Аудит информационных систем. Угрозы информационной безопасности. Информационные технологии 2019 год

Аудит информационных систем дает актуальные и точные данные о том, как работает ИС. На базе полученных данных можно планировать мероприятия для повышения эффективности предприятия. Практика проведения аудита информационной системы – в сравнении эталона, реальной обстановки. Изучают нормативы, стандарты, регламенты и практики, применимые в других фирмах. При проведении аудита предприниматель получает представление о том, как его фирма отличается от нормальной успешной компании в аналогичной сфере.

Информационные технологии в современном мире развиты исключительно сильно. Сложно представить себе предприятие, не имеющее на вооружении информационные системы:

Именно за счет ИС компания может нормально функционировать и идти в ногу со временем. Такие методологии необходимы для быстрого и полного обмена информацией с окружающей средой, что позволяет компании подстраиваться под изменения инфраструктуры и требований рынка. Информационные системы должны удовлетворять ряду требований, меняющихся по прошествии времени (внедряются новые разработки, стандарты, применяют обновленные алгоритмы). В любом случае информационные технологии позволяют сделать доступ к ресурсам быстрым, и эта задача решается через ИС. Кроме того, современные системы:

Основные задачи аудита информационных систем – выявление, соответствует ли внедренная ИС указанным параметрам.

Очень часто применяется так называемый процессный аудит информационной системы. Пример: внешние специалисты анализируют внедренные системы на предмет отличия от эталонов, изучая в том числе и производственный процесс, на выходе которого – программное обеспечение.

Может проводиться аудит, направленный на выявление того, насколько правильно применяется в работе информационная система. Практику предприятия сравнивают со стандартами производителя и известными примерами корпораций международного масштаба.

Аудит системы информационной безопасности предприятия затрагивает организационную структуру. Цель такого мероприятия – найти тонкие места в кадрах ИТ-отдела и обозначить проблемы, а также сформировать рекомендации по их решению.

Наконец, аудит системы обеспечения информационной безопасности направлен на качественный контроль. Тогда приглашенные эксперты оценивают, в каком состоянии процессы внутри предприятия, тестируют внедренную информационную систему и делают некоторые выводы по полученной информации. Обычно применяется модель TMMI.

Стратегический аудит состояния информационных систем позволяет определить слабые места во внедренной ИС и выявить, где применение технологий оказалось неэффективными. На выходе такого процесса у заказчика будут рекомендации, позволяющие устранить недочеты.

Аудит позволяет оценить, как дорого обойдётся внесение изменений в действующую структуру и сколько времени это займет. Специалисты, изучающие действующую информационную структуру компании, помогут подобрать инструментарий для реализации программы улучшений, учитывая особенности компании. По итогам можно также выдать точную оценку, в каком объеме ресурсов нуждается фирма. Проанализированы будут интеллектуальные, денежные, производственные.

Внутренний аудит информационных систем включает в себя проведение таких мероприятий, как:

  • инвентаризация ИТ;
  • выявление нагрузки на информационные структуры;
  • оценка статистики, данных, полученных при инвентаризации;
  • определение, соответствуют ли требования бизнеса и возможности внедренной ИС;
  • формирование отчета;
  • разработка рекомендаций;
  • формализация фонда НСИ.

Стратегический аудит состояния информационных систем – это процедура, которая: позволяет выявить причины недостаточной эффективности внедрённой информационной системы; провести прогнозирование поведения ИС при корректировке информационных потоков (числа пользователей, объема данных); предоставить обоснованные решения, помогающие повысить продуктивность (приобретение оборудования, совершенствование внедренной системы, замена); дать рекомендации, направленные на повышение продуктивности отделов компании, оптимизацию вложений в технологии. А также разработать мероприятия, улучшающий качественный уровень сервиса информационных систем.

Нет такой универсальной ИС, которая подошла бы любому предприятию. Есть две распространенных базы, на основе которых можно создавать уникальную систему под требования конкретного предприятия:

Но помните, что это лишь основа, не более. Все усовершенствования, позволяющие сделать бизнес эффективным, нужно программировать, учитывая особенности конкретного предприятия. Наверняка придется вводить ранее отсутствовавшие функции и отключать те, которые предусмотрены базовой сборкой. Современная технология аудита банковских информационных систем помогает понять, какие именно особенности должна иметь ИС, а что нужно исключить, чтобы корпоративная система была оптимальной, эффективной, но не слишком «тяжелой».

Анализ, позволяющий выявить угрозы информационной безопасности, бывает двух видов:

Первый предполагает единовременную процедуру. Организует ее руководитель компании. Рекомендовано регулярно практиковать такую меру, чтобы держать ситуацию под контролем. Ряд АО, финансовых организаций ввели требование внешнего аудита ИТ-безопасности обязательным к выполнению.

Внутренний – это регулярно проводимые мероприятия, регламентированные локальным нормативным актом «Положение о внутреннем аудите». Для проведения формируют годовой план (его готовит отдел, ответственный за аудит), утверждает генеральный директор, другой руководитель. ИТ-аудит – несколько категорий мероприятий, аудит безопасности занимает не последнее место по значимости.

Главная цель аудита информационных систем в аспекте безопасности – это выявление касающихся ИС рисков, сопряженных с угрозами безопасности. Кроме того, мероприятия помогают выявить:

  • слабые места действующей системы;
  • соответствие системы стандартам информационной безопасности;
  • уровень защищенности на текущий момент времени.

При аудите безопасности в результате будут сформулированы рекомендации, позволяющие улучшить текущие решения и внедрить новые, сделав тем самым действующую ИС безопаснее и защищённые от различных угроз.

Если проводится внутренний аудит, призванный определить угрозы информационной безопасности, тогда дополнительно рассматривается:

  • политика безопасности, возможность разработки новой, а также иных документов, позволяющих защитить данные и упростить их применение в производственном процессе корпорации;
  • формирование задач обеспечения безопасности работникам ИТ-отдела;
  • разбор ситуаций, сопряженных с нарушениями;
  • обучение пользователей корпоративной системы, обслуживающего персонала общим аспектам безопасности.

Перечисленные задачи, которые ставят перед сотрудниками, когда проводится внутренний аудит информационных систем, по своей сути, не аудит. Теоретически проводящий мероприятия лишь в качестве эксперта оценивает механизмы, благодаря которым система обезопасена. Привлеченное к задаче лицо становится активным участником процесса и теряет независимость, уже не может объективно оценивать ситуацию и контролировать ее.

С другой стороны, на практике при внутреннем аудите остаться в стороне практически невозможно. Дело в том, что для проведения работ привлекают специалиста компании, в прочее время занятого другими задачами в сходной области. Это значит, что аудитор – это тот самый сотрудник, который обладает компетенцией для решения упомянутых ранее заданий. Поэтому приходится идти на компромисс: в ущерб объективности привлекать работника к практике, чтобы получить достойный итог.

Таковые во многом сходны с шагами общего ИТ-аудита. Выделяют:

  • старт мероприятий;
  • сбор базы для анализирования;
  • анализ;
  • формирование выводов;
  • отчетность.

Аудит информационных систем в аспекте безопасности начинается, когда на это дает отмашку руководитель компании, так как именно начальники – те персоны, которые более прочих заинтересованы в эффективной проверке предприятия. Проведение аудита невозможно, если руководство не поддерживает процедуру.

Аудит информационных систем обычно комплексный. В нем принимает участие аудитор и несколько лиц, представляющих разные отделы компании. Важна совместная работа всех участников проверки. При инициации аудита важно уделить внимание следующим моментам:

  • документальная фиксация обязанностей, прав аудитора;
  • подготовка, согласование плана аудита;
  • документальное закрепление того факта, что сотрудники обязаны оказывать аудитору посильную помощь и предоставлять все запрашиваемые им данные.

Уже в момент инициации проверки важно установить, в каких границах проводится аудит информационных систем. В то время как некоторые подсистемы ИС критичны и требуют особенного внимания, другие таковыми не являются и достаточно маловажны, поэтому допускается их исключение. Наверняка найдутся и такие подсистемы, проверка которых будет невозможна, так как вся информация, хранимая там, конфиденциальна.

Перед началом работ формируется список ресурсов, которые предполагается проверить. Это могут быть:

Выделяют, на каких площадках проводят аудит, на какие угрозы проверяют систему. Существуют организационные границы мероприятия, аспекты обеспечения безопасности, обязательные к учету при проверке. Формируется рейтинг приоритетности с указанием объема проверки. Такие границы, а также план мероприятия утверждаются генеральным директором, но предварительно выносятся темой общего рабочего собрания, где присутствуют начальники отделов, аудитор и руководители компании.

При проведении проверки безопасности стандарты аудита информационных систем таковы, что этап сбора информации оказывается наиболее продолжительным, трудоемким. Как правило, ИС не имеет документации к ней, а аудитор вынужден плотно работать с многочисленными коллегами.

Чтобы сделанные выводы оказались компетентными, аудитор должен получить максимум данных. О том, как организована информационная система, как она функционирует и в каком состоянии находится, аудитор узнает из организационной, распорядительной, технической документации, в ходе самостоятельного исследования и применения специализированного ПО.

Документы, необходимые в работе аудитора:

  • организационная структура отделов, обслуживающих ИС;
  • организационная структура всех пользователей.

Аудитор интервьюирует работников, выявляя:

  • провайдера;
  • владельца данных;
  • пользователя данных.
  • основные виды приложений ИС;
  • число, виды пользователей;
  • услуги, предоставляемые пользователям.

Если в фирме есть документы на ИС из перечисленного ниже списка, обязательно нужно предоставить их аудитору:

  • описание технических методологий;
  • описание методик автоматизации функций;
  • функциональные схемы;
  • рабочие, проектные документы.

Для корректных выводов аудитор должен располагать максимально полным представлением об особенностях внедренной на предприятии информационной системы. Нужно знать, каковы механизмы безопасности, как они распределены в системе по уровням. Для этого выясняют:

  • наличие и особенности компонентов используемой системы;
  • функции компонентов;
  • графичность;
  • входы;
  • взаимодействие с различными объектами (внешнее, внутреннее) и протоколы, каналы для этого;
  • платформы, примененные для системы.
  • технических средств;
  • ПО;
  • информационного обеспечения;
  • структурных компонентов.

На практике многие из документов готовят непосредственно при проведении проверки. Анализировать информацию можно лишь при сборе максимального объема информации.

Есть несколько методик, применяемых для анализа полученных данных. Выбор в пользу конкретной основывается на личных предпочтениях аудитора и специфике конкретной задачи.

Наиболее сложный подход предполагает анализировать риски. Для информационной системы формируются требования к безопасности. Они базируются на особенностях конкретной системы и среды ее работы, а также угроз, свойственных этой среде. Аналитики сходятся во мнении, что такой подход требует наибольших трудозатрат и максимальной квалификации аудитора. Насколько хорош будет результат, определяется методологией анализа информации и применимостью выбранных вариантов к типу ИС.

Более практичный вариант предполагает обращение к стандартам безопасности для данных. Таковыми определяется набор требований. Это подходит для различных ИС, так как методика выработана на основе крупнейших фирм из разных стран.

Из стандартов следует, каковы требования безопасности, зависящие от уровня защиты системы и принадлежности ее тому или иному учреждению. Многое зависит от предназначения ИС. Главная задача аудитора – определить корректно, какой набор требований по безопасности актуален в заданном случае. Выбирают методику, по которой оценивают, соответствуют ли стандартам имеющиеся параметры системы. Технология довольно простая, надежная, поэтому распространена широко. При небольших вложениях в результате можно получить точные выводы.

Практика показывает, что многие руководители, особенно небольших фирм, а также те, чьи компании работают уже достаточно давно и не стремятся осваивать все новейшие технологии, относятся к аудиту информационных систем довольно халатно, так как просто не осознают важности этой меры. Обычно лишь ущерб бизнесу провоцирует начальство принимать меры по проверке, выявлению рисков и защите предприятия. Иные сталкиваются с тем, что у них крадут данные о клиентуре, у других утечки происходят из баз данных контрагентов или уходит информация о ключевых преимуществах некоего субъекта. Потребители перестают доверять компании, как только случай подвергается огласке, и компания терпит еще больший урон, нежели просто от потери данных.

Если есть вероятность утечки информации, невозможно построить эффективный бизнес, имеющий хорошие возможности сейчас и в будущем. У любой компании есть данные, представляющие ценность для третьих лиц, и их нужно беречь. Чтобы защита была на высочайшем уровне, необходим аудит, выявляющий слабые стороны. В нем нужно учитывать международные стандарты, методики, новейшие наработки.

  • оценивают уровень защиты;
  • анализируют применяемые технологии;
  • корректируют документы по безопасности;
  • моделируют рисковые ситуации, при которых возможна утечка данных;
  • рекомендуют внедрение решений для устранения уязвимостей.
Это интересно:  Как назвать магазин косметики и парфюмерии? 2019 год

Проводят эти мероприятия одним из трех образов:

  • активный;
  • экспертный;
  • выявляющий соответствие стандартам.

Активный аудит предполагает оценку системы, на которую смотрит потенциальный хакер. Именно его точку зрения «примеряют» на себя аудиторы — изучают сетевую защиту, для чего применяют специализированное ПО и уникальные методики. Обязателен и внутренний аудит, проводимый также с точки зрения предполагаемого преступника, желающего украсть данные или нарушить работу системы.

При экспертном аудите проверяют, насколько соответствует внедренная система идеальной. При выявлении соответствия стандартам за основу берут абстрактное описание стандартов, с которыми сравнивают имеющийся объект.

Корректно и качественно проведенный аудит позволяет получить следующие итоги:

  • минимизация вероятности успешной хакерской атаки, ущерба от нее;
  • исключение атаки, основанной на изменении архитектуры системы и информационных потоков;
  • страхование как средство уменьшения рисков;
  • минимизация риска до уровня, когда таковой вовсе можно не учитывать.

ЛазуткинАнтон Николаевич,магистрант 1 курса,ФГБОУ ВПО «Брянскийгосударственныйтехнический университет», г.Брянскlazutkin93@mail.ru

Аудит информационной безопасности предприятия.Основные угрозы и этапы внедрения системы обеспеченияинформационной безопасности

Аннотация.В данной статье информация рассмотрена как ценный ресурс, на который опираются бизнеспроцессы в любой компании. Представлены основные виды угроз информационной безопасности. Также приведен алгоритм внедрения системы обеспечения информационной безопасности, а также состав расходов, включающий оценку затрат на содержание этой системы. В конце статьи дана оценка внедрению СИБ в организации.Ключевые слова:Информация, информационная безопасность, ресурсы, система, аудит.

Информация –самый ценный ресурс в компании, а в некоторых случаях является и производственным ресурсом, от сохранности которого зависят важные технологические процессы. Развитие информационных систем ведет к тому, что рано или поздно может обозначиться критический порог, когда система еще работает, но неизвестно, как отреагирует на возникновение угроз безопасности.Под угрозой информационной безопасности принято понимать потенциально возможные действия, явления или процессы, способные оказать нежелательное воздействиена систему или на хранящуюся в ней информацию. Такие угрозы, воздействуя на ресурсы, могут привести к искажению данных, копированию, несанкционированному распространению, ограничению или блокированию к ним доступа.Сегодня информационные системы (ИС) играют ключевую роль в обеспечении эффективности работы коммерческих и государственных предприятий. Повсеместное использование ИС для хранения, обработки и передачи информации делает актуальными проблемы их защиты, особенно учитывая глобальную тенденцию к росту числа информационных атак, приводящих к значительным финансовым и материальным потерям. Для эффективной защиты от атак компаниям необходима объективная оценка уровня безопасности ИС именно для этих целей и применяется аудит безопасности[1].В России и мире разработана обширная законодательная база в области защиты информации. Нормативные акты, которыми руководствуются при проведении аудита ИБ:Законы РФРуководящие документы ФСБ и ФСТЭКМеждународные стандарты и рекомендации (ISO/IEC);Государственные стандарты РФОтраслевые стандарты и рекомендации (СТО БР ИББС, NIST, NERC, PCI DSS);Рекомендации (Best Practice) на основе мирового опыта;Нормативные акты и стандарты предприятия.В последнее время в разных странах появилось новое поколение стандартов в области ИБ, посвященных практическим аспектам организации и управления ИБ. Особого внимания заслуживает британский стандарт BS7799 и ассоциированные документы, как наиболее проработанные и апробированные.Многие организации, желающие пройти сертификацию насоответствие требованиям британского стандарта BS7799, уже имеют системы управления качеством, сертифицированные по стандартам ISO 9001 или 9002. Аудит системы ИБ можно совместить с сертификацией на соответствие этим стандартам как на первоначальном этапе, так и при контрольных проверках.Отечественные и зарубежные стандарты вполне совместимы, зарубежные отличаются, в основном, большей детализацией многих аспектов.Как правило, для проведения аудита привлекаются внешние компании, которые предоставляют консалтинговые услуги в области информационной безопасности. Инициатором процедуры аудита может стать руководство предприятия, служба автоматизации или служба информационной безопасности. В ряде случаев аудит также проводится по требованию страховых компаний или регулирующих органов. Аудит безопасности выполняется группой экспертов, численность и состав которой зависит от целей и задач обследования, а также от сложности объекта оценки.Можно выделить следующие основные виды аудита информационной безопасности:экспертный аудит безопасности, в ходе которого выявляются недостатки в системе мер защиты информации на основе опыта экспертов, участвующих в процедуре обследования;оценка соответствия рекомендациям международного стандарта ISO 17799, а также требованиям руководящих документов ФСТЭК (Гостехкомиссии)[3];инструментальный анализ защищенности ИС, направленный на выявление и устранение уязвимостей программноаппаратного обеспечения системы;комплексный аудит, включающий в себя все вышеперечисленные формы проведения обследования.Любой из перечисленных видов аудита может проводиться по отдельности или в комплексе, в зависимости от тех задач, которые решает предприятие. В качестве объекта аудита может выступать как ИС компании в целом, так и ее отдельные сегменты,в которых обрабатывается информация, подлежащая защите[4].Информация –самый ценный ресурс в компании, а в некоторых случаях является и производственным ресурсом, от сохранности которого зависят важные технологические процессы. Развитие информационных систем ведет к тому, что рано или поздно может обозначиться критический порог, когда система еще работает, но неизвестно, как отреагирует навозникновениеугроз безопасности.Любой из перечисленных видов аудита может проводиться по отдельности или в комплексе, в зависимости от тех задач, которые решает предприятие. В качестве объекта аудита может выступать как ИС компании в целом, так и ее отдельные сегменты, в которых обрабатывается информация, подлежащая защите[4].В общем случае аудит безопасности, вне зависимости от формы его проведения, состоит из четырех основных этапов, на каждом из которых выполняется определенный круг работ (Рис. 1).

Рис. 1Основные этапы работ при проведении аудита безопасности

На первом этапе совместно с заказчиком разрабатывается регламент, устанавливающий состав и порядок проведения работ. Основная задача регламента определить границы, в рамках которых будет проводиться обследование. Регламент позволяет избежать взаимных претензий по завершении аудита, поскольку четко определяет обязанности сторон. Как правило, регламент содержит следующую основную информацию:состав рабочих групп от исполнителя и заказчика;список и местоположение объектов заказчика, подлежащих аудиту;перечень информации, которая будет предоставлена исполнителю;перечень ресурсов, выступающие в качестве объектов защиты;модель угроз информационной безопасности, на основе которой проводится аудит;На втором этапе собирается исходная информация. Методы сбора информации включают интервьюирование сотрудников заказчика, заполнение опросных листов, анализ предоставленной организационнораспорядительной и технической документации, использование специализированных инструментальных средств.Третий этап работ предполагает анализ собранной информации с целью оценки текущего уровня защищенности ИС предприятия. По результатам проведенного анализа на четвертом этапе разрабатываются рекомендации по повышению уровня защищенности ИС от угроз информационной безопасности.На последнем этапе аудита информационной безопасности разрабатываются рекомендации по совершенствованию организационнотехнического обеспечения защиты на предприятии. Такие рекомендации могут включать в себяразличные типы действий, направленных на минимизацию выявленных рисков.В завершение процедуры аудита его результаты оформляются в виде отчетного документа, который предоставляется заказчику. В общем случае этот документ состоит из следующих основных разделов:описание границ, в рамках которых проводился аудит безопасности;описание структуры ИС заказчика;методы и средства, которые использовались в процессе проведения аудита;описание выявленных уязвимостей и недостатков, включая уровень их риска;рекомендации по совершенствованию комплексной системы обеспечения информационной безопасности;предложения к плану реализации первоочередных мер, направленных на минимизацию выявленных рисков.Под угрозой информационной безопасности принято понимать потенциально возможные действия, явления или процессы, способные оказать нежелательное воздействие на систему или на хранящуюся в ней информацию. Такие угрозы, воздействуя на ресурсы, могут привести к искажению данных, копированию, несанкционированному распространению,ограничению или блокированию к ним доступа[3]. Основнымивидамиугроз информационной безопасности являются:хищение (копирование) информации;уничтожение информации;модификация (искажение) информации;нарушение доступности (блокирование) информации;отрицание подлинности информации;навязывание ложной информации.В качестве источников угроз могут выступать как субъекты (личность) так и объективные проявления. Причем, источники угроз могут находиться как внутри защищаемой организации внутренние источники, так и вне ее внешние источники. Деление источников на субъективные и объективные оправдано исходя из предыдущих рассуждений по поводу вины или риска ущерба информации. А деление на внутренние и внешние источники оправдано потому, что для одной и той же угрозы методы парирования для внешних и внутреннихисточников могу быть разными. Все источники угроз безопасности информации можно разделить на три основные группы:1.Обусловленные действиями субъекта (антропогенные источники угроз).2.Обусловленные техническими средствами (техногенные источники угрозы).3.Обусловленные стихийными источниками.Аудит информационной безопасности позволяет получить объективную и независимую оценку текущего состояния защищенности информационных ресурсов и автоматизированной системы. Результаты проведения аудита являются основой для формирования дальнейшей стратегии развития информационной безопасности, а также аспекты создания системы защиты информации[1].

Алгоритм разработки такой системыразделен на следующие этапы:1.Обследование и аудит.2.Формирование требований к системе обеспечения информационной безопасности и разработка технического задания на ее создание.3.Проектирование системы обеспечения информационной безопасности.4.Внедрение системы обеспечения информационной безопасности.Невозможно полностью исключить затраты на безопасность. Некоторые виды затрат на безопасность являются абсолютно необходимыми(обслуживание технических средств информационной безопасности, обучение персонала методам информационной безопасностии т.д.), а некоторые могут быть существенно уменьшены или исключены. Последние –это те, которые могут исчезнуть при отсутствии нарушений политики безопасности или сократятся, если количество и разрушающее воздействие нарушений уменьшатсязатраты на восстановление системы, восстановление ресурсов информационной среды, выявление причин нарушения политики информационной безопасности и т.д..Разработкапроектов защиты объекта, закупканеобходимых элементов безопасности и эксплуатациясистем защиты для владельца информации есть нечто иное, как материализованный экономический ущерб. Идя на эти траты, пользователь надеется избежать большего ущерба, связанного с возможным нарушением конфиденциальности. Возникает дилемма: внести плату (частично реализовав ущерб) за возможность уклонения с долей вероятности или допустить возможность ущерба в полной мере, не тратя ничего. Разумное решение состоит в определении оптимальных вложений в системы защиты, обеспечивающих минимальные финансовые потери владельца информации при несанкционированных действиях с нею[2].Оценивая стоимость проекта, необходимо учитывать затраты на покупку лицензии, услуги консультантов по внедрению, а также затраты на возможную перестройку бизнеспроцессов[4].Опишемтакже и другие категории расходов на внедрение и эксплуатацию системы обеспечения информационной безопасности (Табл.1).

Таблица 1Расходы на внедрение и эксплуатацию СОИБ

Тип затрат на внедрение СОИБОписание состава затратРасходы на аппаратные средства и программное обеспечениеСерверы, компьютеры, периферийные устройства и сетевые компоненты, аппаратнопрограммные средства.Расходы на операции СОИБСодержание персонала, стоимость работ и аутсорсинг, поддержание инфраструктуры.Административные расходыПерсонал, обеспечение деятельности и расходы внешних/внутренних поставщиков на поддержку операций (управление, финансирование, приобретение СИБ и обучение)Расходы на операции конечных пользователейСамостоятельная поддержка пользователей, официальное обучение, самостоятельныеприкладные разработки в связи с ростом потребностей компании, поддержка локальной файловой системы.Расходы на простоиЕжегодные потери производительности пользователей от запланированных и незапланированных отключений сетевых ресурсов, включая клиентские компьютеры, серверы, ПО для связи и т.д. Рассматриваются только те простои, которые ведут к потерям в основной деятельности организации.

Сокращения затрат можно добиться путем предупредительных действий–курсы, консультации и т.д. На этой стадии затраты на потери падают. При этом изменения объема затрат на контроль незначительны.Таким образом, можно сделать вывод о том, что наиболее надежными системами обеспечения информационной безопасности(СОИБ) являются те, в которых комплексно реализованы все возможные и доступные меры —моральноэтические, законодательные, организационные, экономические и технические. Однако комплексные решения очень дороги и могут быть реализованы далеко не всегда. Кроме того,ущерб от утраты защищаемой информации или от разного рода несанкционированных действий с ней может быть гораздо меньше стоимости СОИБ. Поэтому уровень финансовых средств, выделяемых на создание и эксплуатацию СОИБ, должен быть сбалансированным и соответствовать масштабу угроз. Необходимо при этом отметить, что затраты на СОИБносят детерминированный характер, поскольку они уже материализованы в конкретные меры, способы и средства защиты, а вот ущерб, который может быть нанесен при несанкционированных действиях, —величина случайная.

Это интересно:  Иждивенец — это... Доплата и надбавка на иждивенцев 2019 год

Ссылки на источники1.Петренко С.А., Симонов С.В. Экономически оправданная безопасность. Управление информационными рисками. –Изд. ДМК, Москва, 2010. 2.Семененко В.А. Информационная безопасность: Учебное пособие. М.: МГИУ, 2004

215 с.3.О.А. Цуканова, С.Б.Смирнов Экономика защиты информации: Учебное пособие. –СПб.: СПб ГУИТМО, 2013 –59с.4.А.И.Войтик, В.Г.Прожерин Экономика информационной безопасности: Учебное пособие. –СПб.: НИУ ИТМО, 2012 –120с.

Метод аудита информационной безопасности информационных систем Текст научной статьи по специальности «Общие и комплексные проблемы технических и прикладных наук и отраслей народного хозяйства»

Аннотация научной статьи по общим и комплексным проблемам технических и прикладных наук и отраслей народного хозяйства, автор научной работы — Иванова Н. В., Коробулина О. Ю.

Проводится анализ существующих методов аудита информационной безопасно-сти информационных систем с помощью технологии SWOT-анализа. На основании по-лученных результатов разрабатывается собственный метод аудита информационной безопасности информационных систем с использованием экспертных систем.

Похожие темы научных работ по общим и комплексным проблемам технических и прикладных наук и отраслей народного хозяйства , автор научной работы — Иванова Н. В., Коробулина О. Ю.,

The article presents the analysis of the existing information security audit methods of the information systems by means of the technology of SWOT-analysis. Using the derived results, authors develop a new information security audit method of the information systems that use the expert systems technology.

Общетехнические задачи и пути их решения

Н. В. Иванова, О. Ю. Коробулина

МЕТОД АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ

Проводится анализ существующих методов аудита информационной безопасности информационных систем с помощью технологии SWOT-анализа. На основании полученных результатов разрабатывается собственный метод аудита информационной безопасности информационных систем с использованием экспертных систем.

информационная безопасность, метод аудита, экспертная система, степень защищенности.

Сегодня на железнодорожном транспорте используется большое количество информационных систем, через которые проходят потоки важной, а подчас и критичной информации. Эта информация подлежит обязательной защите от несанкционированных изменений и несанкционированного доступа, в противном случае могут возникнуть опасные инциденты.

Для обеспечения информационной безопасности (ИБ) информационных систем создаются системы защиты информации, корректность работы которых необходимо постоянно контролировать, чтобы поддерживать требуемый уровень безопасности. С этой целью проводится аудит информационной безопасности.

Аудит информационной безопасности необходим для выявления недостатков систем защиты информации и на основании полученных результатов — улучшения их защитных функций. В том случае, если недостатки системы защиты информации не будут вовремя выявлены, может произойти инцидент информационной безопасности, который неблагоприятно скажется на имидже информационной системы и снизит доверие к ней со стороны пользователей.

1 Методы аудита информационной безопасности

Под информационной безопасностью понимается обеспечение конфиденциальности, целостности и доступности, а также подлинности информации, надежности систем, контроля над выполнением обязательств [1].

Стандарт [1] также вводит два важных определения: угрозы и уязвимости информационной безопасности.

Угроза — потенциальная причина нежелательного инцидента, который может причинить вред информационной системе или компании.

Общетехнические задачи и пути их решения

Уязвимость — это отрицательная характеристика актива или группы активов, с помощью которой может быть реализована одна или несколько угроз.

Таким образом, информационная безопасность информационной системы может быть нарушена вследствие возникновения угроз информационной безопасности, которые реализуются посредством уязвимостей, существующих в информационной системе.

Событие информационной безопасности — зафиксированное событие в работе системы, сервиса или сети, показывающее возможные нарушения политики информационной безопасности или повреждения средств защиты, или ранее неизвестные ситуации, которые могут повлиять на безопасность [1].

Инцидент информационной безопасности — это единичное нежелательное или неожиданное событие информационной безопасности (или совокупность таких событий), которое может скомпрометировать бизнеспроцессы компании или угрожать ее информационной безопасности [1].

Для предотвращения инцидентов информационной безопасности необходимо своевременно проводить аудит информационной безопасности.

Ассоциация аудита и управления информационными системами (The Information Systems Audit and Control Association, ISACA) дает следующее определение термина «аудит информационной безопасности».

Аудит информационной безопасности — это процесс сбора и анализа сведений, позволяющих установить:

обеспечивается ли безопасность ресурсов организации (включая данные);

обеспечиваются ли необходимые параметры целостности и доступности данных;

достигаются ли цели организации в части эффективности информационных технологий.

На сегодняшний день существует три основных метода аудита информационной безопасности, они представлены на рисунке 1.

Рис. 1. Виды аудита информационной безопасности

Proceedings of Petersburg Transport University

Общетехнические задачи и пути их решения

Активный аудит ИБ — это исследование состояния защищенности информационной системы с точки зрения злоумышленника, обладающего высокой квалификацией в области информационных технологий [2].

При осуществлении данного вида аудита моделируется как можно большее количество атак на систему сетевой защиты. При этом аудитору предоставляется только та информация, которую можно найти в открытых источниках. Результатом активного аудита является информация обо всех уязвимостях, степени их критичности и методах устранения.

Экспертный аудит — это сравнение состояния информационной безопасности с описанием состояния информационной безопасности, которое базируется:

на требованиях, предъявленных руководством компании;

на аккумулированном в компании-аудиторе мировом и частном опыте [2].

Для сбора исходных данных об информационной системе используется метод интервьюирования сотрудников компании. Технические специалисты отвечают на вопросы, связанные с функционированием информационной системы, а руководящий состав компании объясняет требования, которые предъявляются к системе защиты информации.

Результаты экспертного аудита содержат различные предложения по построению или модернизации системы обеспечения информационной безопасности.

При проведении аудита на соответствие стандартам состояние информационной безопасности сравнивается с неким абстрактным описанием, приводимым в международных и национальных стандартах [2].

Официальный отчет, подготовленный в результате проведения данного вида аудита, включает следующую информацию:

степень соответствия проверяемой информационной системы выбранным стандартам;

степень соответствия собственным внутренним требованиям компании в области информационной безопасности;

количество и категории полученных несоответствий и замечаний;

рекомендации по построению или модификации системы обеспечения информационной безопасности, позволяющие привести ее в соответствие с рассматриваемым стандартом;

подробную ссылку на основные документы заказчика, включая политику безопасности, описания необязательных стандартов и норм, применяемых к данной компании.

Интересным механизмом для проведения анализа методов аудита информационной безопасности является SWOT-анализ.

Общетехнические задачи и пути их решения

Изначально SWOT-анализ был создан для использования в маркетинговых исследованиях, но его механизм достаточно универсален, поэтому SWOT-анализ может быть применим и в других областях. SWOT-анализ имеет своей целью определение сильных и слабых сторон предприятия (анализ внутренней среды), а также возможностей и угроз ближайшего окружения фирмы (анализ внешней среды) [3].

В данной работе SWOT-анализ используется для определения достоинств и недостатков методов аудита информационной безопасности, а также для определения тех факторов внешней среды, которые могут способствовать или, наоборот, мешать проведению аудита.

Используя результаты SWOT-анализа, можно сделать вывод о том, какой из методов аудита является наиболее перспективным на сегодняшний день и, соответственно, какой из методов ляжет в основу дальнейшего исследования авторов.

Таблицы 1, 2 и 3 представляют собой SWOT-матрицы, составленные для трех основных методов аудита информационной безопасности.

ТАБЛИЦА 1. SWOT-матрица активного аудита

Сильные стороны Слабые стороны

Автоматизация процесса аудита В процессе проведения аудита не требуется участие сотрудников компании Частота проведения аудита не регламентируется Возможно проведение стресстестирования для определения производительности и стабильности работы системы, а также проверки системы на устойчивость к DoS-атакам Требуется дополнительное программное обеспечение На время проведения аудита необходимо прекратить работу системы Аудит направлен на выявление только известных уязвимостей

Высокий спрос на рынке Аудит может быть осуществлен сотрудниками подразделения информационной безопасности предприятия Большое количество программных продуктов различных организаций Автоматизация большей части работы экспертов Высокая стоимость необходимого программного обеспечения Для каждой системы необходимо подбирать программное обеспечение для проведения аудита Отсутствие нормативной базы для проведения аудита Возможны ошибки в используемом программном обеспечении

Proceedings of Petersburg Transport University

Общетехнические задачи и пути их решения

ТАБЛИЦА 2. SWOT-матрица экспертного аудита

Сильные стороны Слабые стороны

Не требуется дополнительного программного обеспечения Не требуется прекращение работы системы на время проведения аудита Частота проведения аудита не регламентируется Аудит исходит из угроз информационной безопасности, тем самым позволяет покрыть большое число уязвимостей Необходимо участие сотрудников организации в процессе проведения аудита Высокие требования к качеству информации, предоставляемой компанией-заказчиком Длительные подготовительные работы Процесс аудита может занять большое количество времени

Накопленный большой опыт экспертных знаний в сфере информационной безопасности Наличие необходимых нормативноправовых документов Аудит может быть осуществлен сотрудниками подразделения информационной безопасности предприятия Возможность автоматизации процесса аудита Отсутствуют средства автоматизации процесса Необходимость доверия оценкам экспертов Высокие требования к компетентности экспертов Возможны противоречия во мнениях экспертов

ТАБЛИЦА 3. SWOT-матрица аудита на соответствие стандартам

Сильные стороны Слабые стороны

Порядок проведения аудита регламентируется нормативными документами В нормативных документах присутствует описание отчетных документов Не требуется дополнительного программного обеспечения Не требуется прекращение работы системы во время проведения аудита Необходимо участие сотрудников организации в процессе проведения аудита Аудит необходимо проводить каждый раз при изменении системы Высокие требования к качеству информации, предоставляемой компанией-заказчиком Процесс аудита может занять большое количество времени

Сертификат безопасности, выдаваемый в результате проведения аудита, повышает престиж организации В требованиях нормативных документов находят отражение лучшие практические выводы экспертов Высокий спрос на рынке Большое количество нормативноправовых документов Нормативная база постоянно дорабатывается Противоречия в нормативно-правовых документах Невозможно выполнить аудит силами самой организации, т. к. сертификат соответствия выдает только аккредитованная организация

Общетехнические задачи и пути их решения

Чтобы перейти от качественных оценок к количественным для приведенных в таблицах 1, 2 и 3 факторов авторами были определены следующие значения:

коэффициент важности фактора (F_impj);

наблюдаемое значение влияния фактора (F_infi);

степень неопределенности суждения (F_probi).

Значимость каждого фактора вычисляется по формуле:

F _ valt = F _ inf * F _ probt.

Тогда общая сумма значимости всех факторов для каждого параметра имеет вид:

Результаты вычисления значимости параметров для каждого метода аудита информационной безопасности представлены в таблице 4. На рисунке 2 полученные значения проиллюстрированы гистограммой.

ТАБЛИЦА 4. Значимость параметров

Достоинства и недостатки параметров Активный аудит Экспертный аудит Аудит на соответствие стандартам

Сильные стороны 112,75 137,15 98,70

Слабые стороны 147,20 147,00 154,35

Возможности 174,80 184,95 163,80

Как видно из таблицы 4 и гистограммы на рисунке 2, самые лучшие показатели у экспертного аудита. Следовательно, именно этот метод является наиболее перспективным методом аудита информационной безопасности.

Но проведение экспертного аудита информационной безопасности требует хорошей подготовки экспертов, а специалистов такого уровня очень мало. Кроме того, решение задачи плохо формализуется и в большей степени строится на личном опыте и интуиции. Значит можно сделать вывод о том, что для решения таких задач следует использовать системы, основанные на знаниях.

Это интересно:  Какие права есть у работника при задержке выплаты заработной платы по законодательству 2019 год

Proceedings of Petersburg Transport University

Общетехнические задачи и пути их решения

Сильные стороны Слабые стороны Возыоилости Угрозы

Рис. 2. Результаты SWOT-анализа

3 Метод аудита информационной безопасности

Авторами исследования разработан метод проведения аудита информационной безопасности информационных систем, применять который предлагается с помощью экспертной системы.

При проектировании экспертной системы выполняются следующие действия.

1. Выявляются основные угрозы информационной безопасности и производится их классификация.

2. Для каждой угрозы информационной безопасности определяется перечень уязвимостей, через которые может быть реализована данная угроза.

3. Для каждой уязвимости определяется перечень требований информационной безопасности, которые должны выполняться, чтобы избежать реализации угрозы.

4. Каждому требованию присваивается вес, выражающий степень важности требования.

Таким образом, экспертная система состоит из модулей, содержащих требования безопасности, предъявляемые к каждой уязвимости. Экспертная система самостоятельно выбирает модули, участвующие в процессе аудита информационной безопасности, в зависимости от того, от каких угроз будет анализироваться защищенность информационной системы.

Общетехнические задачи и пути их решения

Алгоритм проведения аудита состоит из семи этапов.

1. Определяется перечень угроз информационной безопасности, которые будут рассматриваться при проведении аудита информационной безопасности.

2. ЭС определяет перечень уязвимостей, через которые могут быть реализованы выбранные угрозы.

3. Для каждой уязвимости аудитор указывает требования, которые выполнены в системе защиты информации.

4. На основе полученных от аудитора ответов экспертная система вычисляет степень защищенности информационной системы от каждой уязвимости и объясняет полученные результаты.

5. Экспертная система вычисляет степень защищенности информационной системы от каждой из выбранных угроз с учетом степени защищенности от тех уязвимостей, через которые может быть реализована угроза, и объясняет полученные результаты.

6. Экспертная система вычисляет степень защищенности информационной системы от всех выбранных угроз с учетом степени защищенности системы от каждой выбранной угрозы и объясняет полученные результаты.

7. В зависимости от вычисленного значения степени защищенности экспертная система выдает рекомендации относительно повышения уровня защищенности от каждой из выбранных угроз.

4 Математическое описание метода аудита информационной безопасности

Множество угроз информационной безопасности:

Множество уязвимостей, через которые реализуются угрозы:

Каждая угроза реализуется через определенное множество уязвимостей:

Множество требований, предъявляемых к системе защиты информации:

Множество количества требований:

Proceedings of Petersburg Transport University

Общетехнические задачи и пути их решения

Количества требований, предъявляемых к системе защиты информации для защиты от различных уязвимостей, могут совпадать или не совпадать:

Vk,kj е K: kj = ki v kj Ф ki.

Для защиты информационной системы от каждой уязвимости к системе защиты информации предъявляется определенное множество требований:

IVuli е Vul: 3 e Req. Множество весов всех требований:

Степень защищенности системы от t-й уязвимости:

где L — количество выполненных требований.

Степень защищенности системы от r-й угрозы:

где S — количество уязвимостей, через которые реализуется угроза; SZ_Vulmaxi — максимальная степень защищенности от i-й угрозы. Максимальная степень защищенности для любой уязвимости равна 1:

У Vul. е Vul: SZ _ Vulmax = 1.

Тогда степень защищенности системы от r-й угрозы может быть вычислена по формуле:

Общетехнические задачи и пути их решения

С использованием аналогичных рассуждений степень защищенности информационной системы от выбранных угроз вычисляется по формуле:

SZ _ Sys = ——, SZ _ Sys e [0; 1],

где P — количество выбранных угроз.

На основе представленного в статье анализа методов аудита информационной безопасности можно сделать вывод, что для повышения качества проведения аудита целесообразно применять экспертные системы. Применение экспертных систем позволит, с одной стороны, компании-заказчику проводить аудит собственными силами, а экспертов по информационной безопасности приглашать только в критических ситуациях; с другой стороны, для компании-аудита экспертная система может выступать в качестве инструментального средства, позволяющего ускорить процесс проведения аудита и облегчить работу экспертов.

Статья поступила в редакцию 28.05.2010;

представлена к публикации членом редколлегии А. А. Корниенко.

Proceedings of Petersburg Transport University

Основными видами угроз безопасности информационных технологий и информации (угроз интересам субъектов информационных отношений) являются:

ü стихийные бедствия и аварии (наводнения, ураганы, землетрясения, пожары и т.п.);

ü сбои и отказы оборудования (технических средств) АИТУ;

ü последствия ошибок проектирования и разработки компонентов АИТУ (аппаратных средств, технологии обработки информации, программ, структур данных и т.п.);

ü ошибки эксплуатации (пользователей, операторов и другого персонала);

ü преднамеренные действия нарушителей и злоумышленников (обиженных лиц из числа персонала, преступников, шпионов, диверсантов и т.п.).

Угрозы безопасности можно классифицировать по различным признакам:

· по нарушению свойств информации:

— угроза нарушения конфиденциальности обрабатываемой информации;

— угроза нарушения целостности обрабатываемой информации;

— угроза нарушения работоспособности системы, т.е. угроза доступности;

Естественные угрозы это угрозы, вызванные воздействиями на АИТУ и ее элементы объективных физических процессов или стихийных природных явлений. Искусственные угрозы это угрозы АИТУ, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:

¨ а) непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании АИТУ и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;

¨ б) преднамеренные, умышленные угрозы, связанные с корыстными устремлениями людей (злоумышленников). Источники угроз по отношению к информационной технологии могут быть внешними или внутренними (компоненты самой АИТУ – ее аппаратура, программы, персонал).

Основные непреднамеренные искусственные угрозы АИТУ (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла):

1) неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.);

2) неправомерное включение оборудования или изменение режимов работы устройств и программ;

3) неумышленная порча носителей информации;

4) запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.);

5) нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и других, не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузкой процессора, захватом оперативной памяти и памяти на внешних носителях);

6) заражение компьютера вирусами;

7) неосторожные действия, приводящие к разглашению конфиденциальной информации или делающие ее общедоступной;

8) разглашение, передача или утрата атрибутов разграничения (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.);

9) проектирование архитектуры системы, технологии обработки данных, разработка прикладных программ с возможностями, представляющими угрозу для работоспособности системы и безопасности информации;

10) игнорирование организационных ограничений (установленных правил) при ранге в системе;

11) вход в систему в обход средств защиты (загрузка посторонней операционной системы со сменных магнитных носителей и т.п.);

12) некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности;

13) пересылка данных по ошибочному адресу абонента (устройства);

15) неумышленное повреждение каналов связи.

Основные преднамеренные искусственные угрозы характеризуются возможными путями умышленной дезорганизации работы, вывода системы из строя, проникновения в систему и несанкционированного доступа к информации:

1) физическое разрушение системы (путем взрыва, поджога и т.п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.);

2) отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т.п.);

3) действия по дезорганизации функционирования системы (изменение режимов работы устройств или программ, забастовка, саботаж персонала, постановка мощных активных радиопомех на частотах работы устройств системы и т.п.);

4) внедрение агентов в число персонала системы (в том числе, возможно, и в административную группу, отвечающую за безопасность);

5) вербовка (путем подкупа, шантажа и т.п.) персонала или отдельных пользователей, имеющих определенные полномочия;

6) применение подслушивающих устройств, дистанционная фото- и видеосъемка;

7) перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводка активных излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации(телефонные линии, источники питания, отопления и т.п.);

8) перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь, авторизации пользователя и последующих попыток их имитации для проникновения в систему;

9) хищение носителей информации (магнитных дисков, лент, микросхем памяти, запоминающих устройств и персональных ЭВМ);

10) несанкционированное копирование носителей информации;

11) хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.);

12) чтение остатков информации из оперативной памяти и с внешних запоминающих устройств;

13) чтение информации из областей оперативной памяти, используемых операционной системой (в том числе подсистемой защиты) или другими пользователями, в асинхронном режиме при недостатках мультизадачных операционных систем и систем программирования;

14) езаконное получение паролей и других реквизитов разграничения доступа(агентурным путем, используя халатность пользователей, путем подбора, имитации интерфейса системы и т.п.) с последующей маскировкой под зарегистрированного пользователя («маскарад»);

1) несанкционированное использование терминалов пользователей, имеющих уникальные физические характеристики, такие, как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п.;

2) вскрытие шифров криптозащиты информации;

3) внедрение аппаратных спецвложений, программ «закладок» и «вирусов» («троянских коней» и «жучков»), т.е. таких участков программ, которые не нужны для осуществления заявленных функций, но позволяют преодолеть систему защиты, скрытно, незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи критической информации или дезорганизации функционирования системы;

4) незаконное подключение к линиям связи с целью работы «между строк», с использованием пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений;

5) незаконное подключение к линиям связи с целью прямой подмены законного пользователя путем его физического отключения после входа в систему и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений.

Следует заметить, что чаще всего для достижения поставленной цели злоумышленник использует не один способ, а их некоторую совокупность из перечисленных.

Статья написана по материалам сайтов: businessman.ru, e-koncept.ru, cyberleninka.ru, libraryno.ru.

«

Помогла статья? Оцените её
1 Star2 Stars3 Stars4 Stars5 Stars
Загрузка...
Добавить комментарий