В статье раскрывается сущность понятия аудита информационной безопасности, описываются три основные виды аудита безопасности корпоративных информационных систем: активный, экспертный и проверка на соответствие стандартам.
Ключевые слова. аудит, информационная система, информационная безопасность.
Половина аудиторских компаний заявляет об уникальности своих услуг. Так что задача выбора аудитора очень непроста. Особенно это верно в отношении информационной безопасности. Проблема заключается в том, что во многих компаниях просто-напросто нет специалиста, способного точно поставить цель аудита и выбрать подходящий способ его проведения. Таким образом, заказчики и исполнители услуги часто говорят на разных языках, не понимая друг друга. Для того чтобы избежать подобных ситуаций в данной статье определяется, что же такое аудит безопасности информационной системы компании и какой он бывает.
В наше время специалистами используется несколько определений аудита. Но наибольшее распространение получили два из них:
- аудит информационных систем — это проверка используемых компанией информационных систем, систем безопасности, систем связи с внешней средой, корпоративной сети на предмет их соответствия бизнес-процессам, протекающим в компании, а также соответствия международным стандартам с последующей оценкой рисков сбоев в их функционировании;
- аудит информационной безопасности — системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности.
Как видно, суть обоих определений, в общем-то, одинакова и сводится к следующему. Аудит безопасности информационных систем — это их проверка, тестирование, которое должно выявить потенциальные опасности и уязвимости в защите. При этом используется принцип сравнения результатов теста с неким идеалом, установленным целями аудита (задается заказчиком), а также личным опытом самого аудитора. При этом должно учитываться множество самых разнообразных факторов, в том числе и информация о заказчике: область его деятельности, размер фирмы и т. п.
В аудите безопасности информационных систем специалисты выделяют три основные составляющие: способы проведения проверки, что является результатами исследования и идеал, с которым их будут сравнивать. Естественно, все эти компоненты взаимосвязаны между собой. Например, требуемые результаты аудита определяют способ его проведения.
Принято подразделять аудит безопасности информационных систем на три вида: активный, экспертный и проверка на соответствие стандартам. Все они отличаются друг от друга основными компонентами. Рассмотрим их подробнее.
Активный аудит некоторые специалисты называют практическим или инструментальным. Дело в том, что суть этого исследования заключается в проведении экспертами настоящих атак на информационную систему заказчика. Таким образом, происходит проверка надежности защиты в «боевых» условиях. Естественно, если экспертам удается пробить защиту, никаких деструктивных действий они не производят, а только фиксируют факт проникновения и уязвимость, которая позволила это сделать.
Для того чтобы точнее понять, что представляет собой активный аудит, необходимо рассмотреть все его составляющие. Начать лучше всего с разбора способов реализации исследования. В подавляющем большинстве случаев аудиторы используют как можно большее количество самых разнообразных атак. Они могут применять любые программные и аппаратные средства, доступные хакерам. Более того, в некоторых случаях им разрешается совершать попытки проникновения в офис компании, общаться с сотрудниками заказчика, использовать методы социальной инженерии и т. п. То есть фактически эксперты должны вести себя точно так же, как и злоумышленники, которые поставили себе цель любыми способами получить доступ к конфиденциальной информации.
Результатами проведения аудита корпоративной информационной системы является перечень атак, имевших успех, а также уязвимости, которые были использованы для их реализации. Кроме того, исследование должно показать, какие данные являются широкодоступными. Вполне возможно, что среди них окажется и такая информация, которую лучше скрыть от посторонних глаз. Идеалом при проведении активного аудита является ситуация, когда эксперты так и не смогли получить несанкционированный доступ к системе и не обнаружили ничего подозрительного среди общедоступных данных.
В отчете о своей работы по тестированию корпоративной системы информационной безопасности аудиторы должны не только указать на существующие в ней уязвимости, но и предложить способы их устранения. Чаще всего с помощью активного аудита выявляются не очень серьезные проблемы, заключающиеся в использовании устаревших версий программного обеспечения с незакрытыми «дырами». Другой весьма распространенный тип уязвимостей — некорректная настройка тех или иных продуктов. Дело в том, что в защите информационной системы очень многое зависит от администратора, который ее настраивал. Впрочем, иногда активный аудит позволяет выявить и серьезные недочеты в планировании корпоративной защиты.
Необходимо отметить, что большинство экспертов делят свои услуги на две части. Внешний активный аудит позволяет исследовать защищенность корпоративной информационной системы от всевозможных удаленных атак. При его проведении эксперты сканируют доступные хосты, принадлежащие заказчику, проводят на них общие атаки, пытаются выяснить тип и версию операционной системы и провести специализированные воздействия. Вторая часть активного аудита — внутренняя. Она призвана выявить опасности, идущие от некорректно настроенных сотрудников компании или злоумышленников, незаконно проникших в офис. Особое внимание здесь уделяется способам аутентификации пользователей в корпоративной информационной системе, парольный аудит, безопасность данных при передаче по локальной сети, разделение прав доступа и т. п. Интересно, что компании могут заказывать как каждую часть активного аудита по отдельности (внутренний или внешний аудит), так и обе вместе.
Основное назначение активного аудита — периодическая проверка защиты информационной системы с целью выявления вновь появившихся уязвимостей. Ведь ситуация в области ИБ изменяется очень быстро, постоянно находят новые «дыры», выходят обновления ПО, появляются новые атаки. Именно для того чтобы «не отстать от жизни», и нужен активный аудит. Впрочем, совсем не обязательно всегда заказывать полное тестирование. В некоторых случаях вполне достаточно проведения либо внешнего, либо внутреннего аудита. Одной из главных причин принятия такого решения являются, конечно же, финансовые ограничения. Впрочем, не всегда дело только в них. В некоторых случаях компаниям просто не нужен один из видов активного аудита. Примером может служить ситуация, когда выход в Интернет есть только на одном компьютере, не включенном в общую сеть.
Еще одной причиной проведения именно частичного аудита является следующая ситуация. Допустим, была обнаружена утечка важной конфиденциальной информации через Интернет. При этом известен лишь сам факт взлома, но не ясно, каким образом злоумышленники смогли его осуществить. В этом случае проведение внешнего активного аудита позволит найти уязвимость и определить способы ее устранения. При этом исследование внутренней безопасности информационной системы может оказаться избыточным и вылиться только в дополнительные затраты, не принеся реальной пользы.
Суть экспертного аудита заключается в подробнейшем исследовании защиты информационной системы предприятия и в ее сравнении с некоторой идеальной системой обеспечения информационной безопасности. Причем идеал в каждом конкретном случае может меняться очень значительно. Дело в том, что он зависит от двух факторов. Первый из них — требования, предъявленные руководством компании к системе защиты. Вторым фактором, необходимым для представления идеальной системы защиты информации, являются собственный опыт, который накоплен компанией-аудитором, а также знания о текущем положении в области информационной безопасности.
Процесс экспертного аудита состоит из нескольких последовательных шагов. Первый из них — сбор максимально возможного количества данных о действующей в компании информационной системе, ее функциях, используемых технологиях и т. п. Обычно для этого используется интервьюирование сотрудников компании-заказчика и заполнение ими специально составленных анкет. Причем вопросы, задаваемые разным людям, отличаются друг от друга. Так, например, руководители разного уровня могут дать представление о требованиях, предъявляемых к системе защиты, а технические специалисты — данные об основах функционирования информационной системы предприятия и используемых для ее безопасности продуктах и технологиях.
Следующий этап экспертного аудита — это анализ собранной информации. В его процессе осуществляется составление общего проекта информационной системы, которая и будет сравниваться с идеалом. Такой анализ наиболее хорошо выявляет не какие-то небольшие дыры в системе защиты, которыми могут воспользоваться злоумышленники, а глобальные ошибки в топологии корпоративной сети, в использовании средств безопасности и т. п. Оценка осуществляется исходя из личного опыта и знаний специалиста или специалистов компании-аудитора. В результате работы эти эксперты могут определить потенциально опасные места в системе защиты коммерческой информации и предложить варианты их устранения.
Далее аудиторы должны проанализировать информационные потоки исследуемого предприятия. Для этого чаще всего используется специальная схема, на которую наносится движение всей документации между компьютерами сотрудников, серверами и прочими элементами информационной системы. При этом учитывается ценность данных. В результате схема позволяет наглядно представить движение коммерческой информации и увидеть, в каких точках информационной системы она наиболее уязвима. Результатом выполнения этой операции могут стать предложения по усилению защиты в таких местах. Ну а указанная ценность информации позволяет оценить экономическую оправданность данных мер и следовать при доработке системы безопасности принципу разумной достаточности.
Ну и, наконец, последний шаг экспертного аудита — анализ всех организационно-распорядительных документов: политики безопасности, дополнительных соглашений с сотрудниками, инструкций для работников и т. п. Им ни в коем случае нельзя пренебрегать. Дело в том, что зачастую бывает так, что разные документы противоречат друг другу. Или в них присутствуют своеобразные дыры, позволяющие сотрудникам компании безнаказанно нарушать установленную политику безопасности. Особенно это верно в отношении тех документов, которые регламентируют полномочия и ответственность лиц, ответственных за защиту информационной системы от различных злоумышленников, и технического персонала, занимающегося обслуживанием информационной системы предприятия.
Суть аудита на соответствие стандартам наиболее приближена к тем формулировкам и целям, которые существуют в финансовой сфере. При проведении данного вида аудита состояние информационной безопасности сравнивается с неким абстрактным описанием, приводимым в стандартах.
Официальный отчет, подготовленный в результате проведения данного вида аудита, включает следующую информацию:
- степень соответствия проверяемой информационной системы выбранным стандартам;
- степень соответствия собственным внутренним требованиям компании в области информационной безопасности;
- количество и категории полученных несоответствий и замечаний;
- рекомендации по построению или модификации системы обеспечения информационной безопасности, позволяющие привести ее в соответствие с рассматриваемым стандартом;
- подробная ссылка на основные документы заказчика, включая политику безопасности, описания процедур обеспечения информационной безопасности, дополнительные обязательные и необязательные стандарты и нормы, применяемые к данной компании.
Причины проведения аудита на соответствие стандарту (и сертификации) можно условно разделить по степени обязательности данной услуги по отношению к компании: обязательная сертификация; сертификация, вызванная «внешними» объективными причинами; сертификация, позволяющая получить выгоды в долгосрочной перспективе; добровольная сертификация.
Государственные организации, которые обрабатывают сведения, составляющие государственную тайну, в соответствии с российским законодательством обязаны проводить аттестацию информационной системы (во многом процедура аналогична сертификации). Однако чаще всего они пользуются не услугой аудита на соответствие стандартам, а в обязательном порядке проводят аттестацию собственных информационных систем при участии аттестационных центров.
В последнее время все большее количество компаний рассматривают получение сертификата, подтверждающего высокий уровень информационной безопасности, как «козырь» в борьбе за крупного клиента или делового партнера.
В этом случае целесообразно проведение аудита и последующей сертификации на соответствие тем стандартам, которые являются значимыми для клиента или делового партнера.
Иногда руководство компании проявляет инициативу по сертификации системы информационной безопасности. Для таких организаций важны не только защита собственных ресурсов, но и подтверждение со стороны независимого эксперта (в роли которого выступает компания-аудитор) высокого уровня защиты.
Литература:
1. Security Risk Analysis & Assessmen. Ссылка на сайт http://www.riskworld.net
2. Digital Security. Ссылка на сайт www.dsec.ru
3. Бармен С. Разработка правил информационной безопасности. М.: Вильямс, 2002. — 208 с. — ISBN 5–8459–0323–8, ISBN 1–57870–264-X.