Аудит інформаційної безпеки: цілі, методи і засоби, приклад. Аудит інформаційної безпеки банку

Сьогодні всім відома мало не сакральна фраза про те, що володіє інформацією володіє світом. Саме тому в наш час красти конфіденційну інформацію намагаються все кому не лінь. У зв`язку з цим вживаються і безпрецедентні кроки по впровадженню засобів захисту від можливих атак. Однак іноді може знадобитися провести аудит інформаційної безпеки підприємства. Що це таке і навіщо все це потрібно, зараз і спробуємо розібратися.

Що являє собою аудит інформаційної безпеки в загальному визначенні?

Зараз не будемо зачіпати заумні наукові терміни, а постараємося визначити для себе основні поняття, описавши їх найпростішим мовою (в народі це можна було назвати аудитом для «чайників»).

Назва цього комплексу заходів говорить сама за себе. Аудит інформаційної безпеки є незалежну перевірку або експертну оцінку забезпечення безпеки інформаційної системи (ІС) будь-якого підприємства, установи або організації на основі спеціально розроблених критеріїв і показників.

Говорячи простою мовою, наприклад, аудит інформаційної безпеки банку зводиться до того, щоб оцінити рівень захисту баз даних клієнтів, що проводяться банківських операцій, збереження електронних грошових коштів, збереження банківської таємниці і т. Д. В разі втручання в діяльність установи сторонніми особами ззовні, використовують електронні та комп`ютерні засоби.

Напевно, серед читачів знайдеться хоча б одна людина, якій телефонували додому або на мобільний телефон з пропозицією оформлення кредиту або депозитного вкладу, причому з банку, з яким він ніяк не пов`язаний. Те ж саме стосується і пропозиції покупок від якихось магазинів. Звідки сплив ваш номер?

Все просто. Якщо людина раніше брав кредит або вкладав гроші на депозитний рахунок, природно, його дані були збережені в єдиній клієнтській базі. При дзвінку з іншого банку або магазину можна зробити єдиний висновок: інформація про нього незаконно потрапила в треті руки. Як? У загальному випадку можна виділити два варіанти: або вона була вкрадена, або передана співробітниками банку третім особам усвідомлено. Для того щоб такі речі не відбувалися, і потрібно вчасно проводити аудит інформаційної безпеки банку, причому це стосується не тільки комп`ютерних або «залізних» засобів захисту, але всього персоналу банківської установи.

Основні напрямки аудиту інформаційної безпеки

Що стосується сфери застосування такого аудиту, як правило, їх розрізняють кілька:

• повна перевірка об`єктів, задіяних в процесах інформатизації (комп`ютерні автоматизовані системи, засоби комунікації, прийому, передачі та обробки інформаційних даних, технічних засобів, приміщень для проведення конфіденційних зустрічей, систем спостереження та т.д.);
• перевірка надійності захисту конфіденційної інформації з обмеженим доступом (визначення можливих каналів витоку і потенційних дірок в системі безпеки, що дозволяють отримати до неї доступ ззовні з використанням стандартних і нестандартних методів);
• перевірка всіх електронних технічних засобів і локальних комп`ютерних систем на предмет впливу на них електромагнітного випромінювання і наведень, що дозволяють відключити їх або привести в непридатність;
• проектна частина, що включає в себе роботи по створенню концепції безпеки та застосування її в практичному виконанні (захист комп`ютерних систем, приміщень, засобів зв`язку і т.д.).

Коли виникає необхідність проведення аудиту?

Не кажучи про критичні ситуації, коли захист вже була порушена, аудит інформаційної безпеки в організації може проводитися і в деяких інших випадках.

Як правило, сюди включають розширення компанії, злиття, поглинання, приєднання іншими підприємствами, зміну концепції курсу бізнесу або керівництва, зміни в міжнародному законодавстві або в правових актах всередині окремо взятої країни, досить серйозних зміни в інформаційній інфраструктурі.

види аудиту

Сьогодні сама класифікація такого типу аудиту, на думку багатьох аналітиків і експертів, є не усталеною. Тому і поділ на класи в деяких випадках може бути досить умовним. Проте в загальному випадку аудит інформаційної безпеки можна розділити на зовнішній і внутрішній.

Зовнішній аудит, проведений незалежними експертами, що мають на це право, зазвичай являє собою разову перевірку, яка може бути ініційована керівництвом підприємства, акціонерами, правоохоронними органами і т.д. Вважається, що зовнішній аудит інформаційної безпеки рекомендований (а не обов`язковий) для проведення регулярно протягом встановленого проміжку часу. Але для деяких організацій і підприємств, згідно законодавства, він є обов`язковим (наприклад, фінансові установи та організації, акціонерні товариства і ін.).

Внутрішній аудит інформаційної безпеки є процесом постійним. Він базується на спеціальному «Положенні про внутрішній аудит». Що це таке? По суті, це атестаційні заходи, що проводяться в організації, в терміни, затверджені керівництвом. Проведення аудиту інформаційної безпеки забезпечується спеціальними структурними підрозділом підприємства.

Альтернативна класифікація видів аудиту

Крім вище описаного поділу на класи в загальному випадку, можна виділити ще кілька складових, які у міжнародній класифікації:

• експертна перевірка стану захищеності інформації та інформаційних систем на основі особистого досвіду експертів, її проводять;
• атестація систем і заходів безпеки на предмет відповідності міжнародним стандартам (ISO 17799) і державним правовим документам, що регулюють цю сферу діяльності;
• аналіз захищеності інформаційних систем з застосуванням технічних засобів, спрямований на виявлення потенційних вразливостей в програмно-апаратному комплексі.

Іноді може застосовуватися і так званий комплексний аудит, який включає в себе всі перераховані вище види. До речі, саме він дає найбільш об`єктивні результати.

Постановочні мети і завдання

Будь-яка перевірка, будь то внутрішня або зовнішня, починається з постановки цілей і завдань. Якщо говорити простіше, потрібно визначити, навіщо, що і як буде перевірятися. Це і зумовить подальшу методику проведення всього процесу.

Поставлених завдань, в залежності від специфіки структури самого підприємства, організації, установи і його діяльності, може бути досить багато. Однак серед усього цього виділяють уніфіковані мети аудиту інформаційної безпеки:

• оцінка стану захищеності інформації та інформаційних систем;
• аналіз можливих ризиків, пов`язаних із загрозою проникнення в ІС ззовні, і можливих методів здійснення такого втручання;
• локалізація дірок і дір у системі безпеки;
• аналіз відповідності рівня безпеки інформаційних систем чинним стандартам і нормативно-правовим актам;
• Розробка та видача рекомендацій, які передбачають усунення існуючих проблем, а також удосконалення існуючих засобів захисту і впровадження нових розробок.

Методика і засоби проведення аудиту

Тепер кілька слів про те, як проходить перевірка і які етапи і засоби вона в себе включає.

Проведення аудиту інформаційної безпеки складається з декількох основних етапів:

• ініціювання процедури перевірки (чітке визначення прав і обов`язків аудитора, підготовка аудитором плану перевірки і його узгодження з керівництвом, вирішення питання про межі проведення дослідження, накладання на співробітників організації зобов`язання в допомоги та своєчасному наданні необхідної інформації);
• збір вихідних даних (структура системи безпеки, розподіл коштів забезпечення безпеки, рівні функціонування системи безпеки, аналіз методів отримання та надання інформації, визначення каналів зв`язку і взаємодії ІС з іншими структурами, ієрархія користувачів комп`ютерних мереж, визначення протоколів і т.д.);
• проведення комплексної або часткової перевірки;
• аналіз отриманих даних (аналіз ризиків будь-якого типу і відповідності стандартам);
• видача рекомендацій щодо усунення можливих проблем;
• створення звітної документації.

Перший етап є найбільш простим, оскільки його рішення приймається виключно між керівництвом підприємства і аудитором. Межі проведення аналізу можуть бути розглянуті на загальних зборах співробітників або акціонерів. Все це в більшій мірі відноситься до правового поля.

Другий етап збору вихідних даних, будь то проведення внутрішнього аудиту інформаційної безпеки або зовнішнього незалежного атестації, є найбільш ресурсномістких. Пов`язано це з тим, що на цій стадії потрібно не тільки вивчити технічну документацію, що стосується всього програмно-апаратного комплексу, але і провести вузьконаправлене інтерв`ювання співробітників компанії, причому в більшості випадків навіть із заповненням спеціальних опитувальних листів або анкет.

Що ж стосується технічної документації, тут важливо отримати дані про структуру ІС і пріоритетних рівнях прав доступу до неї співробітників, визначити общесистемное і прикладне програмне забезпечення (використовувані операційні системи, програми для ведення бізнесу, управління ним і обліку), а також встановлені засоби захисту софтверного і непрограммного типу (антивіруси, фаєрволи і т.д.). Крім того, сюди включається повна перевірка мереж і провайдерів, що надають послуги зв`язку (організація мережі, використовувані протоколи для підключення, типи каналів зв`язку, методи передачі та прийому інформаційних потоків і багато іншого). Як уже зрозуміло, це займає досить багато часу.

На наступному етапі визначаються методи аудиту інформаційної безпеки. Їх розрізняють три:

• аналіз ризиків (найскладніша методика, що базується на визначенні аудитором можливості проникнення в ІС і порушення її цілісності з застосуванням всіх можливих методів і засобів);
• оцінка відповідності стандартам і законодавчим актам (найбільш простий і самий практичний метод, заснований на порівнянні поточного стану справ і вимог міжнародних стандартів і внутрішньодержавних документів в сфері інформаційної безпеки);
• комбінований метод, який об`єднує два перших.

Після отримання результатів перевірки починається їх аналіз. засоби аудиту інформаційної безпеки, які застосовуються для аналізу, можуть бути досить різноманітними. Все залежить від специфіки діяльності підприємства, типу інформації, використовуваного програмного забезпечення, засобів захисту та ін. Однак, як можна помітити по першій методиці, аудитору, головним чином, доведеться спиратися на власний досвід.

А це означає тільки те, що він повинен володіти відповідною кваліфікацією в сфері інформаційних технологій і захисту даних. На основі такого аналізу аудитор і розраховує можливі ризики.

Зауважте, він повинен розбиратися не тільки в операційних системах або програмах, що використовуються, наприклад, для ведення бізнесу або бухгалтерського обліку, а й чітко розуміти, яким чином зловмисник може проникнути в інформаційну систему з метою крадіжки, псування і знищення даних, створення передумов для порушень в роботі комп`ютерів, поширення вірусів або шкідливого ПЗ.

Оцінка результатів аудиту та рекомендації щодо усунення проблем

На основі проведеного аналізу експерт робить висновок про стан захисту і видає рекомендації по усуненню наявних або можливих проблем, модернізації системи безпеки і т.д. При цьому рекомендації повинні бути не тільки об`єктивними, а й чітко прив`язаними до реалій специфіки підприємства. Іншими словами, поради по апгрейду конфігурації комп`ютерів або програмного забезпечення не приймаються. В рівній мірі це відноситься і до порад щодо звільнення «ненадійних» співробітників, встановлення нових систем стеження без конкретного зазначення їх призначення, місця установки і доцільності.

Виходячи з проведеного аналізу, як правило, розрізняють кілька груп ризиків. При цьому для складання зведеного звіту використовується два основні показники: ймовірність проведення атаки і збиток, нанесений компанії в результаті (втрата активів, зниження репутації, втрата іміджу та ін.). Однак показники по групах не збігаються. Так, наприклад, показник низького рівня для ймовірності атаки є найкращим. Для збитку - навпаки.

Тільки після цього складається звіт, в якому детально розписуються всі етапи, методи і засоби проведених досліджень. Він узгоджується з керівництвом і підписується двома сторонами - підприємством і аудитором. якщо аудит внутрішній, становить такий звіт глава відповідного структурного підрозділу, після чого він, знову ж таки, підписується керівником.

Аудит інформаційної безпеки: приклад

Нарешті, розглянемо найпростіший приклад ситуації, яка вже траплялася. Багатьом, до речі, вона може здатися дуже знайомою.

Так, наприклад, якийсь співробітник компанії, що займається закупівлями в США, встановив на комп`ютер месенджер ICQ (ім`я співробітника і назва фірми не називається зі зрозумілих міркувань). Переговори велися саме за допомогою цієї програми. Але «аська» є досить вразливою в плані безпеки. Сам співробітник при реєстрації номера на той момент або не мав адреси електронної пошти, або просто не захотів його давати. Замість цього він вказав щось схоже на e-mail, причому навіть з неіснуючим доменом.

Що б зробив зловмисник? Як показав аудит інформаційної безпеки, він би зареєстрував точно такий же домен і створив би в ньому інший реєстраційний термінал, після чого міг відіслати повідомлення в компанію Mirabilis, яка володіє сервісом ICQ, з проханням відновлення пароля через його втрати (що і було б зроблено ). Оскільки сервер одержувача не був поштовим, на ньому був включений редирект - перенаправлення на існуючу пошту зловмисника.

Як результат, він отримує доступ до листування з зазначеним номером ICQ і повідомляє постачальника про зміну адреси одержувача товару в певній країні. Таким чином, вантаж відправляється невідомо куди. І це найбезпечніший приклад. так, дрібне хуліганство. А що говорити про більш серйозних хакерів, які здатні куди на більшу…

висновок

Ось коротко і все, що стосується аудиту безпеки ІС. Звичайно, тут порушені далеко не всі його аспекти. Причина полягає тільки в тому, що на постановку завдань і методи його проведення впливає дуже багато факторів, тому підхід в кожному конкретному випадку строго індивідуальний. До того ж методи і засоби аудиту інформаційної безпеки можуть бути різними для різних ІС. Однак, думається, загальні принципи таких перевірок для багатьох стануть зрозумілими хоча б на початковому рівні.