Название: Аудит информационной безопасности - Курило А.П.

Жанр: Аудит

Рейтинг:

Просмотров: 1521

Предисловие

При построении системы обеспечения информационной безопаснос­ти (ИБ) организации наряду с процессами оценки рисков ИБ, реали­зации и эксплуатации защитных мер, обучения персонала информа­ционной безопасности и другими важными процессами во многом определяющими для менеджмента являются процессы контроля и про­верки ИБ организации. Своевременность, точность и полнота оценок ИБ, полученных в результате контроля и проверки ИБ, дают возмож­ность идентифицировать уязвимости системы обеспечения ИБ орга­низации, выявить неоцененные риски, определить корректирующие и, может быть, превентивные меры, направленные на совершенствова­ние процессов обеспечения ИБ организации.

Среди процессов контроля и проверки ИБ особое положение за­нимает аудит ИБ, основным назначением которого является формиро­вание независимой оценки ИБ организации, независимой от деятель­ности, которая проверяется. Как проводить аудит ИБ, какие процедуры использовать, к каким результатам может привести аудит ИБ, кто име­ет право проводить такую проверку, как оценить результаты аудита? На эти и другие вопросы авторы постарались ответить в предлагае­мой читателям книге.

Материал представлен с позиций «процессного подхода», что по­зволяет увидеть все многообразие процедур, мероприятий и атрибу­тов, применяемых и столь необходимых для осуществления аудита ИБ, а также дляего улучшения.

Книга имеет б разделов. В первом разделе рассматриваются мето­дологические аспекты оценки сложных систем в историческом КОН-АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

тексте (ракурсе). Показывается изменение подходов к оценке по мере развития систем и общества.

Во втором разделе рассматриваются основы системного и процес­сного подхода, их применение в обеспечении информационной безопас­ности, показываются направления практической реализации системного и процессного подходов. Раскрываются основы моделей менеджмента и непрерывного совершенствования, базирующихся на непрерывной модели совершенствования, более известной как модель Деминга— Шухарта. Показываются цели контроля и проверки систем и процессов, способы независимой оценки. Излагаются принципы аудита. Рассмат­ривается процесс оценивания, анализируются его элементы.

В третьем разделе излагаются международные правовые аспекты и анализируются национальные руководства по аудиту ИБ, а также отечественные законы и стандарты по основам аудита. Вводится по­нятие осознания ИБ. Рассматривается обеспечение ИБ организации как совокупность взаимодействующих процессов осознания ИБ и про­цессов менеджмента ИБ. Показывается процесс осознания аудита ИБ, анализируются его основные элементы. Описываются структура, со­держание программы аудита ИБ и процессы менеджмента программы аудита ИБ. Подробно рассматриваются основные элементы процесса проведения аудита ИБ. Предлагается модель оценки процессов обес­печения И Б на основе показателей ИБ. Рассматриваются модель оцен­ки для измерения правильности процессов системы обеспечения ИБ организации с целью оценки соответствия ИБ установленным крите­риям и модель для оценки эффективности процессов системы обес­печения ИБ, основывающейся на оценке зрелости данных процессов. Приводятся примеры формальных методов (стандартов) оценки зре­лости процессов жизненного цикла систем, процессов информацион­ных технологий, процессов инжиниринга безопасности, процессов информатизации в банковском бизнесе.

В четвертом разделе рассматриваются подходы к исследованию оценок ИБ. Описываются критерии оценивания результатов аудита и самооценки ИБ и критерии оценивания процессов проведения аудита и самооценки ИБ. Рассматривается способ интерпретации получен­ных оценок ИБ.

В пятом разделе показывается практическое применение аудита ИБ її организациях банковской системы Российской Федерации, направ­ления и структура оценки ИБ, описываются работы по созданию сис-

темы оценки ИБ. Рассматриваются с точки зрения практики основные вопросы аудита управления непрерывностью бизнеса и восстанов­ления после сбоев. Приводится практический пример реализации аудита управления непрерывностью бизнеса (включая этапы его про­ведения), отражающий многолетнюю практику проведения данных работ. В разделе также раскрываются особенности аудита информа­ционной безопасности организаций, использующих аутсорсинг, ко­торый все более широко внедряется в практическую деятельность организаций.

В шестом разделе рассматриваются вопросы аудита и доверия ин­формационной безопасности. Показывается, что на практике в силу специфики области информационной безопасности фундаментальную роль и место имеет мнение (субъективное ощущение) человека. Опас­ность, до момента ее наступления, и безопасность, как противополож­ность опасности, являются категориями умозрительными, например вероятностными, причем вероятности здесь также условны в силу от­сутствия, как правило, статистики по многим аспектам, уникальным в каждом отдельном случае. Показывается, что аудит ИБ, наряду с дру­гими методами доверия может быть значимым инструментом обеспе­чения уверенности в информационной безопасности.

По разделам и главам авторский вклад распределен следующим образом:

раздел 1 «Аудит информационной безопасности — необходимый инструмент обеспечения информационной безопасности в современ­ных условиях» — Курило А.П., к.т.н. (Банк России, заместитель на­чальника Главного управления безопасности и защиты информации);

глава 2.1. «Структура и свойства процессов и систем», глава 2.2 «От линейной модели управления качеством процессов и систем к замкнутой циклической модели менеджмента качества процессов и систем» — Голованов В.Б. (НПФ «Кристалл», Пенза, заместитель на­учного директора);

глава 2.3. «Способы контроля и проверки процессов и систем. Цели контроля и проверки процессов и систем» — Зефиров СЛ., к.т.н. (НПФ «Кристалл», Пенза, заместитель научного директора);

глава 3.1.1. «Международные правовые аспекты, стандарты и ру­ководства по основам аудита информационной безопасности» — Кри­стофер Гулд (директор аудиторской фирмы КПМГ) совместно с Дроз­довым А.В. (старший менеджер аудиторской фирмы КПМГ);

глава 3.1.2. «Национальные стандарты и руководства по основам аудита информационной безопасности» — Зефиров СЛ.;

глава 3.1.3. «Отечественные законы и стандарты по основам ауди­та» — Алексеев В.М. (НПФ «Кристалл», Пенза, начальник отдела);

глава 3.2.1. «Система обеспечения информационной безопаснос­ти — совокупность процессов осознания и менеджмента информаци­онной безопасности»; глава 3.2.2. «Осознание аудита информацион­ной безопасности» — Зефиров СЛ.;

глава 3.2.3. «Планирование программы аудита информационной безопасности» — Зефиров СЛ. совместно с Самодаевым Н.А.;

глава 3.2.4. «Реализация программы аудита информационной бе­зопасности»; глава 3.2.5. «Контроль и совершенствование программы аудита информационной безопасности»; глава 3.3.1. «Оценивание ин­формационной безопасности на основе показателей информационной безопасности» — Зефиров СЛ.;

глава 3.3.2. «Оценивание информационной безопасности на осно­ве моделей зрелости процессов обеспечения информационной безо­пасности» — Голованов В.Б.;

глава 4.1. «Оценивание результатов аудита и самооценки инфор­мационной безопасности»; глава 4.2. «Оценивание процессов прове­дения аудита и самооценки информационной безопасности» — Зе­фиров СЛ.;

глава 4.3. «Риск-ориентированная интерпретация полученных оце­нок информационной безопасности» — Андрианов В.В., к.т.н. (НПФ «Кристалл», Пенза, научный директор) совместно с Зефировым СЛ.;

глава 5.1. «Особенности аудита информационной безопасности организаций банковской системы Российской Федерации» — Зефи­ров СЛ. совместно с Головановым В.Б.;

глава 5.2. «Аудит управления непрерывностью бизнеса и восста­новления после сбоев»; глава 5.3. «Особенности аудита информаци­онной безопасности организаций, использующих аутсорсинг» — Са-модаев Н.А. (старший менеджер аудиторской фирмы Эрнст энд Янг);

глава б «Аудит и доверие информационной безопасности» — Алек­сеев В.М. совместно с Головановым В.Б.

1. Аудит информационной безопасности — необходимый инструмент обеспечения информационной безопасности в современных условиях

Проблема доверия к мерам информационной безопасности или, как часто говорили некоторое время назад, к способам и методам защиты информации, реализованным на объекте защиты, возникла одновре­менно с осознанием необходимости применения таких мер.

Всегда следовало убедиться в том, что предпринятые меры защиты эффективны.

Проявленные в ходе оценки эффективности мер безопасности ошибки, самоуверенность, пренебрежение или безграмотность неиз­менно приводили к ложным выводам.

Всегда ложные выводы дорого обходились. История полна драма­тических примеров, подтверждающих этот факт.

Справедливости ради следует отметить, что проблема доверия к мерам информационной безопасности является частным случаем го­раздо более общей проблемы получения свидетельств доверия к из­делию, процессу, субъекту, сообществу, коллективу, которая, в свою очередь, представляется неотъемлемой частью отношений высокоор­ганизованных существ, а не только homo sapiens.

В исторически обозримое время можно проследить появление двух различных методологических подходов к решению этой про­блемы. Что самое удивительное, эти подходы просуществовали вплоть до настоящего времени. Под влиянием изменения и услож­нения организации общественных и государственных институтов, развития технологий производства продукции и обработки инфор­мации трансформируются только методические подходы к про­блеме, не более.

Итак, всегда оценка сводилась:

к получению свидетельств доверия к объекту путем его испыта­ния, т.е. практического подтверждения убежденности в том, что объект обладает ожидаемыми свойствами;

к получению свидетельств доверия (уверенности) в том, что некая деятельность, от которой зависит эффективность работы самого объекта, осуществляется правильно. Убедится в этом можно, толь­ко сравнив эту деятельность с заранее установленным стандартом или с лучшей практикой осуществления такой же деятельности в других местах. При этом считается, что выполнение стандартов де­ятельности (регламентов, инструкций, правил, руководящих указа­ний), разработанных на основании этих практик, гарантирует по­ложительный результат этой деятельности и, как следствие, нормальную и эффективную работу самого объекта.

Первый подход, т.е. метод натурных испытаний, присущ, как уже отмечалось, в большей степени материальным (инженерным) объек­там, начиная с каменных топоров и заканчивая океанскими суперлай­нерами и космическими станциями. В ряде случаев, когда невозмож­но смоделировать реальные условия эксплуатации объекта или нельзя по каким-либо причинам проверить, как реально он работает, прово­дится моделирование, и по результатам испытаний модели делается вывод о реальном поведении объекта, его качестве или надежности функциронирования. Результаты испытаний фиксируются в виде спе­циального документа (акта испытаний, сертификата), свидетельствую­щего только об одном — о том, что испытуемый объект соответствует предъявляемым к нему требованиям. Объект сопровождается эксплу­атационной документацией, указывающей на то, в каких условиях он должен эксплуатироваться и как обслуживаться, для того чтобы свой­ства объекта не оказались утраченными.

В конце тридцатых годов прошлого века в Германии были выдви­нуты идеи, суть которых сводилась к тому, что на качество выпуска­емого изделия самым существенным образом влияет качество уп­равления производством. В последующем эти идеи привели к возникновению новой философии управления качеством, положен­ной в основу получивших исключительное распространение во всем мире стандартов ISO серии 9000.

В последние годы возникли идеи ввести в систему управления качеством методы рыночного саморегулирования, что нашло от-

ражение в появлении законодательства о техническом регулиро­вании.

Второй подход возник по мере развития и совершенствования об­щественных и финансовых институтов сначала в древней Греции, а потом в Римской империи. Как пишет в своей книге «Практический аудит» П.И. Камышанов, еще примерно в 200 г. до н.э. квесторы (дол­жностные лица, ведавшие финансовыми и судебными делами) Рим­ской империи осуществляли контроль за государственными бухгал­терами на местах. Отчеты квесторов направлялись в Рим и выслушивались экзаменаторами. В результате такой практики и воз­ник термин «аудитор» (от лат. «слушать»). Кроме того, в Римской империи была создана специальная налоговая полиция, сотрудники которой прибегали к пыткам женщин и детей для получения сведе­ний об укрываемых от обложения доходах и имуществе.

Методологии аудита присущи многие специфические свойства, о которых пойдет речь в этой книге. Но в основе его лежат следующие фундаментальные принципы, корни которых прорастают из древнего Рима:

открытость результатов аудита;

публичность при принятии и обсуждении результатов.

Очень важно отметить, что в этом случае вывод о том, насколько успешно функционирует объект и насколько он соответствует предъяв­ляемым к нему требованиям, делается на основании изучения каче­ства выполнения персоналом этого объекта соответствующих функ­ций, зафиксированных в технологических регламентах, созданных, в свою очередь, по заранее установленным стандартам.

По сути, этот метод является прогностическим, а выводы по ре­зультатам аудита принципиально носят вероятностно-прогностический характер. Принципиально отличаются и документы, возникающие по результатам аудита. Как правило, это оценочные отчеты, содержащие в то же время весьма конкретные и жесткие рекомендации по приве­дению внутренних процессов и регламентов в соответствие общепри­нятым стандартам или практикам.

В последнее время появился положительный опыт применения методологии аудита для оценки сложных систем, в первую очередь таких, работа которых неразрывно связана с деятельностью коллек­тивов людей, отношения между которыми являются, как известно, оп­ределяющим фактором успешного функционирования этих систем.

Проблема оценки мер защиты в ее современном понимании воз­никла естественно, с появлением первой вычислительной машины. Сначала для оценки безопасности информации, которую обрабатыва­ли эти устройства, вполне подходили радиотехнические методы изме­рений и оценки, что требовало представления ЭВМ как радиотехни­ческого объекта. При использовании методологии испытаний изделий, о чем шла речь выше, удалось разработать эффективные критерии оценки уровня безопасности, а результаты испытаний оформить в виде понятных документов, например сертификатов. Естественно, после это­го к объекту прикладывался хорошо отработанный набор технической документации, содержащей указания о требованиях, при которых свой­ства безопасности защищаемого объекта, т.е. ЭВМ, которая обрабаты­вала определенную информацию, сохраняются.

Методика в первое время была удобной. Однако в связи с бурным развитием элементной базы и появлением мощных и малогабаритных компьютеров, объединением их в системы и сети, а главное — пре­вращением информационных технологий в инфраструктуру обеспече­ния всех без исключения сторон практической деятельности людей, организаций и государственных институтов возникли серьезные слож­ности при применении этого подхода. В немалой степени на это по­влияло то обстоятельство, что в качестве приоритетных стали рассмат­риваться угрозы, связанные в первую очередь с доступом к информации вычислительными, а не радиотехническими способами. Это обстоятельство в середине 70-х гг. прошлого века привело к воз­никновению сначала в США и практически одновременно в Европе ряда исследовательских проектов, имевших целью разработку новых подходов к вопросу оценки уровня безопасности и выработки дове­рия к мерам защиты конкретных информационных ресурсов. В 1979 г. в США вышла знаменитая «Оранжевая книга», провозгласившая этот подход.

В конце XX в. на фоне растущей глобализации, глубокой интегра­ции и взаимного проникновения друг в друга ранее изолированных информационных, финансовых, транспортных и информационных си­стем, взрывного роста возможностей ПЭВМ и внедрения в нашу прак­тическую жизнь сети Интернет наступило осознание того, что про­блема информационной безопасности носит глобальный характер и прямо или косвенно затрагивает интересы практически всех людей, организаций, предприятий и государственных институтов. Это при-

вело к пониманию необходимости стандартизации подходов к прак­тике обеспечения информационной безопасности на международ­ном уровне. В результате под эгидой международной организации по стандартизации были разработаны несколько основополагающих стандартов в сфере информационной безопасности продуктов ин­формационных технологий (IS0/IEC 15408) и аудита информацион­ной безопасности (ISO 17799 и BS 7799). В определенной степени эти вопросы нашли отражение и в стандартах аудита информацион­ных систем (С0ВІТ).

Необходимо отметить, что в основу этих стандартов были поло­жены методологически разные подходы, отражающие два взгляда на методологию получения свидетельств доверия, о чем уже шла речь выше. И только сейчас, осознав наличие методологического проти­воречия, мешающего в конечном итоге выработке ясных и непроти­воречивых правил получения свидетельств доверия к уровню ин­формационной безопасности организаций, представляющих собой сложные системы, международная организация по стандартизации начала работы по созданию соответствующих универсальных стан­дартов. Одновременно продолжаются работы на национальном уров­не, в первую очередь в США, Великобритании, Италии, Франции и Германии.

Суть противоречий заключается в определении состава объекта защиты.

В первом случае это некая техническая (аппаратно-программная) система, обеспеченная необходимой технической и эксплуатационной документацией, и персонал, обслуживающий ее. В нашей стране пер­сонал вообще не рассматривается в качестве элемента системы.

Во втором случае это сложная система, включающая техническую инфраструктуру со всей документацией и персонал, использующий эту инфраструктуру для достижения бизнес-целей организации, работаю­щий в соответствии с соответствующими правилами и регламентами, написанными специально для него.

Сложность заключается в том, что оценить работу персонала мож­но только методами аудита, а технических систем — методом испы­таний.

Начиная с конца 80-х гг. прошлого века с появлением британского стандарта 17799 ведущие мировые аудиторские фирмы стали успеш­но применять этот стандарт для оценки уровня информационной бе-

зопасности организаций в целом и получения свидетельств доверия для информационных систем. Это потребовало проведения фундамен­тального анализа сущности понятия «информационная система», ис­пользования методологии процессных подходов, совершенствования методологии управления на основе циклических моделей управления менеджментом, разработки критериев оценки, о чем также пойдет речь в данной книге.

Опыта такого же массового использования стандарта ISO 15408, за исключением сертификации ряда информационных продуктов, нет.

В нашей стране бытующий технократический взгляд на информа­ционную систему как на комплекс технических средств, программно­го, математического и лингвистического обеспечения и информаци­онных ресурсов, закрепленный в законодательстве в начале 90-х годов, предопределил развитие проблемы по первому сценарию, что приве­ло ситуацию в определенный тупик и усложнило движение в сторону реализации лучших мировых практик в этой сфере деятельности. Пока это только начинает осознаваться.

Вместе с тем практическая жизнь гораздо разнообразнее, чем лю­бая теория или схема. В результате этого время от времени возника­ют проблемы, требующие безотлагательного решения.

Так, например, при установлении партнерских отношений между банками существует правило проведения у партнеров финансового аудита международной аудиторской компанией по соответствующим стандартам. В последнее время к требованиям проведения финансо­вого аудита прибавились требования проведения аудита информаци­онной безопасности по стандартам ISO 17799 и BS 7799. Эти правила применяются и для отечественных банков, стремящихся выйти на меж­дународный уровень партнерства. Но в этом случае налицо возник­новение противоречий между требованиями отечественной и между­народной нормативной базы. Банк находится перед трудным выбором, но интересы бизнеса заставят его сделать выбор. Следует тогда при­знать, что возникает и ширится нормативная неопределенность, а так­же растут противоречия в системах оценок информационной безо­пасности одного и того же объекта, проводимых по разной системе документов.

В чем успех методологии аудита и почему он так широко начал применяться во всем мире для оценки информационной безопаснос­ти не только информационных систем, но и организаций в целом?

Оценка эффективности деятельности или качества изделия в обя­зательном порядке требует:

выбора ключевых показателей (индикаторов), характеризующих количественное или качественное состояние свойств объекта или какой-либо деятельности;

выбора метода измерения выбранных ключевых показателей и оценки его точности;

определения критериев оценки соответствия измеренных пока­зателей установленным требованиям, характеризующим прием­лемый с точки зрения владельца объекта уровень его качества или качества аудируемой деятельности;

получения гарантий оценки.

Анализ объекта защиты как сложной системы неожиданно привел к выводу о том, что соотношение вклада в общий уровень безопасно­сти различных составляющих распределяется строго в соответствии с универсальным законом неравенства (законом Парето) в соотноше­нии 20/80, причем на 20\% приходится вклад со стороны технических систем, а на 80\% — со стороны людей (сотрудников), эксплуатирую­щих эти технические системы. Это подтверждает статистика по инци­дентам в сфере информационной безопасности.

Из изложенного следует банальный, но тем не менее очень важ­ный вывод: частые мнения о состоянии отдельных частей объекта не дают оснований судить о состоянии объекта в целом. Так, мы никогда не судим о курорте только на основании того, что там хорошие песча­ные пляжи. Суждение, вынесенное только на основании этой инфор­мации, будет заведомо неправильным. Чтобы сделать точный вывод, необходимо иметь много дополнительной информации о других со­ставляющих, влияющих на качество отдыха. Ровно таким же образом, если мы будем делать вывод о состоянии информационной безопас­ности в организации, основываясь только на показателях качества технических средств защиты, без оценки качества их эксплуатации и уровня организации бизнес-процессов, выводы всегда будут невер­ными, т.к. сделанные на основании этих суждений выводы будут рас­пространяться на область, неподконтрольную выбранным показателям. Второй вывод заключается в том, что если выбранные ключевые по­казатели не описывают состояние всех свойств объекта, они должны быть дополнены или изменены. В этом состоит искусство проведения аудита.

Остро стоит и вопрос точности измерений.

Точность радиотехнических измерений бывает невысока. Но про­сты критерии оценки.

Точность настроек активного оборудования и средств безопаснос­ти, например межсетевых экранов, может быть, наоборот, очень высо­кой и легкопроверяемой, но следует учитывать два фактора, которые существенно усложняют критерии оценки:

необходимо иметь уверенность в том, что исходные требова­ния по настройке составлены квалифицированно;

качество работы оборудования как средства защиты в исклю­чительной степени зависит от качества его текущего админис­трирования.

Выбор критериев оценки уровня информационной безопаснос­ти — вопрос непростой. Наиболее легко он решается в двоичной системе решения: «да — нет», «соответствует — не соответствует», но часто этот подход или неприменим, или не обладает необходи­мой точностью при попытке детализации описания множественнос­ти состояний объекта. Следует также добавить, что каждое требова­ние безопасности вносит в общий уровень безопасности свой, сугубо индивидуальный, большой или маленький вклад. Ровно также невы­полнение этих требований создает большие или меньшие уязвимос­ти в системе защиты, некоторые из них являются критическими, а некоторые — нет.

Поэтому все в большей степени получает распространение метод использования различных шкал для описания этих состояний, полу­чивший обобщенное название «шкала зрелости».

И наконец, получение гарантий оценки, т.е. убежденности в том, что оценка выполнена верно и ее результатам можно верить, базиру­ется прежде всего на квалификации специалистов (аудиторов), про­водивших проверку или оценку, т.е. на их способности правильно применить методику оценки и получить «сходимость» результатов в трех случаях:

при измерении характеристик одного и того же объекта различны­ми группами специалистов;

при измерении характеристик объекта одними и теми же специа­листами, но в разное время;

при измерении характеристик различных, но схожих объектов.