Аўдыт інфармацыйнай бяспекі: мэты, метады і сродкі, прыклад. Аўдыт інфармацыйнай бяспекі банка

Сёння ўсім вядомая ледзь не сакральная фраза пра тое, што валодае інфармацыяй валодае светам. Менавіта таму ў наш час красці канфідэнцыйную інфармацыю спрабуюць усё каму не лянота. У сувязі з гэтым прымаюцца і беспрэцэдэнтныя крокі па ўкараненні сродкаў абароны ад магчымых нападаў. Аднак часам можа спатрэбіцца правесці аўдыт інфармацыйнай бяспекі прадпрыемства. Што гэта такое і навошта ўсё гэта трэба, зараз і паспрабуем разабрацца.

Што ўяўляе сабой аўдыт інфармацыйнай бяспекі ў агульным вызначэнні?

Цяпер не будзем закранаць мудрагелістыя навуковыя тэрміны, а пастараемся вызначыць для сябе асноўныя паняцці, апісаўшы іх самым простым мовай (У народзе гэта можна было назваць аўдытам для «чайнікаў»).

Назва гэтага комплексу мерапрыемстваў кажа само за сябе. Аўдыт інфармацыйнай бяспекі ўяўляе сабой незалежную праверку або экспертную ацэнку забеспячэння бяспекі інфармацыйнай сістэмы (ІС) якога-небудзь прадпрыемства, установы ці арганізацыі на аснове спецыяльна распрацаваных крытэрыяў і паказчыкаў.

Кажучы простай мовай, напрыклад, аўдыт інфармацыйнай бяспекі банка зводзіцца да таго, каб ацаніць ўзровень абароны баз дадзеных кліентаў, якія праводзяцца банкаўскіх аперацый, захаванасці электронных грашовых сродкаў, захаванасці банкаўскай таямніцы і т. Д. У выпадку ўмяшання ў дзейнасць установы староннімі асобамі звонку, выкарыстоўвалымі электронныя і камп'ютэрныя сродкі.

Напэўна, сярод чытачоў знойдзецца хаця б адзін чалавек, якому тэлефанавалі дадому або на мабільны тэлефон з прапановай афармлення крэдыту або дэпазітнага ўкладу, прычым з банка, з якім ён ніяк не звязаны. Тое ж самае тычыцца і прапановы пакупак ад нейкіх крам. Адкуль усплыў ваш нумар?

Усё проста. Калі чалавек раней браў крэдыт або ўкладваў грошы на дэпазітны рахунак, натуральна, яго дадзеныя былі захаваны ў адзінай кліенцкай базе. Пры тэлефанаванні з іншага банка або крамы можна зрабіць адзіную выснову: інфармацыя пра яго незаконна трапіла ў трэція рукі. Як? У агульным выпадку можна вылучыць два варыянты: альбо яна была скрадзена, альбо перададзена супрацоўнікамі банка трэцім асобам сьвядома. Для таго каб такія рэчы не адбываліся, і трэба своечасова праводзіць аўдыт інфармацыйнай бяспекі банка, прычым гэта тычыцца не толькі камп'ютэрных або «жалезных» сродкаў абароны, але ўсяго персаналу банкаўскай установы.

Асноўныя напрамкі аўдыту інфармацыйнай бяспекі

Што тычыцца сферы ўжывання такога аўдыту, як правіла, іх адрозніваюць некалькі:

• поўная праверка аб'ектаў, якія былі задзейнічаныя ў працэсах інфарматызацыі (кампутарныя аўтаматызаваныя сістэмы, сродкі камунікацыі, прыёму, перадачы і апрацоўкі інфармацыйных дадзеных, тэхнічных сродкаў, памяшканняў для правядзення канфідэнцыйных сустрэч, сістэм назірання і г.д.);
• праверка надзейнасці абароны канфідэнцыйнай інфармацыі з абмежаваным доступам (вызначэнне магчымых каналаў уцечкі і патэнцыйных дзюр у сістэме бяспекі, якія дазваляюць атрымаць да яе доступ звонку з выкарыстаннем стандартных і нестандартных метадаў);
• праверка ўсіх электронных тэхнічных сродкаў і лакальных камп'ютэрных сістэм на прадмет ўздзеяння на іх электрамагнітнага выпраменьвання і навядзенняў, якія дазваляюць адключыць іх ці прывесці ў непрыдатнасць;
• праектная частка, якая ўключае ў сябе работы па стварэнні канцэпцыі бяспекі і ўжывання яе ў практычным выкананні (абарона камп'ютэрных сістэм, памяшканняў, сродкаў сувязі і г.д.).

Калі ўзнікае неабходнасць правядзення аўдыту?

Не кажучы пра крытычных сітуацыях, калі абарона ўжо была парушаная, аўдыт інфармацыйнай бяспекі ў арганізацыі можа праводзіцца і ў некаторых іншых выпадках.

Як правіла, сюды ўключаюць пашырэнне кампаніі, зліцця, паглынання, далучэння іншымі прадпрыемствамі, змену канцэпцыі курса бізнесу або кіраўніцтва, змены ў міжнародным заканадаўстве або ў прававых актах ўнутры асобна ўзятай краіны, досыць сур'ёзных змены ў інфармацыйнай інфраструктуры.

віды аўдыту

Сёння сама класіфікацыя такога тыпу аўдыту, на думку многіх аналітыкаў і экспертаў, з'яўляецца не ўстоянай. Таму і падзел на класы ў некаторых выпадках можа быць вельмі ўмоўным. Тым не менш у агульным выпадку аўдыт інфармацыйнай бяспекі можна падзяліць на знешні і ўнутраны.

Знешні аўдыт, які праводзіцца незалежнымі экспертамі, якія маюць на гэта права, звычайна ўяўляе сабой разавую праверку, якая можа быць ініцыяваная кіраўніцтвам прадпрыемства, акцыянерамі, праваахоўнымі органамі і г.д. Лічыцца, што знешні аўдыт інфармацыйнай бяспекі рэкамендаваны (а не абавязковы) для правядзення рэгулярна на працягу ўсталяванага прамежку часу. Але для некаторых арганізацый і прадпрыемстваў, згодна заканадаўства, ён з'яўляецца абавязковым (напрыклад, фінансавыя ўстановы і арганізацыі, акцыянерныя грамадства і інш.).

Унутраны аўдыт інфармацыйнай бяспекі з'яўляецца працэсам сталым. Ён грунтуецца на спецыяльным «Палажэнні аб ўнутраным аўдыце». Што гэта такое? Па сутнасці, гэта атэстацыйныя мерапрыемствы, якія праводзяцца ў арганізацыі, у тэрміны, зацверджаныя кіраўніцтвам. Правядзенне аўдыту інфармацыйнай бяспекі забяспечваецца адмысловымі структурнымі падраздзяленнем прадпрыемства.

Альтэрнатыўная класіфікацыя відаў аўдыту

Акрамя вышэй апісанага падзелу на класы ў агульным выпадку, можна вылучыць яшчэ некалькі складнікаў, прынятых у міжнароднай класіфікацыі:

• экспертная праверка стану абароненасці інфармацыі і інфармацыйных сістэм на аснове асабістага досведу экспертаў, яе праводзяць;
• атэстацыя сістэм і мер бяспекі на прадмет адпаведнасці міжнародным стандартам (ISO 17799) і дзяржаўным прававым дакументам, які рэгулюе гэтую сферу дзейнасці;
• аналіз абароненасці інфармацыйных сістэм з прымяненнем тэхнічных сродкаў, накіраваны на выяўленне патэнцыйных уразлівасцяў у праграмна-апаратным комплексе.

Часам можа ўжывацца і так званы комплексны аўдыт, які ўключае ў сябе ўсе вышэйпералічаныя віды. Дарэчы, менавіта ён дае найбольш аб'ектыўныя вынікі.

Пастановачныя мэты і задачы

Любая праверка, няхай гэта будзе ўнутраная або знешняя, пачынаецца з пастаноўкі мэтаў і задач. Калі казаць прасцей, трэба вызначыць, навошта, што і як будзе правярацца. Гэта і прадвызначыць далейшую методыку правядзення ўсяго працэсу.

Пастаўленых задач, у залежнасці ад спецыфікі структуры самога прадпрыемства, арганізацыі, установы і яго дзейнасці, можа быць дастаткова шмат. Аднак сярод усяго гэтага вылучаюць уніфікаваныя мэты аўдыту інфармацыйнай бяспекі:

• ацэнка стану абароненасці інфармацыі і інфармацыйных сістэм;
• аналіз магчымых рызык, звязаных з пагрозай пранікнення ў ІС звонку, і магчымых метадаў ажыццяўлення такога ўмяшання;
• лакалізацыя дзюр і прарэхаў ў сістэме бяспекі;
• аналіз адпаведнасці ўзроўню бяспекі інфармацыйных сістэм дзеючым стандартам і нарматыўна-прававым актам;
• распрацоўка і выдача рэкамендацый, якія прадугледжваюць ліквідацыю існуючых праблем, а таксама ўдасканаленне існуючых сродкаў абароны і ўкараненне новых распрацовак.

Методыка і сродкі правядзення аўдыту

Зараз некалькі слоў пра тое, як праходзіць праверка і якія этапы і сродкі яна яму вядома.

Правядзенне аўдыту інфармацыйнай бяспекі складаецца з некалькіх асноўных этапаў:

• ініцыяванне працэдуры праверкі (дакладнае вызначэнне правоў і абавязкаў аўдытара, падрыхтоўка аўдытарам плана праверкі і яго ўзгадненне з кіраўніцтвам, вырашэнне пытання аб межах правядзення даследавання, накладыванія на супрацоўнікаў арганізацыі абавязацельствы ў дапамозе і своечасовым прадастаўленні неабходнай інфармацыі);
• збор зыходных дадзеных (структура сістэмы бяспекі, размеркаванне сродкаў забеспячэння бяспекі, узроўні функцыянавання сістэмы бяспекі, аналіз метадаў атрымання і прадастаўлення інфармацыі, вызначэнне каналаў сувязі і ўзаемадзеяння ІС з іншымі структурамі, іерархія карыстальнікаў камп'ютэрных сетак, вызначэнне пратаколаў і г.д.);
• правядзенне комплекснай або частковай праверкі;
• аналіз атрыманых дадзеных (аналіз рызык любога тыпу і адпаведнасці стандартам);
• выдача рэкамендацый па ліквідацыі магчымых праблем;
• стварэнне справаздачнай дакументацыі.

Першы этап з'яўляецца найбольш простым, паколькі яго рашэнне прымаецца выключна паміж кіраўніцтвам прадпрыемства і аўдытарам. Межы правядзення аналізу могуць быць разгледжаны на агульным сходзе супрацоўнікаў або акцыянераў. Усё гэта ў большай ступені адносіцца да прававога поля.

Другі этап збору зыходных дадзеных, няхай гэта будзе правядзенне ўнутранага аўдыту інфармацыйнай бяспекі або знешняй незалежнай атэстацыі, з'яўляецца найбольш рэсурсаёмістым. Звязана гэта з тым, што на гэтай стадыі трэба не толькі вывучыць тэхнічную дакументацыю, што датычыцца ўсяго праграмна-апаратнага комплексу, але і правесці вузканакіраваных інтэрв'юіраванне супрацоўнікаў кампаніі, прычым у большасці выпадкаў нават з запаўненнем спецыяльных апытальных лістоў або анкет.

Што ж тычыцца тэхнічнай дакументацыі, тут важна атрымаць дадзеныя пра структуру ІС і прыярытэтных узроўнях правоў доступу да яе супрацоўнікаў, вызначыць Агульнасістэмныя і прыкладное праграмнае забеспячэнне (выкарыстоўваюцца аперацыйныя сістэмы, прыкладання для вядзення бізнесу, кіравання ім і ўліку), а таксама устаноўленыя сродкі абароны софтвернага і непрограммного тыпу (антывірусы, файрволла і г.д.). Акрамя таго, сюды ўключаецца поўная праверка сетак і правайдэраў, якія прадстаўляюць паслугі сувязі (арганізацыя сеткі, якія выкарыстоўваюцца пратаколы для падлучэння, тыпы каналаў сувязі, метады перадачы і прыёму інфармацыйных патокаў і многае іншае). Як ужо зразумела, гэта займае досыць шмат часу.

На наступным этапе вызначаюцца метады аўдыту інфармацыйнай бяспекі. Іх адрозніваюць тры:

• аналіз рызык (самая складаная методыка, якая базуецца на вызначэнні аўдытарам магчымасці пранікнення ў ІС і парушэнні яе цэласнасці, з выкарыстаннем усіх магчымых метадаў і сродкаў);
• ацэнка адпаведнасці стандартам і заканадаўчым актам (найбольш просты і самы практычны метад, заснаваны на параўнанні бягучага стану спраў і патрабаванняў міжнародных стандартаў і унутрыдзяржаўных дакументаў у сферы інфармацыйнай бяспекі);
• камбінаваны метад, які аб'ядноўвае два першых.

Пасля атрымання вынікаў праверкі пачынаецца іх аналіз. Сродкі аўдыту інфармацыйнай бяспекі, якія прымяняюцца для аналізу, могуць быць досыць разнастайнымі. Усё залежыць ад спецыфікі дзейнасці прадпрыемства, тыпу інфармацыі, выкарыстоўванага праграмнага забеспячэння, сродкаў абароны і інш. Аднак, як можна заўважыць па першай методыцы, аўдытар, галоўным чынам, прыйдзецца абапірацца на ўласны вопыт.

А гэта азначае толькі тое, што ён павінен валодаць адпаведнай кваліфікацыяй ў сферы інфармацыйных тэхналогій і абароны дадзеных. На аснове такога аналізу аўдытар і разлічвае магчымыя рызыкі.

Заўважце, ён павінен разбірацца не толькі ў аперацыйных сістэмах або праграмах, якія выкарыстоўваюцца, напрыклад, для вядзення бізнесу або бухгалтарскага ўліку, але і дакладна разумець, якім чынам зламыснік можа пракрасціся ў інфармацыйную сістэму з мэтай крадзяжу, пашкоджання i знішчэння дадзеных, стварэння перадумоў для парушэнняў у працы кампутараў, распаўсюджвання вірусаў або шкоднаснага ПА.

Ацэнка вынікаў аўдыту і рэкамендацыі па ліквідацыі праблем

На аснове праведзенага аналізу эксперт робіць заключэнне аб стане абароны і выдае рэкамендацыі па ліквідацыі наяўных або магчымых праблем, мадэрнізацыі сістэмы бяспекі і г.д. Пры гэтым рэкамендацыі павінны быць не толькі аб'ектыўнымі, але і выразна прывязанымі да рэалій спецыфікі прадпрыемства. Іншымі словамі, парады па апгрэйду канфігурацыі кампутараў або праграмнага забеспячэння не прымаюцца. У роўнай ступені гэта адносіцца і да парад па звальненню «ненадзейных» супрацоўнікаў, ўстаноўцы новых сістэм сачэння без канкрэтнага ўказанні іх прызначэння, месца ўстаноўкі і мэтазгоднасці.

Зыходзячы з праведзенага аналізу, як правіла, адрозніваюць некалькі груп рызык. Пры гэтым для складання зводнай справаздачы выкарыстоўваецца два асноўных паказчыка: верагоднасць правядзення нападу і шкода, нанесены кампаніі ў выніку (страта актываў, зніжэнне рэпутацыі, страта іміджу і інш.). Аднак паказчыкі па групах не супадаюць. Так, напрыклад, паказчык нізкага ўзроўню для верагоднасці нападу з'яўляецца лепшым. Для ўрону - наадварот.

Толькі пасля гэтага складаецца справаздачу, у якім дэталёва распісваюцца ўсе этапы, метады і сродкі праведзеных даследаванняў. Ён узгадняецца з кіраўніцтвам і падпісваецца двума бакамі - прадпрыемствам і аўдытарам. Калі аўдыт ўнутраны, складае такую справаздачу кіраўнік адпаведнага структурнага падраздзялення, пасля чаго ён, зноў жа, падпісваецца кіраўніком.

Аўдыт інфармацыйнай бяспекі: прыклад

Нарэшце, разгледзім самы просты прыклад сітуацыі, якая ўжо здаралася. Шмат каму, дарэчы, яна можа здацца вельмі знаёмай.

Так, напрыклад, нейкі супрацоўнік кампаніі, якая займаецца закупкамі ў ЗША, усталяваў на кампутар мессенджер ICQ (імя супрацоўніка і назва фірмы не называецца па зразумелых меркаваннях). Перамовы вяліся менавіта з дапамогай гэтай праграмы. Але «аська» з'яўляецца дастаткова ўразлівай ў плане бяспекі. Сам супрацоўнік пры рэгістрацыі нумары на той момант альбо не меў адрасы электроннай пошты, альбо проста не захацеў яго даваць. Замест гэтага ён паказаў нешта падобнае на e-mail, прычым нават з неіснуючым даменам.

Што б зрабіў зламыснік? Як паказаў аўдыт інфармацыйнай бяспекі, ён бы зарэгістраваў сапраўды такі жа дамен і стварыў бы ў ім іншы рэгістрацыйны тэрмінал, пасля чаго мог адправіць паведамленне ў кампанію Mirabilis, якая валодае сэрвісам ICQ, з просьбай аднаўлення пароля па прычыне яго страты (што і было б зроблена ). Паколькі сервер атрымальніка ня з'яўляўся паштовых, на ім быў уключаны рэдырэкт - перанакіраванне на існуючую пошту зламысніка.

Як вынік, ён атрымлівае доступ да перапіскі з пазначаным нумарам ICQ і паведамляе пастаўшчыку аб змене адрасы атрымальніка тавару ў пэўнай краіне. Такім чынам, груз адпраўляецца невядома куды. І гэта самы бяскрыўдны прыклад. Так, дробнае хуліганства. А што казаць пра больш сур'ёзныя хакерах, якія здольныя куды на большае ...

заключэнне

Вось сцісла і ўсё, што тычыцца аўдыту бяспекі ІС. Вядома, тут закрануты далёка не ўсе яго аспекты. Прычына складаецца толькі ў тым, што на пастаноўку задач і метады яго правядзення ўплывае вельмі шмат фактараў, таму падыход у кожным канкрэтным выпадку строга індывідуальны. Да таго ж метады і сродкі аўдыту інфармацыйнай бяспекі могуць быць рознымі для розных ІС. Аднак, думаецца, агульныя прынцыпы такіх праверак для многіх стануць зразумелымі хаця б на пачатковым узроўні.