Аудит информационной безопасности предприятия

Нельзя сказать, что об обеспечении информационной безопасности учреждения или предприятия мало говорят и пишут. Тем не менее, этот вопрос становится все более и более актуальным, с каждым годом увеличивается количество попыток завладеть, изменить или уничтожить корпоративную информацию, и суммы от таких потерь также растут.

Обеспечение защиты информационно-телекоммуникационной системы (далее ИТС) маленькой компании или большой корпорации изначально требует представления о состоянии защиты в конкретный момент. Аудит информационной безопасности с точки зрения заказчика кажется простым: сначала обследование ИТС, потом большие и толстые папки с отчетами. Но это не совсем так, или совсем не так.

ОСНОВНЫЕ ВОПРОСЫ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Что такое аудит? Аудит информационной безопасности — это системный процесс получения объективных оценок текущего состояния информационной безопасности организации в соответствии с определенными критериями информационной безопасности, включающий обследование различных сред функционирования ИТС, тестирование ее на уязвимости, анализ и оценку защищенности, формирование отчета и разработку соответствующих рекомендаций.

Зачем нужен аудит? Ответ практически очевиден — для того, чтобы:

• оценить текущее состояние информационной безопасности ИТС учреждения или предприятия;
• подготовить исходные данные для формирования требований к комплексной системе защиты информации (КСЗИ) ИТС.

Такая КСЗИ позволит нейтрализовать использование злоумышленниками выявленных уязвимостей и обеспечит оптимальную по эффективности защиту информации в ИТС учреждения или предприятия от несанкционированного доступа (НСД), изменений и/или уничтожения информационных ресурсов.

Как проводится аудит? Соответствующие требования отражены в международных стандартах ISO/IEC:17799 «Информационные технологии. Управление информационной безопасностью», ISO/IEC 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования», государственных стандартах ДСТУ 3396.1-96 «Защита информации. Техническая защита информации. Порядок проведения работ», а также в законодательной базе Украины в сфере защиты информации.

Основная цель и задача проведения аудита. Результатом аудита ИТС должна стать объективная оценка текущего состояния информационной безопасности учреждения или предприятия, а также подготовка исходных данных для формирования требований к КСЗИ.

Как показывает практика, проведение данных работ позволяет качественно поднять уровень защищенности ИТС. По опыту проведения аудита отметим, что уровень защищенности, как правило, недостаточен, а это может привести к потере, краже или модификации важной информации, что может стать причиной непредсказуемых последствий. Следует также заметить, что аудит информационной безопасности по украинскому законодательству должен проводиться компанией, имеющей лицензию на проведение деятельности в сфере технической защиты информации в Украине. В противном случае заказчик может привлечь бригаду строителей (ремонтников, грузчиков, переводчиков, врачей — нужное подчеркнуть) и получить на выходе соответствующий результат. Даже если в компании-исполнителе есть сотрудники, имеющие достаточные познания в информационных технологиях, — это не будет соответствовать действующему законодательству Украины, и аудиторский отчет, вместе с разработанными рекомендациями, будет нелегитимным.

Перед началом проведения аудита информационной безопасности ИТС организация-заказчик совместно с выбранной организацией-исполнителем формируют требования к аудиту, которые определяют этапы проведения аудита, степень их детализации и формы отчетности. С целью координации действий по проведению аудита ИТС, организация приказом руководителя создает совместную комиссию, в которую входят представители как заказчика, так и исполнителя.

ЭТАПЫ ПРОВЕДЕНИЯ АУДИТА

В общем случае аудит информационной безопасности включает в себя комплексное обследование различных сред функционирования ИТС, тестирование ее на уязвимости, анализ и систематизацию полученных результатов, оценку уровня защищенности, формирование отчета и разработку соответствующих рекомендаций. Общая схема проведения аудита информационной безопасности ИТС приведена на рисунке.

На этапе комплексного обследования ИТС проводится: обследование вычислительной системы, обследование информационной и физической среды, среды пользователей, тестирование на уязвимости.

В ходе обследования вычислительной системы организации описывается:

• наличие документации на ИТС и ее компоненты;
• наличие распорядительных документов на ИТС;
• общая структурная схема ИТС и ее состав (перечень и состав оборудования, технических и программных средств, их связи, особенности конфигурации, архитектуры и топологии, программные и программно-аппаратные средства защиты информации, взаимное размещение средств);
• виды и характеристики каналов связи;
• особенности взаимодействия компонентов ИТС;
• возможные ограничения относительно использования средств.

Кроме того, при обследовании вычислительной системы ИТС должны быть выделены компоненты, которые являются средствами защиты информации или содержат механизмы защиты. А именно, должны быть описаны потенциальные возможности этих средств и механизмов, их свойства и характеристики, в том числе те, которые устанавливаются по умолчанию.

При обследовании информационной среды описываются:

• характеристика обрабатываемой информации;
• виды информации, циркулирующие в ИТС, и требования по ее защите;
• типы объектов, в которых информация хранится;
• особенности технологии обработки информации;
• схемы информационных потоков информации;
• режимы доступа к информации;
• носители информации и порядок работы с ними.

При обследовании физической среды ИТС описываются такие характеристики:

• территориальное размещение компонентов ИТС (генеральный план, ситуативный план);
• наличие охраняемой территории и пропускного режима в организации;
• наличие категорированных помещений, в которых должны размещаться компоненты;
• наличие охранной и пожарной сигнализации, систем видеонаблюдения и контроля доступа в помещениях;
• режим доступа к компонентам физической среды ИТС;
• влияние факторов окружающей среды на защищенность информации;
• наличие в помещениях, где функционирует ИТС, элементов коммуникаций, систем жизнеобеспечения и связи, имеющих выход за пределы контролируемой территории;
• наличие и технические характеристики систем заземления оборудования ИТС;
• условия хранения магнитных, оптико-магнитных, бумажных и других носителей информации;
• наличие проектной и эксплуатационной документации на компоненты физической среды.

При обследовании среды пользователей описывается:

• наличие распорядительных документов, регламентирующих деятельность персонала организации, по обеспечению безопасности информации в ИТС;
• наличие службы (подразделения) защиты информации, ее функции и полномочия;
• функциональный и количественный состава пользователей ИТС организации, их функциональные обязанности и уровень квалификации;
• категории пользователей по уровню их полномочий;
• полномочия пользователей по организации доступа к сведениям, которые обрабатываются в ИТС;
• полномочия пользователей по управлению средствами или механизмами защиты в ИТС.

При тестировании на уязвимости проводится сканирование всех компонентов ИТС с использованием при необходимости тестов на проникновение.

На этапе анализа защищенности выполняется анализ и систематизация полученных результатов обследования, идентификация обнаруженных уязвимостей и оценка уровня защищенности ИТС.

По результатам проведенного анализа защищенности ИТС формируется отчет, и разрабатываются рекомендации по нейтрализации выявленных уязвимостей.

Таким образом, проведение аудита информационной безопасности предприятия — это не просто «инвентаризация», а тщательная и всесторонняя работа по исследованию ИТС, которая дает полную картину состояния защищенности и позволяет сформировать требования к КСЗИ организации.

Проведение квалифицированного аудита информационной безопасности и исполнение комплекса мер по защите информационных ресурсов по рекомендациям, выработанным в результате такого аудита, дает уверенность в защищенности ИТС на определенный период. Но высокие технологии развиваются динамично, и вместе с ними совершенствуются средства совершения преступлений в сфере ИТ. Поэтому аудит информационной безопасности следует проводить периодически и на более технологически совершенном уровне. Уверенность в защищенности информационных ресурсов может быть обоснована только тогда, когда она подтверждена.

Т. А. Недлинский,
руководитель отдела технической защиты информации,
А. Ю. Шевченко,
руководитель отдела технического сопровождения,
Ю. В. Колбасников,
инженер+программист
Тел./факс: (044) 259+8728, 257+4145
www.yug.com.ua info@yug.com.ua