Аудит состояния информационной безопасности на предприятии

Лекция 11: Аудит состояния информационной безопасности на предприятии Аннотация: В лекции описываются цели аудитов информационной безопасности, их классификации по типам, предполагаемые результаты работы, а также детально раскрывается процесс проведения аудита по всем основным этапам. Аудит состояния информационной безопасности на предприятии представляет собой экспертное обследование основных аспектов информационной безопасности, их проверку на соответствие определенным требованиям. В некоторых случаях под аудитом информационной безопасности подразумевается проверка защищенности отдельных элементов информационной инфраструктуры предприятия (сегментов его сети, отдельных серверов, баз данных, Интернет-сайтов и т.п.) и надежности средств защиты информации (межсетевых экранов, систем обнаружения вторжений и т.п.). Однако мы в дальнейшем исходим из того, что аудит информационной безопасности является комплексным (по возможности, исчерпывающим) исследованием всех аспектов информационной безопасности (как технических, так и организационных) в контексте всей хозяйственной деятельности предприятия с учетом действующей политики информационной безопасности, объективных потребностей предприятия и требований, предъявляемых третьими лицами (государством, контрагентами и т.п.). Различают два основных вида аудита: внутренний (проводимый исключительно силами сотрудников предприятия) и внешний (осуществляемый сторонними организациями). Целями аудита могут быть: • установление степени защищенности информационных ресурсов предприятия, выявление недостатков и определение направлений дальнейшего развития системы защиты информации; • проверка руководством предприятия и другими заинтересованными лицами достижения поставленных целей в сфере информационной безопасности, выполнения требований политики безопасности; • контроль эффективности вложений в приобретение средств защиты информации и реализацию мероприятий по обеспечению информационной безопасности; • сертификация на соответствие общепризнанным нормам и требованиям в сфере информационной безопасности (в частности, на соответствие национальным и международным стандартам). Одной из стратегических задач, решаемых при проведении аудита информационной безопасности и получении соответствующего сертификата, является демонстрация надежности предприятия, его способности выступать в качестве устойчивого партнера, способного обеспечить комплексную защиту информационных ресурсов, что может быть особенно важно при осуществлении сделок, предполагающих обмен конфиденциальной информацией, имеющей большую стоимость (финансовыми сведениями, конструкторско-технологической документацией, результатами НИОКР и т.п.). В том случае, если аудит является внутренним, группу аудиторов необходимо сформировать из числа таких специалистов, которые сами не являются разработчиками и администраторами используемых информационных систем и средств защиты информации и не имели отношения к их внедрению на данном предприятии. Как правило, предприятие может прибегать к помощи внешних аудиторов с целью: • повышения объективности, независимости и профессионального уровня проверки; • получения заключений о состоянии информационной безопасности и соответствии международным стандартам от независимых аудиторов. Компании, специализирующиеся на проведении аудитов, могут осуществлять проверки состояния информационной безопасности на соответствие таким общепризнанным стандартам и требованиям, как: • ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие критерии оценки безопасности информационных технологий); • ISO 17799 (BS 7799): Code of Practice for Information Security Management (Практические правила управления информационной безопасностью); • BSI\IT: Baseline Protection Manual (Руководство базового уровня по защите информационных технологий Агентства информационной безопасности Германии); • COBIT: Control Objectives for Information and related Technology (Основные цели для информационных и связанных с ними технологий); • Требованиям Руководящих документов ФСТЭК РФ, ФСБ или других государственных органов • и других документов (таких как SAC, COSO, SAS 55/78). При этом организация, осуществляющая внешний аудит, должна отвечать определенным требованиям: • иметь право (лицензию) на выдачу заключений о соответствии определенным требованиям (например, аккредитацию UKAS – United Kingdom Accreditation Service); • сотрудники должны иметь право доступа к информации, составляющей государственную и военную тайну (если такая информация имеется на проверяемом предприятии); • обладать необходимыми программными и аппаратными средствами для исчерпывающей проверки имеющегося у предприятия программного и аппаратного обеспечения. Основными этапами проведения аудита являются: • инициирование проведения аудита; • непосредственно осуществление сбора информации и проведение обследования аудиторами; • анализ собранных данных и выработка рекомендаций; • подготовка аудиторского отчета и аттестационного заключения. Аудит должен быть инициирован руководством предприятия с достаточно четко сформулированной целью на определенном этапе развития информационной системы или системы обеспечения информационной безопасности предприятия (например, после завершения одного из этапов внедрения). В случае если аудит не является комплексным, на начальном этапе необходимо определить его непосредственные границы: • перечень обследуемых информационных ресурсов и информационных систем (подсистем); • перечень зданий, помещений и территорий, в пределах которых будет проводиться аудит; • основные угрозы, средства защиты от которых необходимо подвергнуть аудиту; • элементы системы обеспечения информационной безопасности, которые необходимо включить в процесс проверки (организационное, правовое, программно-техническое, аппаратное обеспечение); Основная стадия – проведение аудиторского обследования и сбор информации – как правило, должно включать в себя: • анализ имеющейся политики информационной безопасности и другой организационной документации; • проведение совещаний, опросов, доверительных бесед и интервью с сотрудниками предприятия; • проверку состояния физической безопасности информационной инфраструктуры предприятия; • техническое обследование информационных систем – программных и аппаратных средств (инструментальная проверка защищенности). Прежде чем приступить собственно к аудиту информационной безопасности, аудиторам (в частности, если проводится внешний аудит) необходимо ознакомиться со структурой предприятия, его функциями, задачами и основными бизнес-процессами, а также с имеющимися информационными системами (их составом, функциональностью, процедурами использования и ролью на предприятии). На начальном этапе аудиторы принимают решения о том, насколько глубоко и детально будут исследованы отдельные элементы информационной системы и системы защиты информации. Также необходимо заранее скоординировать с пользователями информационных систем процедуры проверки и тестирования, требующие ограничения доступа пользователей (такие процедуры по возможности должны проводиться в нерабочее время или в периоды наименьшей загрузки информационной системы). Качественный анализ действующей на предприятии политики безопасности является отправной точкой для проведения аудита. Одна из первых задач комплексного аудита — установление того, в какой степени действующая политика соответствует объективным потребностям данного предприятия в безопасности, могут ли действия в рамках данной политики обеспечить необходимый уровень защищенности информации и средств ее обработки, хранения и передачи. Это, в свою очередь, может потребовать проведения дополнительной оценки значимости основных информационных активов предприятия, их уязвимости, а также существующих рисков и угроз. Анализ политики также может включать оценку таких ее характеристик, как: • полнота и глубина охвата всех вопросов, а также соответствие содержания политик нижнего уровня целям и задачам, установленным в политиках верхнего уровня; • понятность текста политики для людей, не являющихся техническими специалистами, а также четкость формулировок и невозможность их двойного толкования; • актуальность всех положений и требований политики, своевременность учета всех изменений, происходящих в информационных системах и бизнес-процессах. После проверки основных положений политики безопасности в процессе аудита могут быть изучены (проверены) действующие классификации информационных ресурсов по степени критичности и конфиденциальности, а также другие документы, имеющие отношение к обеспечению информационной безопасности: • организационные документы подразделений предприятия (положения об отделах, должностные инструкции); • инструкции (положения, методики), касающиеся отдельных бизнес-процессов предприятии; • кадровая документация, обязательства о неразглашении сведений, данные сотрудниками, свидетельства о прохождении обучения, профессиональной сертификации, аттестации и ознакомлении с действующими правилами; • техническая документация и пользовательские инструкции для различных используемых программных и аппаратных средств (как разработанных самим предприятием, так и приобретенных у сторонних поставщиков): межсетевых экранов, маршрутизаторов, операционных систем, антивирусных средств, систем управления предприятием и т.п. Основная работа аудиторов в процессе сбора информации заключается в изучении фактически предпринимаемых мер по обеспечению защиты информационных активов предприятия, таких как: • организация процесса обучения пользователей приемам и правилам безопасного использования информационных систем; • организация работы администраторов информационных и телекоммуникационных систем и систем защиты информации (правильность использования программных и аппаратных средств администрирования, своевременность создания и удаления учетных записей пользователей, а также настройки их прав в информационных системах, своевременность замены паролей и обеспечение их соответствия требованиям безопасности, осуществление резервного копирования данных, ведение протоколов всех производимых в процессе администрирования операций, принятие мер при выявлении неисправностей и т.п.); • организация процессов повышения квалификации администраторов информационных систем и систем защиты информации; • обеспечение соответствия необходимых (в соответствии с политикой безопасности и должностными обязанностями) прав пользователей информационных систем и фактически имеющихся; • организация назначения и использования специальных ("суперпользовательских") прав в информационных системах предприятия; • организация работ и координации действий при выявлении нарушений информационной безопасности и восстановлении работы информационных систем после сбоев и нападений (практическое выполнение "аварийного плана"); • предпринимаемые меры антивирусной защиты (надлежащее использование антивирусных программ, учет всех случаев заражения, организация работы по устранению последствий заражений и т.п.); • обеспечение безопасности приобретаемых программных и аппаратных средств (наличие сертификатов и гарантийных обязательств, поддержка со стороны поставщика при устранении выявленных недостатков и т.п.); • обеспечение безопасности самостоятельно разрабатываемого программного обеспечения (наличие необходимых требований в проектной документации информационных систем, качество программной реализации механизмов защиты и т.п.); • организация работ по установке и обновлению программного обеспечения, а также контроля за целостностью установленного ПО; • предпринимаемые меры по обеспечению учета и сохранности носителей информации (дисков, дискет, магнитных лент и т.п.), а также по их безопасному уничтожению после окончания использования; • эффективность организации взаимодействия сотрудников предприятия – пользователей информационных систем – со службой информационной безопасности (в частности, по вопросам реагирования на инциденты и устранения их последствий). Одним из важных направлений аудиторской проверки является контроль того, насколько своевременно и полно положения и требования политики безопасности и других организационных документов доводятся до персонала предприятия. В том числе, необходимо оценить, насколько систематически и целенаправленно осуществляется обучение персонала (как при занятии должностей, так и в процессе работы), и, соответственно, дать оценку тому, в какой мере персонал понимает все предъявляемые к нему требования, осознает свои обязанности, связанные с обеспечением безопасности, а также возможную ответственность, которая может наступить при нарушении установленных требований. В процесс проведения интервью, совещаний и бесед с персоналом необходимо включить как можно больше сотрудников предприятия, имеющих хотя бы какое-то отношение к информационным системам и процедурам обработки информации: администраторов и разработчиков информационных систем, операторов и других пользователей, вспомогательный персонал и т.п. При непосредственной работе с персоналом аудиторам необходимо выяснить особенности протекания отдельных бизнес-процессов, роли отдельных сотрудников в этих процессах и их потенциальные возможности влиять на информационную безопасность. Также необходимо оценить, в какой мере сотрудники фактически выполняют свои обязанности в отношении обеспечения информационной безопасности. Одной из важных задач аудита может быть установление того, насколько предприятие способно противодействовать внутренним угрозам в лице сотрудников, целенаправленно действующих, чтобы нанести тот или иной ущерб предприятию и имеющих для этого различные возможности. В частности, для этого могут быть исследованы: • процедуры отбора и принятия новых сотрудников на работу, а также их предварительной проверки; • процедуры контроля за деятельностью сотрудников (отслеживания их действий); • процедуры регистрации пользователей и назначения им прав в информационных системах; • распределение функций между различными сотрудниками и минимизация их привилегий, а также возможное наличие избыточных прав у некоторых пользователей и администраторов. Проверка состояния физической безопасности информационной инфраструктуры, как правило, включает в себя: • проверку того, чтобы наиболее важные объекты информационной инфраструктуры и системы защиты информации располагались в зонах (частях зданий, помещениях), имеющих пропускной режим, а также оборудованных камерами видеонаблюдения и другими средствами контроля (электронными замками, средствами биометрической идентификации и т.п.); • проверку наличия и работоспособности технических средств, обеспечивающих устойчивую работу компьютерного и телекоммуникационного оборудования: источников бесперебойного энергоснабжения, кондиционеров (там, где это необходимо) и т.п.; • проверку наличия и работоспособности средств пожарной сигнализации и пожаротушения; • проверку распределения ответственности за физическое (техническое) состояние объектов информационной инфраструктуры предприятия. Инструментальная проверка защищенности является в основном технической задачей и осуществляется с использованием специализированного программного обеспечения, которое подключается к информационной системе предприятия и автоматически производит сбор всевозможных сведений: версий установленных операционных систем и программного обеспечения, данных об используемых сетевых протоколах, номеров открытых портов, данных о версиях установленных обновлений и т.п. К другим направлениям инструментального и технического контроля также относятся такие работы, как: • непосредственное изучение работы отдельных серверов, рабочих станций и сетевого оборудования соответствующими техническими специалистами, которые могут проверить различные аспекты их функционирования (процедуры загрузки, выполняемые процессы, содержимое конфигурационных файлов и т.п.); • сбор и последующий анализ данных о том, как выполняются процедуры резервного копирования, а также другие необходимые технические процедуры, предусмотренные регламентом; • проверка качества программного обеспечения, самостоятельно разработанного предприятием (в том числе и путем анализа исходных кодов и проектной документации к нему), выявление ошибок, которые могут стать причиной сбоев, несанкционированных проникновений, разрушения и утечки информации и других инцидентов; • изучение работы сети (сетевого трафика, загрузки различных сегментов сети и т.п.); • проведение с целью тестирования пробных, контролируемых "нарушений" информационной безопасности (по возможности без нанесения реального вреда и во внерабочее время), таких как атаки типа "отказ в обслуживании" (DoS) или проникновение в определенные базы данных и на определенные серверы, а также использование различных известных уязвимостей с целью выяснения конкретных параметров безопасности, устойчивости и надежности проверяемой информационной системы. Также в процессе аудита может быть проверено ведение журналов (лог-файлов) информационных систем и применение других инструментов сбора и анализа информации, необходимых для обеспечения текущего контроля за соблюдением требований информационной безопасности и своевременного реагирования на инциденты (средств обнаружения вторжений, анализаторов работы локальных сетей и т.п.). Информация, накопленная в лог-файлах за время использования информационных систем, является одним из важных объектов анализа в процессе аудита. На основе этих данных могут быть сделаны оценки и выводы относительно соблюдения установленных правил использования информационных систем, эффективности используемых средств защиты информации, поведения пользователей, а также о потенциально возможных проблемах. Анализ всей информации, полученной в процессе ознакомления с документацией, контроля фактического выполнения всех установленных требований, получения сведений от сотрудников, изучения работы аппаратных средств и программного обеспечения, проверки физической защищенности и проведения инструментальных проверок должен быть произведен с учетом выявленных рисков и потребностей предприятия в информационной безопасности. В частности, такой анализ предполагает выявление конкретных особенностей программных и аппаратных средств, бизнес-процедур, организационных правил и распределений функциональных обязанностей и полномочий, которые могут негативно повлиять на обеспечение информационной безопасности, а также описание причинно-следственных взаимосвязей между выявленными особенностями функционирования предприятия и увеличением рисков нарушения информационной безопасности. Все исследованные обстоятельства, выявленные недостатки и особенности должны быть обобщены, и таким образом должно быть сформировано общее представление о состоянии информационной безопасности на предприятии, отражены основные достоинства и недостатки действующей системы защиты информационных ресурсов, а также обозначены основные приоритеты и направления ее дальнейшего развития и совершенствования. Результаты анализа могут быть представлены как в виде обобщенных кратких формулировок, характеризующих защищенность информации предприятия (адресованных руководству и собственникам предприятия), так и в виде перечня конкретных замечаний и предложений, относящихся к отдельным участкам работы (адресованных руководителю департамента информационной безопасности, руководителю службы безопасности, функциональным директорам и руководителям структурных подразделений предприятия). Окончательным результатом анализа и обобщения данных, полученных в процессе аудита, является отчет (заключение), который может включать в себя: • оценку состояния (уровня) защищенности информационных ресурсов и информационных систем; • заключения о практическом выполнении требований, предусмотренных политикой информационной безопасности предприятия и иными требованиями и документами; • заключение о степени соответствия фактического уровня информационной безопасности требованиям определенных стандартов и нормативных документов; • предложения по усовершенствованию политики информационной безопасности и реализации дополнительных практических мероприятий в этой сфере (как организационных, так и технических), а также о тех мерах, которые необходимо реализовать для прохождения сертификации на соответствие определенному стандарту (если по результатам проведенного аудита сделан вывод о том, что текущий уровень защищенности информационных ресурсов предприятия не соответствует таким требованиям); • заключение о степени соответствия политики безопасности предприятия и всего комплекса мер по защите информации требованиям действующего законодательства и ведомственных нормативных актов; • оценки экономической эффективности вложений в те или иные средства защиты информации, а также организационные мероприятия (отдачи от них); • количественная (денежная) оценка возможных потерь от тех или иных нарушений, которые могут произойти при существующем уровне обеспечения информационной безопасности, а также расчет необходимых вложений, которые необходимо осуществить для достижения определенного уровня защищенности. Также по результатам аудита могут быть сформулированы дополнительные рекомендации, касающиеся: • пересмотра отдельных бизнес-процессов и процедур; • совершенствования работы с персоналом предприятия; • внедрения и использования современных технических (программных и аппаратных) средств обработки и защиты информации; • организации работы по защите информации; • выбора приоритетов в процессе устранения существующих недостатков. Лекция 12: Программные средства, поддерживающие управление информационной безопасностью на предприятии Аннотация: В лекции перечисляются основные типы программных продуктов, используемых для поддержки решения управленческих задач в сфере информационной безопасности, а также описываются основные функциональные возможности таких средств. Использование программных средств для поддержки управления безопасностью Деятельность по обеспечению информационной безопасности на предприятии может поддерживаться программными продуктами различных типов. В большинстве случаев программная поддержка реализации политики информационной безопасности обеспечивается функциями и программными модулями, которые встроены непосредственно в программное обеспечение, создающее условия для хранения, обработки и передачи информации (операционные системы, системы управления базами данных, системы электронной почты, MRP/ERP-системы). Практически все современные программные продукты имеют внутренние средства, позволяющие четко определить права тех или иных пользователей, разграничить доступ к информации, распределить использование системных ресурсов и ввести другие ограничения, которые в целом должны обеспечить соблюдение установленных требований и реализацию политики информационной безопасности. Применение других инструментальных средств, как правило, не является обязательным, но во многих случаях позволяет повысить эффективность и качество многих работ, связанных с оценкой рисков, разработкой организационной документации, контролем за выполнением установленных требований и выполнением многих других важных функций. Таким образом, выделяется отдельный класс специальных программных продуктов, предназначенных исключительно для поддержания процессов разработки политик безопасности и управления информационной безопасностью на организационном уровне. Основными функциями таких программ являются справочно-информационная поддержка, помощь при обработке управленческой информации, оценке рисков и подготовке необходимых документов. В частности, для этих целей может использоваться ПО следующих основных видов: • сборники (интерактивные электронные справочники), которые содержат типовые документы (шаблоны документов), используемые для управления информационной безопасностью, описания отдельных процессов и процедур, связанных с обеспечением информационной безопасности, должностных обязанностей и функций сотрудников предприятия; • системы, предназначенные для накопления и обработки сведений о рисках и проведения сводных оценочных расчетов показателей риска; • ПО, интегрированное в информационную систему предприятия и позволяющее автоматически контролировать соблюдение установленных политик безопасности, а также помогающее формировать заключения о текущем состоянии информационной безопасности (в т.ч. путем анализа действий пользователей в информационной системе, а также путем анализа журналов операционных систем, программ, средств защиты и сетевого оборудования); • ПО, осуществляющее поддержку процессов аудита информационной безопасности. Также с управлением информационной безопасностью связаны программные продукты, которые: • автоматически (централизовано и унифицировано) управляют учетными записями и правами доступа одновременно в нескольких элементах информационной инфраструктуры (базах данных, приложениях и т.п.); • производят автоматическое сканирование отдельных элементов информационной инфраструктуры (операционных систем, программ, средств защиты информации) и их проверку на устойчивость и наличие уязвимостей; • производят автоматическое обновление программных продуктов с целью устранения выявленных уязвимостей (установку т.н. "патчей", "заплаток"). Программная поддержка работы с политикой безопасности Сборники (справочники), которые содержат типовые документы, связанные с обеспечением информационной безопасности, могут включать в себя: • образцы политик безопасности разных уровней для предприятий, функционирующих в различных сферах деятельности и предъявляющих различные требования к уровню защищенности информации; • образцы (шаблоны, бланки) документов, используемых в процессах защиты информации (обязательств о неразглашении информации, отчетов о состоянии информационной безопасности и т.п.); • образцы разделов различных договоров (контрактов с различными контрагентами или трудовых договоров с сотрудниками предприятия), содержащие требования к обеспечению информационной безопасности. Такого рода электронные справочники могут выпускаться как на основе оригинальных методических разработок, так и на основе общепризнанных стандартов (таких как ISO 17799) с целью содействовать прохождению сертификации на соответствие этим стандартам. Выпускаемые электронные справочники могут быть дополнены учебниками, текстами стандартов и другими методическими материалами, выпущенными в виде брошюр. Одним из наиболее полных является электронный справочник "Information Security Policies Made Easy" американской компании Information Shield, Inc. Девятая версия этого справочника содержит более 1360 образцов и шаблонов различных документов, созданных с учетом требований стандарта ISO 17799 и относящихся ко всем аспектами информационной безопасности предприятия. Концепции более развитых программных продуктов, основанных на интерактивном интеллектуальном анализе и совершенствовании политики безопасности, предполагают, что пользователь (менеджер) сначала внесет всю необходимую информацию о состоянии информационной безопасности на своем предприятии (ответит на задаваемые программой вопросы), а затем получит детальный отчет о состоянии информационной безопасности, описание уровня соответствия требованиям стандартов, рекомендации по усовершенствованию действующей политики безопасности и другие отчеты. Таким образом, программное обеспечение позволяет увязывать в единый процесс процедуры первичного сбора информации о предприятии, анализа фактического уровня организационного обеспечения информационной безопасности, разработки документации, адаптации методов управления к определенным требованиям (например, стандарта ISO 17799) и проведение аудитов информационной безопасности. Одним из таких программных продуктов является система "COBRA", поставляемая британской компанией "C&A Systems Security Ltd." в двух вариантах: сокращенная версия включает в себя модуль "COBRA ISO17799 Consultant", а полная версия, помимо него, содержит также дополнительные средства анализа рисков ("Risk Consultant") и специальный модуль, позволяющий создавать и модифицировать собственные базы знаний и наборы вопросов для исследования состояния информационной безопасности ("Module Manager"). Базовый модуль этой системы предназначен для оценки того, в какой степени работа по защите информационной безопасности соответствует требованиям стандарта ISO 17799. На первом этапе его использования вступает в работу "Question Module" — Модуль ответов на вопросы, который содержит набор вопросов, разделенных на группы в соответствии со структурой стандарта ISO 17799: безопасность персонала, политика безопасности, управление доступом, планирование непрерывной работы и т.п. (см. рис. 12.1). увеличить изображение Рис. 12.1. Группы вопросов, используемых для анализа состояния информационной безопасности системой "COBRA" На основе введенной таким образом информации может быть получен отчет о состоянии информационной безопасности и степени ее соответствия требованиям стандарта. В частности, такой отчет может состоять из пяти основных разделов: 1. Вводная часть 2. Перечень основных направлений работы, подвергнутых проверке 3. Оценка уровня несоответствий 4. Перечень организационных мероприятий, реализация которых необходима для выполнения требований стандарта 5. Перечень заданных вопросов и данных на них ответов Помимо текстовой части, в отчет также могут быть включены графики, наглядно отражающие уровни выполнения требований стандарта (см. рис. 12.3). Дополнительные модули, входящие в полную версию программного продукта, необходимы для обеспечения более полного и гибкого анализа рисков в условиях конкретного предприятия. увеличить изображение Рис. 12.2. Раздел отчета о состояний информационной безопасности, содержащий организационные рекомендации увеличить изображение Рис. 12.3. График, наглядно отражающий степень выполнения требований стандарта К числу программных продуктов такого рода, аналогичных британской системе "COBRA", относится также "Программный комплекс управления политикой информационной безопасности компании КОНДОР+", поставляемый Санкт-Петербургской фирмой "Диджитал Секьюрити". Он содержит как электронные справочники, так и модуль, осуществляющий интерактивное взаимодействие с пользователем в процессе анализа и совершенствования политики информационной безопасности. Данный программный комплекс, помимо сборника типовых политик безопасности, включает в себя четыре основных функциональных модуля (раздела): • "Проект" — предназначен для сбора информации о состоянии информационной безопасности; • "Отчеты" — предназначен для детального анализа состояния информационной безопасности на основе введенных данных; • "Диаграммы/статистика" — предназначен для сводного анализа состояния информационной безопасности; • "Анализ рисков" — предназначен для количественной оценки существующих рисков. увеличить изображение Рис. 12.4. Основные модули "Программного комплекса КОНДОР+" Так же как и в системе "COBRA", в модуле "Проект" "Программного комплекса КОНДОР+" пользователю – ответственному менеджеру – предлагается ответить на вопросы, сгруппированные в соответствии со структурой стандарта ISO 17799 и имеющие определенные варианты ответов. увеличить изображение Рис. 12.5. Модуль "Проект": Ответы на вопросы о состоянии информационной безопасности На основе введенной таким образом информации программа автоматически формирует как сводную статистику, представляемую в виде диаграмм для каждого раздела стандарта ISO 17799, так и детализированные отчеты об имеющихся несоответствиях. увеличить изображение Рис. 12.6. Графическое представление сводных данных об имеющихся несоответствиях увеличить изображение Рис. 12.7. Описания отдельных несоответствий в модуле "Отчеты" При анализе несоответствий в модуле "Отчеты" пользователь имеет возможность при помощи справочной подсистемы обратиться к комментариям и рекомендациям экспертов, описывающим отдельные вопросы практического применения стандарта ISO 17799. увеличить изображение Рис. 12.8. Вызов экспертного комментария по определенному вопросу Таким образом, программный комплекс "КОНДОР+" позволяет провести весь комплекс работ по сбору сведений о состоянии информационной безопасности и организации защитных мер на предприятии, сопоставлению фактического положения дел с требованиями стандарта ISO 17799 (как укрупненно, так и детально) и определению приоритетных направлений дальнейшего развития системы менеджмента. Лекция 12: Программные средства, поддерживающие управление информационной безопасностью на предприятии Программная поддержка анализа рисков Анализ рисков для информационной безопасности (как количественный, так и качественный), представляет собой одну из наиболее сложных задач в общей системе организационной и аналитической работы. Методологии анализа рисков и программные средства, реализующие эти методологии, как правило, предполагают выполнение следующих основных шагов, необходимых для формирования комплексной оценки существующих рисков: • сбор информации об объектах защиты; • выявление и оценка возможных угроз и уязвимостей; • формирование сводной оценки рисков. В большинстве случаев конечной целью такого анализа является формализованная оценка потребности предприятия в безопасности и определение основных приоритетов развития системы защиты информации, а также создание информационной базы для оценки экономической эффективности вложений в реализацию отдельных мероприятий по обеспечению информационной безопасности. Одним из инструментальных средств анализа рисков является семейство программных продуктов "CRAMM", поставляемых британской компанией "Insight Consulting": "CRAMM Expert" и "CRAMM Express". Данный программный пакет основан на одноименной методике анализа рисков (CCTA Risk Analysis and Management Method — CRAMM), разработанной в 1985-1987 годах Центральным агентством по компьютерам и телекоммуникациям (Central Computer and Telecommunications Agency — CCTA) Великобритании и в дальнейшем переданной в ведение Службы безопасности Великобритании. Первую коммерческую версию программного продукта, который автоматизирует аналитические процедуры, осуществляемые в соответствии с методом CRAMM, CCTA выпустила в 1988 году, а его четвертая версия была выпущена в 2001 году уже компанией Insight Consulting. Использование системы CRAMM включает в себя несколько последовательных этапов: • изучение всех элементов анализируемой информационной системы; • оценка угроз для информационной системы; • сводный анализ рисков; • принятие мер к устранению выявленных недостатков (см. рис. 12.9). увеличить изображение Рис. 12.9. Общая схема использования системы CRAMM Начальным этапом использования этой системы является инвентаризация всех информационных активов, относящихся к анализируемой информационной системе: сетевого оборудования, вычислительной техники, программного обеспечения, информации, содержащейся в базах данных и т.п. При этом необходимо классифицировать все имеющиеся объекты и отразить взаимосвязи между отдельными компонентами информационной системы и так называемыми пользовательскими сервисами – теми задачами, которые информационная система непосредственно решает на предприятии (подготовка отчетности, планирование, передача сообщений и т.п.). Далее для каждого информационного ресурса необходимо определить возможные последствия различных негативных воздействий, в частности, таких как: • недоступность ресурса для использования в течение некоторого периода времени; • нарушение целостности (в том числе частичное или полное разрушение) ресурса; • нарушение конфиденциальности информации; • ошибки при обработке информации; • нарушения в процессах передачи информации. Параллельно с этим необходимо выявить основные возможные внешние воздействия, которые могут повлиять на функционирование информационной системы. На этой основе может быть произведен сводный анализ рисков. Рис. 12.10. Оценка взаимосвязей между различными угрозами и информационными сервисами в системе CRAMM На основе всех введенных данных и по результатам расчетов и обработки информации могут быть получены сводные характеристики уровней риска для анализируемой информационной системы и, в частности, для отдельных информационных сервисов (см. рис. 12.11). Рис. 12.11. Пример сводной оценки рисков недоступности двух информационных подсистем После того как произведена оценка рисков, система предлагает реализовать конкретные меры по повышению уровня защищенности, используя введенную информацию о состоянии информационной безопасности, а также собственную "Библиотеку контрмер" — базу знаний, которая содержит примеры и рекомендации (как конкретные, так и общие), относящиеся к различным аспектам защиты информационных ресурсов. С их применением может быть начат переход от анализа рисков к непосредственным управленческим действиям по обеспечению информационной безопасности: • разработка мероприятий по противодействию угрозам (см. рис. 12.12); • совершенствование системы реагирования на инциденты; • устранение несоответствий требованиям стандарта ISO 17799 и других нормативных документов (см. рис. 12.13). Рис. 12.12. "Дерево контрмер" системы CRAMM увеличить изображение Рис. 12.13. Окно анализа несоответствий требованиям стандарта ISO17799/BS7799 Таким образом, в результате использования всех перечисленных инструментов системы CRAMM предприятие может осуществить комплекс работ по управлению информационной безопасностью и создать не только хорошо контролируемую систему защиты информации, но и информационную базу, позволяющую в будущем оценить целесообразность вложений в реализацию дополнительных мероприятий по обеспечению информационной безопасности и инвестиций в отдельные средства защиты информации. Программные средства, интегрируемые в информационную систему предприятия Еще одним направлением развития программных средств, обеспечивающих поддержку организационной работы в сфере информационной безопасности, является создание и внедрение комплексных средств анализа поведения пользователей в информационной системе. Во многом такие функции и используемые алгоритмы схожи с функциями и алгоритмами средств обнаружения вторжений. Основные функции таких программных средств: • проверка действий пользователей на их соответствие действующим политикам безопасности; • выявление нарушений действующей политики информационной безопасности; • установление лиц, чьи действия приводят к нарушениям и создают угрозы информационной безопасности. Основными функциями, реализуемыми программным обеспечением такого типа, являются сбор первичных данных о действиях пользователей, их автоматизированный анализ с учетом требований политики безопасности и осуществление необходимых активных действий: информирование администраторов, временное ограничение прав пользователей и т.п. Один из программных продуктов такого типа — "INSIDER — Система обнаружения внутреннего нарушителя", поставляемая российской компанией "Праймтек". Эта система накапливает сведения о поведении пользователей, а также позволяет инициировать определенные активные действия (например, для предотвращения выявленного длящегося нарушения). В частности, для анализа поведения пользователей в информационной системе могут быть использованы следующие данные: • показатели интенсивности использования различных пользовательских приложений; • показатели интенсивности (частоты, объема) чтения, копирования и удаления файлов; • показатели интенсивности отправки и приема электронных сообщений; • показатели интенсивности передачи данных по сети; • попытки подбора паролей; • действия с системными файлами и реестром; • действия с системными утилитами и т.п. Таким образом, у администраторов информационных систем, специалистов по информационной безопасности и руководителей предприятия появляются возможности для реагирования на инциденты, пресечения потенциально опасных действий и выявления нарушителей из числа персонала предприятия. Также среди информационных платформ, интегрируемых в информационную систему предприятия и специально предназначенных для реализации и контроля выполнения политик безопасности, выделяются такие продукты, как: • Tivoli Security Information and Event Manager компании IBM, а также комплекс смежных продуктов, относящихся к т.н. IBM security framework; • MARS: Security Monitoring, Analysis, and Response System компании Cisco. Tivoli Security Information and Event Manager включает в себя: • Tivoli Security Operations Manager; • Tivoli Compliance Insight Manager. Tivoli Compliance Insight Manager представляет собой специальную программную платформу, которая обеспечивает контроль выполнения требований политики безопасности, а также автоматизирует значительную часть работы при проведении аудитов информационной безопасности и анализе защищенности данных. В частности, данное ПО обеспечивает сбор, анализ и защищенное хранение журналов (логов) работы различных приложений, операционных систем и платформ и их интерпретацию в терминах, понятных нетехническим специалистам. Таким образом, отчеты, формируемые данной системой, могут быть понятны бизнес-менеджерам и аудиторам и использованы для контроля выполнения требований политик безопасности. Tivoli Security Operations Manager предназначен для контроля событий в корпоративной информационной системе и выявления нарушений и подозрительных действий в режиме близком к режиму реального времени. Система MARS также обеспечивает сбор и централизованное хранение данных о системных событиях, которые поступают от различных устройств и платформ, входящих в корпоративную информационную систему, и обеспечивает возможность централизованного оперативного контроля за соблюдением установленных требований. Также MARS интегрирован с программным комплексом Cisco Security Manager, который, в свою очередь, позволяет централизовано и унифицировано управлять настройками безопасности в различных системах защиты и системах обнаружения вторжений, установленных в компании.