Вайнштейн Ю.В., Демин С.Л., Кирко И.Н., Кучеров М.М., Сомова М.В. Основы информационной безопасности

Подождите немного. Документ загружается.

261

− руководство организации понимает проблемы ИБ и участвует в их

решении через назначенного куратора службы ИБ из состава высше-

го руководства организации.

Низкий уровень зрелости одного процесса управления ИБ может нега-

тивно повлиять на общий рейтинг зрелости организации. Например, если

уровень зрелости процесса контроля (мониторинга или аудита) системы ме-

неджмента ИБ организации оценивается как низкий — нулевой, первый или

второй, то общий рейтинг зрелости организации не может превышать уро-

вень зрелости данного процесса.

Аудит безопасности

Аудит ИБ организаций банковской системы РФ может быть внутрен-

ним или внешним.

Порядок и периодичность проведения внутреннего аудита ИБ органи-

зации в целом (или ее отдельных структурных подразделений) определяется

руководством организации на основе потребностей в такой деятельности.

Внешний аудит ИБ проводится независимыми аудиторами.

Цель аудита ИБ организации состоит в проверке и оценке ее соответст-

вия требованиям настоящего стандарта и других принятых в организации

нормативных актов по ИБ.

Аудит ИБ должен проводиться периодически. Внешний аудит ИБ орга-

низаций БС РФ должен проводиться не реже одного раза в год.

При проведении аудита ИБ организации должны использоваться стан-

дартные процедуры документальной проверки, опрос и интервью с руково-

дством и персоналом организации. При необходимости уточнения результа-

тов документальной проверки, опросов и интервью в рамках внутреннего ау-

дита ИБ в качестве дополнительного способа может применяться“проверка

на месте”, которая проводится для обеспечения уверенности в том, что кон-

кретные защитные меры реализуются, правильно используются и проверяют-

ся с помощью тестирования. Обстоятельства, при которых требуется допол-

нительный способ в рамках внутреннего аудита ИБ, должны быть определе-

ны и согласованы в плане проведения аудита ИБ в организации.

При проведении внешнего аудита ИБ руководство организации должно

обеспечить документальное и, если это необходимо, техническое подтвер-

ждение того, что:

262

− политика ИБ отражает требования бизнеса и цели организации;

− организационная структура управления ИБ создана;

− процессы выполнения требований ИБ исполняются и удовлетворяют

поставленным целям;

− защитные меры (например, межсетевые экраны, средства управления

физическим доступом) настроены и используются правильно;

− остаточные риски оценены и остаются приемлемыми для организа-

ции;

− система управления ИБ соответствует определенному уровню зрело-

сти управления ИБ;

− рекомендации предшествующих аудитов ИБ реализованы.

Методики аудита ИБ

− Good Practice

− GAO FISCAM

− NSA INFOSEC Assessment Methodology

− NIST

Good Practice

Стандарт создан ассоциацией Information Security Forum, которая суще-

ствует более 11 лет и включает в себя более 240 ведущих организаций по

всему миру.

Стандарт ориентирован на анализ безопасности ИТ системы компании

с точки зрения функционирования и поддержания бизнес процессов компа-

нии.

Документ состоит из совокупности бизнес требований к системе, кото-

рые разделены на 5 областей:

− Security Management (управление безопасностью);

− Critical Business Applications (критичные бизнес-приложения);

− Information Processing (обработка информации);

− Communications networks (вычислительные сети);

− Systems Development (разработка систем).

263

GAO FISCAM

GAO (General Accounting Office) и National State Auditors Association

(NSAA) разработали документ: «Management Planning Guide for Information

Systems Security Auditing» − «Руководство планирования и управления для

аудита систем информационной безопасности».

FISCAM − Federal Information Systems Control Audit Manual – это мето-

дология аудита безопасности ИТ систем, разработана GAO:

− Introduction and Methodology (введение и методология)

− Planning the Audit (планирование аудита)

− Evaluation and Testing General Controls (общий контроль: расчет и тес-

тирование)

− Evaluation and Testing Application Controls (контроль приложений:

расчет и тестирование)

− Appendixes (приложения).

NSA INFOSEC Assessment Methodology

NSA (National Security Agency) – Агентство Национальной Безопасно-

сти США (АНБ) разработала во второй половине 90-х годов методику прове-

дения аудита информационной безопасности.

АНБ получало больше запросов на обследование, чем могло провести.

Необходима была общая методика, используемая всеми исполнителями.

Планировалось предоставление специальных услуг коммерческому сектору.

Фазы анализа:

Фаза 1. Предварительная оценка;

Фаза 2. Непосредственный анализ;

Фаза 3. Выводы.

Предварительная оценка:

− Ранжирование и определение ценности информации;

− Определение систем и границ;

− Сбор документации по информационной системе и системе ИБ;

− Приготовление плана обследования.

Непосредственный анализ

Анализ 18 базовых категорий ИБ

Базовые категории для проверки:

1. Документация ИБ;

2. Роли и ответственности;

3. Идентификация и аутентификация;

4. Управление доступом;

5. Контроль сессий;

6. Внешние связи;

7. Телекоммуникации;

8. Аудит;

9. Вирусная защита;

10. План непрерывности;

11. Поддержка;

12. Управление конфигурациями;

13. Резервирование;

14. Категорирование;

15. Уничтожение материалов;

16. Физическая защита;

17. Персонал;

18. Обучение и информирование.

Уровень 1:

− Проверка документации,

− Интервью персонала,

− Информация/цели; анализ критичности.

Уровень 1+:

− Сканирование без проникновения,

− Краткие выводы: достоинства/слабости.

Уровень 2:

− Техническое обследование и тестирование,

− Специфичные технические экспертизы,

− Инструменты по проникновению,

− Диагностические инструменты.

Уровень 3 (Красная группа):

− Внешнее обследование,

265

− Внешние тесты на проникновение,

− Симуляция действий потенциального злоумышленника.

Выводы

Анализ и формирование отчета:

− Выполняется 45-60 дней после фазы 2

− Предоставление отчета

NIST − Национальный институт стандартов и технологий

NIST (National Institute of Standard and Technologies) разработал серию

документов по аудиту ИБ, таких как:

− Draft Guideline on Network Security Testing (методы инструментальной

проверки сетевой безопасности )

− Security Self Assessment Guide for Information Technology Systems (ти-

повые вопросы аудитора)

− Risk management Guide for Information Technology Systems (методоло-

гия анализа и управления рисками)

Анализ рисков разбивается на следующие этапы:

− Характеристики системы;

− Идентификация угрозы;

− Идентификация уязвимостей;

− Анализ существующих методов и требований по управлению безо-

пасностью;

− Вероятность проявления;

− Анализ воздействия;

− Определение риска;

− Рекомендации по управлению рисками и ИТ секьюрити;

− Итоговая документация.

14.7. Оценка возможного ущерба (потерь)

Оценивая тяжесть ущерба, необходимо иметь в виду:

− непосредственные расходы на замену оборудования, анализ и иссле-

дование причин преодоления защиты, восстановление информации и

функционирования АС по ее обработке;

266

− косвенные потери, связанные со снижением банковского доверия,

потерей клиентуры, подрывом репутации, ослаблением позиций на

рынке.

Для оценки потерь необходимо построить сценарий действий трех сто-

рон:

− нарушителя по использованию добытой информации;

− службы информационной безопасности по предотвращению послед-

ствий и восстановлению нормального функционирования системы;

− третьей стороны.

Оценивая последствия потери ресурса нужно учитывать:

− цену ресурса − затраты на производство;

− стоимость восстановления или создания (покупку) нового ресурса;

− стоимость восстановления работоспособности организации (при ра-

боте с искаженным ресурсом, без него, при дезинформации);

− стоимость вынужденного простоя;

− стоимость упущенной выгоды (потерянный контракт);

− стоимость выплаты неустоек, штрафов (за невыполнение обяза-

тельств контракта);

− стоимость затрат на реабилитацию подмоченной репутации, прести-

жа, имени фирмы;

− стоимость затрат на поиск новых клиентов, взамен более не дове-

ряющих фирме;

− стоимость затрат на поиск (или восстановление) новых каналов свя-

зи, информационных источников.

Мотивы нарушений

Три основных причины (мотива) нарушений:

− неопытность;

− корыстный интерес;

− безответственность (самоутверждение).

267

При организации системы защиты информации необходима диффе-

ренциация мер защиты для рационального распределения средств защиты

информации и вычислительных ресурсов системы.

Основной принцип при учете мотивов и причин нарушений − принцип

разумной достаточности, а иногда и “золотой середины”.

Типы конфликтов:

− Ограниченность ресурсов (вычислительных, информационных);

− Несоответствие целей сотрудников СИБ и др. отделов;

− Требования режима;

− Психофизиологические особенности сотрудников СИБ и др. отделов;

− Несоответствие ожиданий и реальности;

− Конфликты в личной жизни сотрудников;

− Иерархические конфликты;

− Конфликт человек-машина.

Определение стратегии управления рисками:

− изменение характера риска;

− уменьшение риска;

− уклонение от риска;

− принятие риска.

Уровни анализа рисков

− Базовый

− Полный

Анализ рисков для базового уровня ИБ

268

Для того чтобы обеспечить базовый уровень безопасности, достаточно

проверить выполнение требований соответствующего стандарта (специфика-

ции), например ISO 17799.

Программные продукты, предназначенные для этой цели, позволяют

сформировать список вопросов, касающихся выполнения этих требований.

На основе ответов генерируется отчет с рекомендациями по устранению вы-

явленных недостатков.

Примером программного продукта этого класса являются продукты

КОНДОР и COBRA.

Данное ПО позволяет существенно облегчить процесс проверки на со-

ответствие требованиям Британского стандарта BS 7799 (ISO 17799) инфор-

мационной системы. Имеется несколько баз знаний: общие требования BS

7799 (ISO 17799), и специализированные базы, ориентированные на различ-

ные области применения. Еще один пример – RiskPAC, производитель CSCI.

Область применения – проверка на соответствие требованиям базового уров-

ня защищенности организации CSCI. Имеется возможность настройки на

различные области применения путем добавления (исключения) дополни-

тельных вопросов. Кроме того, имеется калькулятор ожидаемых среднегодо-

вых потерь, позволяющий оценить ожидаемые потери по различным видам

информационных ресурсов.

Полный анализ рисков

Программные средства, позволяющие провести полный анализ рисков,

строятся с использованием структурных методов системного анализа и про-

ектирования (SSADM – Structured Systems Analysis and Design) и представля-

ют собой инструментарий для:

− построения модели ИС с точки зрения ИБ;

− оценки ценности ресурсов;

− составления списка угроз и уязвимостей, оценки их характеристик;

− выбора контрмер и анализа их эффективности;

− анализа вариантов построения защиты;

− документирования (генерация отчетов).

269

Примерами программных продуктов этого класса являются CRAMM,

разработчик Logica (Великобритания), MARION, разработчик CLUSIF

(Франция), RiskWatch (США), ГРИФ, разработчик Digital Security.

Обязательным элементом этих продуктов является база данных, содер-

жащая информацию по инцидентам в области ИБ, позволяющая оценить рис-

ки и уязвимости, эффективность различных вариантов контрмер в определен-

ной ситуации.

Принципы, положенные в основу методик анализа рисков и границы их

применимости. Один из возможных подходов к разработке подобных мето-

дик – накопление статистических данных о реально случившихся происшест-

виях, анализ и классификация их причин, выявление факторов риска. На ос-

нове этой информации можно оценить угрозы и уязвимости в других инфор-

мационных системах.

Практические сложности в реализации этого подхода следующие:

− Во-первых, должен быть собран весьма обширный материал о про-

исшествиях в этой области.

− Во-вторых, применение этого подхода оправдано далеко не всегда.

Если информационная система достаточно крупная (содержит много

элементов, расположена на обширной территории), имеет давнюю историю,

то подобный подход, скорее всего, применим.

Если система сравнительно невелика, использует только новейшие эле-

менты технологии (для которых пока нет достоверной статистики), оценки

рисков и уязвимостей могут оказаться недостоверными.

Альтернативой статистическому подходу является подход, основанный

на анализе особенностей технологии. Примером является упомянутый Гер-

манский стандарт BSI, обширный каталог угроз и контрмер доступен в Ин-

тернет. Впрочем, этот подход также не универсален: темпы технологического

прогресса в области ИТ таковы, что имеющиеся оценки относятся к уже ус-

таревшим или устаревающим технологиям, для новейших технологий таких

оценок пока не существует.

Оценка эффективности вложенных средств

ROSI – Return of Security Investment – коэффициент окупаемости инве-

стиций в информационную безопасность. ROSI определяет эффективность

270

каждой единицы денежных средств, вложенных в информационную безопас-

ность.

В общем случае ROI (Return of Investment) определяется как отношение

прибыли к вложенным средствам. В сфере информационной безопасности

прибыль – величина, на которую снизился информационный риск после вне-

дрения контрмер. Таким образом, получим

ROSI = (R1-R2):С, где

R1 – риск до внедрения контрмер

R2 – риск после внедрения контрмер

С – затраты на внедрение контрмер

Контрольные вопросы

1. Сколько уровней анализа ИБ предлагает АНБ США?

2. Как называются уровни зрелости менеджмента ИБ в стандарте ЦБ

РФ?

3. Каким образом осуществляется оценка возможного ущерба (потерь)?

4. Какие существую методики аудита ИБ?