Читайте также:
|
|
Понятие «аудит информационной безопасности» появилось сравнительно недавно. Тем не менее в настоящее время аудит информационной безопасности корпоративных систем представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области безопасности этих систем и вызывает постоянный интерес специалистов. Его основная задача - объективно оценить текущее состояние ИБ компании, а также ее адекватность поставленным целям и задачам бизнеса для увеличения эффективности и рентабельности экономической деятельности компании. Поэтому под аудитом информационной безопасности корпоративной системы обычно понимается системный процесс получения объективных качественных и количественных оценок о текущем состоянии ИБ компании в соответствии с определенными критериями и показателями безопасности. Считается, что результаты квалифицированно выполненного аудита ИБ компании позволяют построить оптимальную по эффективности и затратам корпоративную систему защиты, адекватную ее текущим задачам и целям бизнеса.
Насколько аудит безопасности может быть полезным для вашей компании? Попробуем разобраться вместе. Не секрет, что сейчас наблюдается повсеместное усиление зависимости успешности деятельности компании от корпоративной системы защиты информации. Связано это с увеличением объема жизненно важных для компании данных, обрабатываемых в корпоративной информационной системе. Тем же объясняются и дополнительные капиталовложения в информационные системы компании. Вот почему актуальность аудита информационной безопасности резко возрастает.
Практика внедрения новых корпоративных информационных систем свидетельствует, что компании не всегда получают полную отдачу капиталовложений, и прежде всего из-за усложнения современных корпоративных систем и большей их уязвимости. Можно выделить две основные причины увеличения уязвимости корпоративных систем. Во-первых, возросла уязвимость собственно корпоративных информационных систем за счет обоснованного усложнения их аппаратно-программных элементов, повышения структурной и функциональной сложности системного и прикладного программного обеспечения, применения новых технологий обработки, передачи и хранения данных. А во-вторых, расширился спектр угроз корпоративным информационным системам из-за передачи информации по открытым каналам сетей общего назначения, «информационных войн и электронных диверсий» конкурирующих организаций, активного промышленного шпионажа с привлечением профессионалов в области защиты информации и пр. Современный рынок безопасности насыщен средствами обеспечения информационной безопасности. Постоянно изучая существующие предложения этого рынка, многие компании видят неадекватность ранее вложенных средств в системы ИБ, например по причине морального старения оборудования и программного обеспечения. Поэтому они ищут варианты решения этой проблемы. Таких вариантов может быть два: с одной стороны - полная замена системы корпоративной защиты информации, что потребует больших капиталовложений, а с другой - модернизация существующих систем безопасности. Последний вариант менее затратный, но несет новые сложности, например требует ответа на следующие вопросы: Как совместить старые, сохраненные из имеющихся, аппаратно-программные средства безопасности с новыми элементами системы защиты информации? Как организовать централизованное управление разнородными средствами обеспечения безопасности? Как оценить, а при необходимости и переоценить информационные риски компании? Более существенная причина необходимости проведения аудита безопасности состоит в том, что при модернизации и внедрении новых технологий защиты информации их потенциал полностью не реализуется. Здесь аудит дает возможность анализировать текущую безопасность функционирования корпоративной информационной системы, оценивать и прогнозировать риски, управлять их влиянием на бизнес-процессы компании, корректно и обоснованно подойти к вопросу поддержания безопасности ее информационных активов - стратегических планов развития, маркетинговых программ, финансовых и бухгалтерских ведомостей, содержимого корпоративных баз данных. В итоге грамотно проведенный аудит безопасности корпоративной информационной системы позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание систем безопасности.
Аудит ИБ выполняет команда специалистов по безопасности корпоративных систем и специалистов в области менеджмента. Проведение аудита способствует формированию единого взгляда на проблемы безопасности компании среди специалистов разного профиля. В данном случае они объединяются в одну команду, ориентированную на повышение экономической эффективности и рентабельности бизнес-деятельности компании. Другой существенный плюс подобного подхода - поддержка полного жизненного цикла корпоративной системы защиты информации, начиная с анализа требований и заканчивая этапами эксплуатации и сопровождения системы. Примечательно, что с помощью структурных и объектно-ориентированных CASE-средств анализа рисков и управления ими удается наглядно и эффективно представлять компоненты информационной инфраструктуры компании, выделять наиболее критичные из них, а также оценивать информационные риски. Результаты приводятся в удобной графической форме, с выделением существенных с точки зрения управления компанией компонентов информационной инфраструктуры компании и связей по управлению и данными между этими компонентами. Благодаря такой общей визуализации бизнес-процессов и информационной безопасности компании можно оперативно анализировать различные варианты защиты, сравнивать их между собой с позиций экономической эффективности и в итоге выбирать оптимальный вариант построения или модификации защиты корпоративной системы.
В настоящее время многие поставщики средств защиты информации декларируют поставку полного, законченного решения в области безопасности корпоративных систем. К сожалению, в лучшем случае все сводится к проектированию и поставке соответствующего оборудования и программного обеспечения. Построение комплексной корпоративной системы безопасности «остается в тени» и к решению, как правило, не прилагается. Поэтому у ТОР-менеджеров компаний зачастую возникает целый ряд вопросов:
– Соответствует ли наша корпоративная система информационной безопасности целям и задачам бизнеса компании?
– Адекватна ли принятая в компании политика безопасности целям и задачам бизнеса?
– Каким образом эффективно контролировать реализацию и выполнение политики безопасности в компании?
– Когда следует провести модернизацию системы безопасности? Как обосновать необходимость модернизации и затрат?
– Как быстро окупятся инвестиции в корпоративную систему безопасности? Где здесь точка безубыточности?
– Насколько правильно и корректно сконфигурированы и настроены штатные средства поддержания информационной безопасности компании?
– Как убедиться в том, что существующие в компании средства защиты - межсетевые экраны (firewall), системы обнаружения вторжений (IDS), антивирусные шлюзы, VPN-шлюзы - эффективно справляются со своими задачами?
– Как решаются вопросы обеспечения конфиденциальности, доступности и целостности?
– Как оценить работу подрядных организаций и компаний, которые выполнили проектирование, поставку, монтаж и пуско-наладку средств безопасности? Есть ли недостатки, и если да, то какие?
– Как обеспечить столь необходимую в практике «вертикаль власти» для централизованного управления безопасностью компании?
– Как контролировать состояние информационной безопасности компании? Какие методы и средства здесь требуются?
– Что делать после того, как корпоративная система обеспечения безопасности построена (имеются стратегический и тактический планы защиты компании, планы работы при возникновении чрезвычайных ситуаций)?
– Есть ли необходимость постоянно обучать сотрудников службы информационной безопасности компании? И если да, то какие бюджетные средства нужны?
– Как управлять информационными рисками компании? Какие инструментальные средства для этого необходимо задействовать?
– Удовлетворяет ли организация информационной безопасности компании требованиям международных стандартов оценки и управления безопасностью, например ISO 15408, ISO 17799 (BS 7799), BSI?
Очевидно, что на перечисленные вопросы нельзя сразу дать однозначный ответ. Только объективный и независимый аудит безопасности корпоративной системы предоставит достоверную и обоснованную информацию. Такой аудит, который позволит комплексно проверить все основные уровни обеспечения информационной безопасности компании: нормативно-правовой, организационный, технологический и аппаратно-программный.
Как оценить уровень безопасности КИС?
Современные методики анализа рисков информационной безопасности, проектирования и сопровождения систем безопасности дают возможность:
– количественно оценить текущий уровень безопасности, обосновать допустимые уровни рисков, разработать план мероприятий по поддержанию требуемого уровня безопасности на организационно-управленческом, технологическом и техническом уровнях;
– рассчитать и экономически обосновать размер необходимых вложений в систему безопасности, соотнести расходы на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения;
– выявить и провести первоочередные мероприятия для уменьшения наиболее опасных уязвимостей до осуществления атак на уязвимые ресурсы;
– определить функциональные отношения и зоны ответственности при взаимодействии подразделений и лиц, ответственных за информационную безопасность предприятия, создать или модифицировать необходимый пакет организационно-распорядительной документации;
– разработать и согласовать со службами организации и надзорными органами проект внедрения необходимых комплексов защиты, учитывающий современный уровень и тенденции развития информационных технологий;
– организовать поддержание внедренного комплекса защиты в соответствии с изменяющимися условиями работы организации, регулярными доработками организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты.
Основные понятия и определения
Рассмотрим особенности современных зарубежных стандартов в области аудита и сертификации и их отличие от действующих в настоящее время в России руководящих документов в области сертификации и аттестации.
Российские термины, относящиеся к сертификации и аттестации по требованиям ИБ (определения Гостехкомиссии), и аналогичные термины зарубежных стандартов зачастую трактуются по-разному. Проведем сравнение определений и терминов следующих российских и зарубежных стандартов и руководств в области защиты информации:
– РД Гостехкомиссии при президенте РФ 1992-1998 гг.;
– Практические рекомендации по управлению информационной безопасностью - стандарт BS 7799 (Великобритания);
– Управление в информационных технологиях - CobiT (Международная ассоциации аудита и управления информационными системами);
– стандарты NIST (США) по обеспечению ИБ NIST 800-16, 800-18, 800-30.
В российской нормативно-методической базе основными терминами являются: сертификация средств защиты информации и аттестация объектов информатизации.
Под сертификацией средств защиты информации по требованиям безопасности информации понимается деятельность, позволяющая убедиться в их соответствии требованиям государственных стандартов или иных нормативных документов по защите информации, утвержденных Гостехкомиссией РФ.
Под аттестацией объектов информатизации подразумевается комплекс организационно-технических мероприятий, в результате которых подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией РФ.
В стандартах NIST аналогичные термины определяются следующим образом.
Сертификация (Certification) - подтверждение соответствия заявленных и фактических технических характеристик в области ИБ для приложений, компьютерных систем, инфраструктуры.
Аккредитация (Accreditation) — разрешение использования информационной системы общего применения или специализированных приложений (имеющих специальные требования к ИБ) для обработки информации. Основанием для выдачи разрешения служит сертификация выбранных решений на соответствие заданным требованиям по ИБ.
Ответственный за выдачу разрешения (Designated Approving Authority) - лицо, уполномоченное принять решение о допустимости определенного уровня рисков для рассматриваемой информационной системы или технологии обработки информации.
Сравнение приведенных определений показывает, что:
– термин сертификация понимается одинаково;
– приблизительным аналогом российского термина «аттестация объектов информатизации» является термин «аккредитация» - с одним существенным отличием: в американском варианте явно указано, что аккредитация производится специалистами, уполномоченными принять решение о допустимости определенного уровня рисков для рассматриваемой информационной системы или технологии.
При этом в российской нормативно-методической базе аспект рисков, допустимый уровень остаточных рисков, ответственность за принятие определенного уровня рисков не рассматриваются. После аккредитации информационной системы возможно проведение независимой экспертизы существующего режима ИБ -аудит ИБ в информационной системе. Этот термин также встречается в англоязычной литературе и трактуется следующим образом [124]. Аудит ИБ в информационной системе - процесс сбора сведений, позволяющих установить, поддерживается ли безопасность ресурсов организации (включая данные); обеспечиваются ли необходимые параметры целостности и доступности данных; достигаются ли цели организации в части эффективности информационных технологий.
Важно также, что аудиторы ИБ и лица, проводящие аккредитацию информационной системы, должны представлять разные организации.
В российских РД не предусматривается возможность проведения аудита ИБ, вместо этого допускается повторная аттестация (возможно, другим органом по аттестации).
Российские РД и рассматриваемые зарубежные стандарты относятся фактически к различным классам, их системы понятий различаются. Существенными отличиями зарубежных стандартов являются:
– большое внимание к выбору и формальному описанию целей, которые ставятся в области ИБ для конкретной информационной системы. Используются механизмы оценки соответствия декларированных целей существующим показателям ИБ;
– учет аспектов, связанных с рисками, что позволяет оптимизировать построение подсистемы безопасности по критериям «цена-эффективность»;
– лучший учет таких составляющих ИБ, как целостность и доступность. Российские РД в основном ориентированы на обеспечение конфиденциальности;
– большая степень формализации требований к подсистеме ИБ. В современных стандартах и руководствах формальные требования и рекомендации излагаются в нескольких сотнях подразделов. Соответственно методики построения подсистем ИБ более конкретны, процедуры проведения аудита ИБ достаточно формализованы.
В настоящее время наиболее известны три схемы аудита ИБ:
– на соответствие Британскому стандарту BS 7799, часть 2;
– на соответствие требованиям Ассоциации аудита и управления информационными системами (The Information Systems Audit and Control Association & Fondation - ISACA);
– на соответствие требованиям Американского института общественных бухгалтеров (AICPA);
Рассмотрим наиболее распространенные в Европе BS 7799 и COBIT.
Дата добавления: 2015-09-02; просмотров: 165 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
RiskWatch | | | Сертификация и аудит: организационные аспекты |