязвимостей в установках защиты данных узлов.

· Формирование рекомендаций по разработке (или доработке) Политики обеспечения информационной безопасности на основании анализа существующего режима информационной безопасности.

· Формирование предложений по использованию существующих и установке дополнительных средств защиты информации для повышения уровня надежности и информационной безопасности АС.

Проведение независимого аудита позволяет своевременно выявить существующие бреши и объективно оценить соответствие параметров, характеризующих режим информационной безопасности (ИБ), необходимому уровню. Для решения этих задач создаются специальные организации аудиторов в области информационной безопасности. Они ставят своей целью проведение экспертизы соответствия системы информационной безопасности определенным требованиям, оценки системы управления безопасностью, повышения квалификации специалистов в области информационной безопасности. Такие организации могут быть как государственными, так и иметь статус независимых, негосударственных.

Аудит позволяет оценить текущую безопасность функционирования информационной системы, оценить и прогнозировать риски, управлять их влиянием на бизнес-процессы фирмы, корректно и обоснованно подойти к вопросу обеспечения безопасности ее информационных активов, стратегических планов развития, маркетинговых программ, финансовых и бухгалтерских ведомостей, содержимого корпоративных баз данных. В конечном счете, грамотно проведенный аудит безопасности информационной системы позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание системы безопасности фирмы.

Основными направлениями деятельности в области аудита безопасности информации являются

1 Аттестация объектов информатизации по требованиям безопасности информации

a. аттестация автоматизированных систем, средств связи, обработки и передачи информации,

b. аттестация помещений, предназначенных для ведения конфиденциальных переговоров,

c. аттестация технических средств, установленных в выделенных помещениях

2 Контроль защищенности информации ограниченного доступа

a. выявление технических каналов утечки информации и способов несанкционированного доступа к ней,

b. контроль эффективности применяемых средств защиты информации

3 Специальные исследования технических средств на наличие побочных электромагнитных излучений и наводок (ПЭМИН)

a. персональные ЭВМ, средства связи и обработки информации;

b. локальные вычислительные системы;

c. оформления результатов исследований в соответствии с требованиями Гостехкомиссии России.

4 Проектирование объектов в защищенном исполнении.

a. разработка концепции информационной безопасности (первая глава учебника);

b. проектирование автоматизированных систем, средств связи, обработки и передачи информации в защищенном исполнении;

c. проектирование помещений, предназначенных для ведения конфиденциальных переговоров.

Методы аудита информационной безопасности:

- Экспертно-аналитические методы - проверка соответствия обследуемого объекта установленным требованиям по безопасности информации на основании экспертной оценки полноты и достаточности представленных документов по обеспечению необходимых мер ЗИ, а также соответствия реальных условий эксплуатации оборудования предъявляемым требованиям по размещению, монтажу и эксплуатации технических и программных средств.

- Экспертно-инструментальные методы - проведение проверки функций или комплекса функций ЗИ с помощью специального инструментария (тестирующих средств) и средств мониторинга, а также путем пробного запуска средств ЗИ и наблюдения реакции за их выполнением.

- Моделирование действий злоумышленника («дружественный взлом» системы ЗИ) применяются после анализа результатов, полученных в ходе использования первых двух групп методов, - они необходимы как для контроля данных результатов, а также для подтверждения реальных возможностей потенциальных злоумышленников (как внутренних, легально допущенных к работе с тем или иным уровнем привилегий в ИС, так и внешних – в случае подключения ИС к глобальным информационным сетям).

Каждый из вышеперечисленных методов аудита может проводиться по отдельности или в комплексе в зависимости от тех задач, которые необходимо решить. В качестве объекта аудита может выступать как АС в целом, так и её отдельные сегменты, в которых проводится обработка информации, подлежащей защите.

Аудит безопасности состоит из четырёх основных этапов, каждый из которых предусматривает выполнение определённого круга задач:

1. Разработка регламента проведения аудита

2. сбор исходных данных

3. анализ исходных данных с целью оценки текущего уровня безопасности

4. разработка рекомендаций по повышению уровня защиты АС.