Сергей Симонов Москва 2002 Стандарты в области аудита информационной безопасности

Тенденции в области ИБ

Комплексный подход к защите информации Сеть ШифрованиеШифрование ЭЦПЭЦП Управление доступом ЦелостностьЦелостность АутентификацияАутентификация Дополнение трафика Управление маршрут. НотаризацияНотаризация Механизмы Внешний Сетевой Системный Приложения Рубежи обороны Комплексный подход к защите информации реализуется мерами: n n Организационными (обеспечение разработки и выполнения программы ИБ) n n Процедурными (организация работы персонала и регламентация его действий) n n Программно-техническими средствами Комплексный аудит режима ИБ Активный аудит (программно -технический уровень) Тестирование оборудования и регламентные работы

Рубежи, контролируемые системами активного аудита: Идентификация/аутентификация Разграничение доступа Контроль целостности Выявление аномальной активности Выявление и устранение слабостей Выявление и пресечение атак Активный аудит

Обнаруживать злоумышленные действия на начальной стадии Обнаруживать злоумышленные действия на начальной стадии Выявлять подозрительную активность легальных пользователей Выявлять подозрительную активность легальных пользователей Проводить анализ попыток нарушения информационной безопасности Проводить анализ попыток нарушения информационной безопасности

Система управления ИБ в организации Декларированные цели ИБ Менеджмент ИБ Аудит ИБ Критически важные факторы Критерии оценки режима ИБ Инструментарий для оценки состояния режима ИБ

Комплексный аудит – средство контроля режима информационной безопасности Аудит информационной безопасности в информационной системе - процесс сбора сведений, позволяющих установить: Обеспечивается ли безопасность ресурсов организации (включая данные) Обеспечиваются ли необходимые параметры целостности и доступности данных Достигаются ли цели организации в части эффективности информационных технологий Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России.

Стандарты в области аудита информационной безопасности Основные схемы аудита ИБ: на соответствие Британскому стандарту BS 7799, часть 2 на соответствие требованиям американского института общественных бухгалтеров (AICPA) на соответствие требованиям ассоциация аудита и управления информационными системами (ISACA)

Стандарт ISO (BS 7799) и аудит в соответствии с BS 7799 part 2 Определение политики ИБ Установление границ ИС Оценка рисков Управление рисками Выбор средств контроля, обеспечивающих режим ИБ обеспечивающих режим ИБ Выбор средств контроля, обеспечивающих режим ИБ обеспечивающих режим ИБ Проверка на соответствие требованиям стандарта Проверка на соответствие требованиям стандарта Угрозы безопасности, уязвимости защиты Угрозы безопасности, уязвимости защиты Выбор допустимого уровня рисков уровня рисков Выбор допустимого уровня рисков уровня рисков Выбор методики проведения аудита ИБ Выбор методики проведения аудита ИБ Основные шаги

Добровольный аудит как метод оценки качества существующей системы ИБ

Ассоциация аудита и управления информационными системами CobiT Спецификации управляющих процессов и возможные инструменты воздействия (Control Objectives) Рекомендации по выполнению аудита информационной технологии (Audit Guidelines) Концепция управления информационными технологиями

Основные задачи модели CobiT Стадии жизненного цикла: Планирование и организация определение стратегии и тактики развития информационных технологий, вытекающих из основных целей бизнеса (11 основных задач). Приобретение и ввод в действие решения должны быть документально оформлены, спланировано приобретение необходимого оборудования и других средств и ввод их в действие (6 основных задач). Доставка и поддержка задачи, связанные с обеспечением процесса эксплуатации (13 основных задач) Мониторинг за процессами, составляющими информационную технологию (4 основные задачи).

Система стандартов аудита CobiT Хартия аудитора (Audit Charter) определяет права и обязанности аудитора. Обеспечение независимости (Independence) гарантии профессиональной независимости аудитора и взаимоотношения с другими организациями. Профессиональная этика (Professional ethics and standarts) требования к профессиональной этике аудиторов и их взаимоотношениям в профессиональной среде. Требования к квалификации аудитора (Competence) формальные требования к знаниям в области технических компонент и другие знания и навыки, необходимые для работы аудитора. Требования к повышению квалификации. Планирование работ по аудиту(Audit Planning) документация, предоставляемая аудитору до начала работ и требования, которым должен отвечать план аудита. Подотчетность действий аудитора (Performance of audit work) надзор за действиями аудитора со стороны персонала проверяемой системы (supervision) и корректностью полученных выводов (evidence). Требования к документации (Reporting) форма отчета и его содержание. Последующие действия (follow-up activites) надзор за исправлениями, которые вносятся после аудита.

Общая технология аудита Подготовка организации к аудиту 1. Документация должна содержать: политику безопасности; границы защищаемой системы; оценки рисков; управление рисками; описание инструментария управления ИБ; ведомость соответствия (Statement of applicability) - документ, в котором оценивается соответствие требованиям стандартов поставленных целей в области ИБ и средств управления ИБ. 2. Внутренняя проверка соответствия системы управления ИБ требованиям стандарта Подготовка аудитора к проведению сертификации Проведение аудита

При проведения аудита необходимо: Подтвердить, что вопросы, рассматриваемые в ходе проведения периодических проверок системы управления ИБ, надлежащим образом документированы Подтвердить, что оценка рисков была произведена Подтвердить, что результаты оценивания рисков достоверны, приемлемы и документированы должным образом Подтвердить, что необходимые средства обеспечения ИБ были установлены корректно, прошли тестирование и правильно используются Подтвердить, что сотрудники знакомы с политикой ИБ, система управления ИБ должным образом документирована и подготовлен документ "Ведомость соответствия". Стандартным образом оформить аудиторское заключени е

Сравнение российского и зарубежного подходов к аудиту (аттестации) Большое внимание уделяется выбору и формальному описанию целей, которые ставятся в области ИБ для конкретной информационной системы. Используются механизмы оценки соответствия декларированных целей существующим показателям ИБ Отличительные особенности зарубежных стандартов Учет аспектов, связанных с рисками. Это позволяет оптимизировать построение подсистемы безопасности по критериям цена/эффективность. Лучший учет таких аспектов ИБ как целостность и доступность. Российские РД в основном ориентированы на обеспечение конфиденциальности. Большая степень формализации требований к подсистеме ИБ. В современных стандартах и руководствах формальные требования и рекомендации излагаются в нескольких сотнях подразделов. Соответственно методики построения подсистем ИБ более конкретны, процедуры проведения аудита ИБ достаточно формализованы

Заключение В российских стандартах и РД в области ИБ аспект рисков, их допустимого уровня, ответственность за принятие определенного уровня рисков, не рассматривается. Отсюда существенные различия в методологии аудита (аттестации) информационных систем Современные зарубежные технологии аудита ИБ представляют интерес для реальных собственников информационных ресурсов, однако они негативно относятся к привлечению сторонних аудиторов

ВопросыВопросы Тел.: (095) Факс: (095)