Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание




НазваниеАудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание
страница6/17
Дата30.01.2013
Размер2.05 Mb.
ТипУчебное пособие
1   2   3   4   5   6   7   8   9   ...   17

Комплексное обследование (аудит) информационной безопасности

(подход компании «ЭЛВИС-ПЛЮС»)

При создании любой информационной системы неизбежно возникает вопрос о ее защищенности от внутренних и внешних угроз безопасности информации. Но прежде чем решить, как именно защищать информацию, необходимо выяснить реальное положение в области обеспечения безопасности информации в организации и оценить степень защищенности ее информационных активов.

Кроме того, информационная безопасность должна быть обеспечена как на техническом, так и на организационно- административном уровне, и только такой комплексный подход может дать должный эффект. Для решения этой задачи проводится комплексное обследование (аудит) информационной безопасности, целью которого является анализ процессов обеспечения безопасности информации при выполнении информационной системой своего главного предназначения — информационного обеспечения пользователей.

Компания «ЭЛВИС-ПЛЮС» предлагает услуги по проведению аудита информационной безопасности на основе именно комплексного подхода, то есть осуществляет не только проверку достаточности используемых программно-аппаратных и технических средств защиты, но и проверку достаточности правовых, экономических и организационных мер (физической защиты, работы персонала, регламентации его действий).

Комплексное обследование (аудит) информационной безопасности включает:

  • классификацию информационных ресурсов;

  • анализ имеющихся нормативных и организационно-распорядительных документов о порядке функционирования корпоративной информационной системы (ИС) и защите информации;

  • анализ структуры, состава, принципов функционирования ИС и существующей системы защиты информации;

  • оценку эффективности существующей системы защиты ИС с применением специализированных инструментариев и экспертных оценок специалистов «ЭЛВИС-ПЛЮС» по собственным методикам;

  • определение степени участия персонала в обработке информации, требуемых категорий объекта и классов защищенности.



Комплексное обследование (аудит) защищенности информационной системы предполагает также проведение анализа угроз безопасности информации и подготовку модели актуальных для организации заказчика угроз и их возможных реализаций.

Анализ угроз необходим для качественной и количественной оценки как внешних, так и внутренних угроз безопасности информации, актуальных для обследуемой корпоративной информационной системы. В результате полученной оценки можно сформулировать полный набор требований к системе, обеспечивающей необходимый уровень защиты информационных активов. Большинство организаций, как правило, не имеет свободного времени, ресурсов и методик, позволяющих провести количественную (или хотя бы качественную) оценку угроз безопасности информации, исходящих как извне, так и изнутри организации.





Компания «ЭЛВИС-ПЛЮС» использует собственный расчетно- аналитический метод, позволяющий выявить из полного перечня информационных угроз наиболее актуальные для конкретного обследуемого объекта и соответственно оптимизировать расходы на построение системы безопасности.

В результате анализа строится модель угроз безопасности информации, проводятся их классификация, анализ и оценка источников угроз, уязвимостей (факторов) и методов реализации.

Анализ угроз безопасности информации включает:

  • определение приоритетности целей информационной безопасности;

  • анализ информационных потоков ИС, точек их пересечения, точек обработки и хранения;

  • определение перечня актуальных источников угроз;

  • определение перечня актуальных уязвимостей;

  • оценку взаимосвязи угроз, источников угроз и уязвимостей;

  • определение перечня возможных атак на объект;

  • описание возможных последствий реализации угроз;

  • подготовку предложений по изменению структуры информационных потоков для повышения уровня защищенности ИС (при необходимости).

Данные проведенного анализа и оценки используются при выборе адекватных методов парирования угроз, а также при определении задач для разработчиков (проектировщиков, поставщиков) систем обеспечения безопасности информации.

В результате проведения аудита информационной безопасности заказчик получает возможность:

  • оценить необходимость и достаточность принятых мер обеспечения безопасности информации;

  • сформировать политику безопасности;

  • правильно выбрать степень защищенности информационной системы;

  • выработать требования к средствам и методам защиты;

  • добиться максимальной отдачи от инвестиций в создание и обслуживание СОБИ; принять обоснованные управленческие решения по обеспечению необходимого уровня защищенности информационных активов организации.





Результатом аудита могут быть и рекомендации по изменению инфраструктуры сети, обусловленные экономическими соображениями при решении проблем информационной безопасности или невозможностью достичь требуемого уровня защищенности при существующей инфраструктуре.

Заказчику предоставляется аналитический отчет о текущем состоянии защищенности, в котором даются развернутые рекомендации по повышению уровня защищенности информации с помощью совершенствования комплекса организационно-технических и административных мер, применения специальных средств защиты информации (СЗИ) и использованию возможностей имеющихся программных и технических средств. Отчет может служить основой для разработки концепции информационной безопасности, профиля защиты, задания по безопасности, частного технического задания.


3.2.3. Планирование программы аудита информационной безопасности

Программа аудита ИБ включает деятельность, необходимую для планирования и организации определенного количества аудитов ИБ и, например, самооценок ИБ, их контроля, анализа и совершенствования, а также обеспечения их ресурсами, которые требуются для эффективного и результативного проведения аудитов ИБ и самооценок ИБ в заданные сроки.

Программа аудита ИБ разрабатывается самой организацией. В общем случае в организации могут быть разработаны несколько программ аудита И Б.

Структура процессов менеджмента программы аудита ИБ представлена на рисунке 20.




В соответствии с выделенными ролями по разработке и менеджменту программы аудита ИБ руководство организации распределяет полномочия и возлагает ответственность за разработку и менеджмент программы аудита ИБ на одно или нескольких лиц, имеющих представление о принципах аудита ИБ, компетентности аудиторов, содержании этапов аудита ИБ, а также обладающих знаниями по обеспечению ИБ.

Ответственные за программу аудита ИБ должны:

  • планировать, внедрять, контролировать, анализировать и совершенствовать программу аудита ИБ;

  • определять потребность программы аудита ИБ в ресурсах;

  • способствовать принятию решений об обеспечении программы необходимыми ресурсами.

Программа аудита И Б может включать, например, следующие виды проверок ИБ организации:

a) внутренний аудит ИБ организации, проводимый ежегодно;

b) самооценка ИБ, проводимая через каждые б мс) аудиты по сертификации и инспекционные аудиты, проводимые органом по сертификации систем обеспечения ИБ в качестве третьей стороны, в период времени, согласованный между органом по сертификации и заказчиком.

Программа аудита ИБ также включает планирование, обеспечение ресурсами, разработку процедур для проведения аудитов ИБ в объеме программы.

Планирование программы аудита ИБ должно включать в себя: определение целей, объема программы, а также необходимых финансовых, инфраструктурных и кадровых ресурсов для ее реализации.

Основной целью программы аудита ИБ является улучшение системы обеспечения ИБ организации. При этом могут решаться и другие цели. Например, оценка соответствия ИБ организации установленным критериям ИБ, повышение доверия к организации.

На объем программы аудита ИБ влияют размер и сложность структуры организации, область каждого аудита ИБ и самооценки И Б, частота и продолжительность проводимых аудитов ИБ и самооценок ИБ.

При определении возможности проведения аудита следует учитывать следующие факторы:

  • достаточность и наличие необходимой информации для планирования аудита И Б;

  • наличие времени и необходимых ресурсов;

  • готовность к сотрудничеству со стороны проверяемой организации.

В случае невозможности проведения аудита необходимо предложить заказчику альтернативное решение на основе консультаций с проверяемой организацией (например, перенос сроков аудита ИБ, привлечение для проведения аудита И Б другой аудиторской организации). Частота проверок зависит от возможностей и ресурсов организации и устанавливается как компромисс между потребностью в проведении проверок и стоимостью их проведения.

В зависимости от возможностей и ресурсов организации первоначальный объем программы аудита ИБ может быть ограничен теми процессами системы обеспечения ИБ организации, которым руководство присвоило наивысший приоритет. В дальнейшем первоначальный объем программы аудита ИБ может быть расширен.

Как определить наиболее критичные бизнес-процессы, каким процессам обеспечения ИБ уделить особое внимание при проведении аудита ИБ или самооценки ИБ, на какие процессы прежде всего нацелить программу аудита ИБ? Подобные вопросы могут быть решены, если для выявления критичных бизнес-процессов и проблем ИБ применять риск-ориентированный подход на этапе планирования программы аудита И Б.

Любая организация при осуществлении своей деятельности подвержена рискам, которые так или иначе влияют на специфику ведения бизнес-процессов, а также могут негативным образом повлиять как на финансовые показатели, так и на возможности предприятий продолжать бизнес. При этом некоторые из рисков вследствие незначительности последствий их реализации могут приниматься «как есть», для других разрабатываются и внедряются корректирующие меры. В частности, можно принять риски, влекущие малые негативные последствия и вероятность реализации которых маловероятна.

Согласно международному стандарту IS0/IEC 17799 информационная безопасность — это защита информации от множества различных рисков для целей обеспечения непрерывности бизнеса, минимизации бизнес-рисков, повышения доходов на вложенные инвестиции и расширения возможностей бизнеса. Аналогично стандарт Банка России по информационной безопасности СТО БР ИББС-1.0-2006, также определяет риск-ориентированный подход в качестве основы для построения системы обеспечения ИБ.

Очевидно, что некоторые бизнес-процессы являются наиболее значимыми для организации, другие процессы менее критичны. Причем оценка степени критичности может базироваться не только на финансовых показателях, но и на текущих приоритетах бизнеса, условиях и требованиях рынка, требованиях законодательства и регуляторов рынка, уровне корпоративной культуры и т.п.

Соответственно при планировании аудита вопросов ИБ необходимо в первую очередь выявить наиболее критичные области деятельности организаций (в рамках применимости к вопросам обеспечения ИБ).

Совершенно нет необходимости проводить детальный анализ вопросов, которые несущественны для бизнеса. Поэтому при планировании аудита необходимо также учитывать возможность изменения критичности процессов во времени, например при закрытии банковского

операционного дня, отправке платежей, формировании годовой отчетности и т.п. Люди (персонал организаций, клиенты, поставщики), процессы (внутренние и внешние, политики и процедуры) и технологии являются тремя ключевыми аспектами обеспечения ИБ. Поэтому даже у предприятий, работающих в одном сегменте рынка, имеющих подобные организационно-правовые структуры, способы ведения бизнеса и бизнес-процессы вследствие уникальности уровня корпоративного управления, технологий и персонала, существуют свои специфичные риски. Для каждой организации должна разрабатываться своя программа аудита ИБ. При этом при детальном планировании аудита необходимо иметь полную картину по проверяемой организации, т.е. выявление наиболее значимых сегментов бизнеса и направлений приоритетного развития, анализ финансовых показателей по основным направлениям деятельности, организационной структуры, используемых технологических решений, а также других аспектов, которые могут существенно влиять на уровень обеспечения ИБ организаций.

Можно проверить настройки параметров безопасности всех баз данных и операционных систем организации, но нужно ли это? В силу ограниченности ресурсов (временных, людских и финансовых) аудита рекомендуется ограничиваться наиболее существенными для бизнеса областями, для которых уже и выявляются конкретные системы и процедуры, попадающие под проверку.

При проведении подобного планирования рекомендуется использовать комбинации подходов «нисходящего анализа» (top-down approach) и «восходящего анализа» (bottom-up approach). Подход «нисходящего анализа» основывается на том, что оценка рисков ИБ производится на базе анализа критичности бизнес-процессов. И уже только на основе данного анализа для выбранных процессов производится анализ рисков и результатов контроля, связанных с использованием конкретных приложений, баз данных, операционных систем, конфигураций сетевого оборудования и других вопросов ИБ конкретных критичных

бизнес-процессов.

Подход «восходящего анализа» применяется в обратном случае, т.е. когда известна или выявлена какая-либо проблема, и необходимо понять, на какие бизнес-процессы и сегменты бизнеса данная проблема влияет и соответственно после этого сделать вывод о критичности выявленного недостатка. Графическое представление данных подходов показано на рисунке 21.



В качестве примера можно взять процесс управления обновлениями для операционной системы. Тот факт, что администратор системы вовремя не установил заплатку, не является подтверждением наличия проблемы для бизнеса до тех пор, пока данная операционная система не используется для поддержки критичных бизнес-процессов или же не может быть использована как платформа для получения доступа к критичным системам (подход «восходящего анализа»). И наоборот, выделив критичные процессы (и поддерживающие ИТ системы и приложения) в рамках аудита ИБ, необходимо также убедиться, что все критичные обновления своевременно и должным образом устанавливаются для всех систем, попадающих в рамки проверки (подход «нисходящего анализа»).

Использование этих двух подходов в комбинации помогает соотнести специфичные вопросы ИБ (абстрактные сточки зрения бизнес- руководства и бизнес-пользователей) с конкретными бизнес-процессами и целями организации и донести выявленные проблемы на простом и понятном для руководства языке, т.е. показать четкую зависимость бизнес-рисков и рисков ИБ.

Помимо специфичного контроля ИТ и ИБ существует контроль корпоративного уровня, который формирует как организационную, так и правовую основу обеспечения ИБ организации. К контролю данного вида относятся вопросы организации и управления службой ИБ, разработки и внедрения политик ИБ, проведения независимых внутренних и внешних аудиторских проверок, обучения сотрудников ИБ и пользователей систем основным аспектам обеспечения ИБ, управления непрерывностью бизнеса и т.п.

Контроль корпоративного уровня в силу своей специфики действует в рамках всей организации и оказывает существенное влияние на общую картину рисков ИБ и наряду с частными вопросами безопасности конкретных систем всегда рассматривается при проведении аудита ИБ.

При планировании программы аудита ИБ следует также рассмотреть и оценить технологии, способные поддержать проведение внутренних аудитов ИБ и самооценок ИБ. Такими технологиями могут быть автоматизированные инструментальные средства и курсы обучения.

Виды автоматизированных инструментальных средств, которые могут потребоваться, включают инструментальные средства графического представления результатов оценивания, инструментальные средства анализа данных и базы данных, инструментальные средства для

сбора данных.

1   2   3   4   5   6   7   8   9   ...   17

Похожие:

Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие Издательство ТулГУ
Бродовская, Е. В. Переговоры: стратегии, тактики, техники: Учебное пособие [Текст] / Е. В. Бродовская, А. А. Лаврикова. – Тула: Изд-во...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconА. В. Непомнящий Рынок ценных бумаг Учебное пособие Москва 2008
Учебное пособие предназначено для студентов вузов специальностей «Менеджмент организаций», «Бухгалтерский учёт, анализ и аудит» и«Финансы...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебно-методическое пособие Для студентов, аспирантов Таганрог 2008
Учебное пособие предназначено для использования в учебном процессе при обучении студентов третьего и четвертого курсов специальностей...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие для студентов второго образовательного уровня Таганрог 2010
Учебное пособие предназначено для использования в учебном процессе при обучении студентов третьего и четвертого курсов специальностей...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconРеферат по дисциплине «Организация обеспечения информационной безопасности» на тему
«Концепция информационной безопасности, анализ безопасности информационных систем»
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие предназначено для студентов вузов, обучающихся по специальностям 090102 «Компьютерная безопасность»
Учебное пособие предназначено для студентов вузов, обучающихся по специальностям 090102 «Компьютерная безопасность», 090105 «Комплексное...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconКонтрольные вопросы по курсу «Технические средства предприятий сервиса» (сервиса электронных систем безопасности) Глава Сущность курса «Технические средства предприятий сервиса», оборудование и технические, средства предприятий и подразделений безопасности
«Технические средства предприятий сервиса» студентам специальности «Сервис» специализация «Сервис электронных систем безопасности...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие Москва 2008 удк машкин М. Н. Информационные технологии: Учебное пособие. М.: Вгна, 2008. 200 с
Учебное пособие по курсу Информационные технологии содержит учебный материал для подготовки к зачету по указанной дисциплине
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconУчебное пособие. Таганрог: Изд-во трту, 2003
Учебное пособие cодержит описание теоретических и практических подходов к разработке и отбору инвестиционных проектов в условиях...
Аудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание iconН. Л. Михайлов архитектура вычислительных систем учебное пособие
Михайлов Н. Л. Архитектура вычислительных систем: Учебное пособие. – Рыбинск, ргата, 2008. – 87 с
Разместите кнопку на своём сайте:
Библиотека


База данных защищена авторским правом ©lib.znate.ru 2014
обратиться к администрации
Библиотека
Главная страница