Сергей Симонов Москва 2002 Технология аудита ИБ в соответствии с ISO (BS 7799, part 2) Практика применения в России

Формальные критерии оценки функционирования системы ИБ Корпоративные стандарты (собственная разработка)43 Замечания аудиторов40 Стандарты лучшей мировой практики (например, BS7799/ISO17799) 29 Число инцидентов в области безопасности22 Финансовые потери в результате инцидентов22 Расходы на ИБ16 Эффективность в достижении поставленных целей14 Половина организаций не использует формальные критерии оценки качества системы ИБ

Использование ISO в мире 49% организаций, использующих стандарт, провели процедуру независимой сертификации ФС – Финансовый сектор ГИ – Госсектор и инфраструктура ПТ – Промышленность и торговля КС – Коммуникации и сфера услуг

Концепция ISO (Code of Practice of Information Security Management) Особенности: Стандарт представляет собой набор качественных рекомендаций Методики аудита разрабатываются заинтересованными организациями Рад важных и трудоемких этапов в стандарте не специфицирован (анализ бизнес-процессов, анализ рисков)

Схема аудита в соответствии с BS 7799 (part 2) Документация должна содержать: политику безопасности; границы защищаемой системы; оценки рисков; управление рисками; описание инструментария управления ИБ; ведомость соответствия документ, в котором оценивается соответствие требованиям стандартов поставленных целей в области ИБ и средств управления ИБ.

Политика информационной безопасности Цель: Сформулировать цель и обеспечить поддержку мер в области информационной безопасности со стороны руководства организации Документ, в котором изложена политика ИБ, должен быть доступен всем сотрудникам, отвечающим за обеспечение режима ИБ. Должны быть рассмотрены следующие вопросы: · определение ИБ; · причины, по которым ИБ имеет большое значение для организации; · цели и показатели ИБ, допускающие возможность измерения.

Области, охватываемые политикой ИБ

Организации защиты соответствующая структура управления комплексный подход к проблемам ИБ, совместная работу аудиторов, пользователей и администраторов для более эффективного решения проблем провести анализ рисков нарушения защиты, чтобы определить требования к средствам контроля Цель: Эффективная система управления ИБ в организации Инфраструктура ИБ Обеспечение безопасности при доступе сторонних пользователей и организаций Цель: Обеспечить безопасность информационных ресурсов организации, к которым имеют доступ посторонние.

Классификация и управление информационными ресурсами Цель: Обеспечить надлежащую защиту ресурсов организации. Все основные информационные ресурсы должны быть учтены и иметь ответственных. Кроме того, следует назначить ответственных за реализацию соответствующих защитных мер. Ответственность за ресурсы Классификация информации Цель: Обеспечить надлежащий уровень защиты информационных ресурсов

Система управления персоналом Цели: Уменьшить риск ошибок персонала, краж, мошенничества или незаконного использования ресурсов. Вопросы безопасности в должностных инструкциях доступу к ресурсам Обучение пользователей Цель: Убедиться в том, что пользователи осведомлены об угрозах нарушения режима ИБ и понимают значение защиты, а также имеют необходимые навыки для нормального функционирования системы безопасности организации. Реагирование на события, таящие угрозу безопасности Цель: Минимизация ущерба от нарушений режима ИБ и недопущение повторений инцидентов.

Физическая защита Защита периметра Цель: Предотвратить несанкционированный доступ к СВТ, сервисам, их повреждение и вмешательство в работу. Защита оборудования Цель: Предотвратить потерю, повреждение и компрометацию ресурсов, а также перебои в работе организации.

Администрирование информационной системы (1) Правила эксплуатации и ответственные за их соблюдение Цель: Обеспечить правильную и надежную работу информационных систем. Проектирование информационных систем и их приемка Цель: Свести риск отказов информационных систем к минимуму Защита от вредоносного программного обеспечения Цель: Обеспечить целостность данных и программ

Администрирование информационной системы (2) Обслуживание систем Цель: Обеспечить целостность и доступность информационных сервисов. Сетевое администрирование Цель: Обеспечить защиту информации в сетях Защита носителей информации Цель: Предотвратить повреждение информационных ресурсов и перебои в работе организации. Обмен данными и программным обеспечением Цель: Предотвратить потери, модификацию и несанкционированное использование данных.

Управление доступом (1) Управление доступом к служебной информации Цель: Обеспечить контроль доступа к информации Управление доступом пользователей Цель: Предотвратить несанкционированный доступ к информационной системе. Обязанности пользователей Цель: Предотвратить несанкционированный доступ пользователей. Управление доступом к сети Цель: Предотвратить несанкционированный доступ к сервисам, включенным в сеть.

Управление доступом (2) Управление доступом к компьютерам Цель: Предотвратить несанкционированный доступ к компьютерам. Управление доступом к приложениям Цель: Предотвратить несанкционированный доступ к информации, хранимой в информационных системах. Слежение за доступом к системам и их использованием Цель: Выявить несанкционированные действия пользователей

Практика управления доступом Контроль и регистрация инцидентов в области ИБ Идентификация пользователей Учетная запись пользователя и пароль82% Смарт-карта19% Жетоны10% Биометрия2%

Разработка и сопровождение информационных систем Требования к подсистеме ИБ Цель: Обеспечить встраивание средств защиты в ИС. Средства обеспечения ИБ в прикладных системах Цель: Предотвратить потерю, модификацию и несанкцио- нированное использование данных в прикладных системах. Защита файлов Цель: Обеспечить информационную безопасность при разработке и поддержке информационных систем. Безопасность в среде разработки и эксплуатационной Цель: Обеспечить информационную безопасность прикладного ПО и данных.

Планирование бесперебойной работы организации Вопросы планирования бесперебойной работы организации Цель: Составить планы предотвращение перебоев в работе организации

Проверка на соответствие формальным требованиям Выполнение требований действующего законодательства Цель: Избежать нарушений договорных обязательств и требований действующего законодательства при поддержании режима ИБ. Проверка режима ИБ на соответствие политике безопасности Цель: Обеспечить соответствие режима ИБ политике и стандартам безопасности организации Меры безопасности при тестировании Цель: Минимизировать вмешательство в процесс тестирования и воздействие тестирования на штатную работу.

Современные зарубежные технологии аудита ИБ в России 1. Технологии аудита представляют интерес для реальных собственников информационных ресурсов 2. Потенциальные заказчики негативно относятся к привлечению сторонних аудиторов (посторонним не доверяют) 3.Наибольший интерес представляют технологии внутреннего аудита, методические материалы, обучение специалистов 4.В области методологии наибольший интерес российских специалистов вызывают технологии анализа рисков, позволяющие ответить на следующие вопросы: Как составить полный список угроз ИБ и оценить их параметры ? Как оценить ценности ресурсов ? Как оценнить эффективность контрмер ?

Элементы технологий анализа рисков Модель ИС с точки зрения безопасности Оценка ценности информационных ресурсов Оценка рисков и уязвимостей Контрмеры и их эффективность

ПО для внутреннего аудита информационной безопасности ПО базового уровня (ISO 17799) COBRA RiskPAC, BSS ПО для полного анализа рисков CRAMM MARION RISKWATCH АванГард

Инструментальные средства для анализа рисков Оценка ценности ресурсов ресурсов Выбирается система критериев для оценки ценности ресурсов различных типов с позиции организации Выбирается система критериев для оценки ценности ресурсов различных типов с позиции организации Построение модели с позиции ИБ Построение модели с позиции ИБ Выделяются угрозы и уязвимости, присутствующие в данной ИС присутствующие в данной ИС Выделяются угрозы и уязвимости, присутствующие в данной ИС присутствующие в данной ИС Оценка угроз и уязвимостей уязвимостей Оценка значений на основе исследования факторов риска с использованием фактографической БД Оценка значений на основе исследования факторов риска с использованием фактографической БД Измерение рисков Оценка потенциального вредоносного воздействия на ресурсы: оборудование, данные, ПО данные, ПО Оценка потенциального вредоносного воздействия на ресурсы: оборудование, данные, ПО данные, ПО Выбор контрмер Анализ эффективности возможных вариантов контрмер Анализ эффективности возможных вариантов контрмер Методы: CRAMM, RiskWatch, Авангард

Опыт применения CRAMM в России Достоинства: хорошо апробированный метод удачная система моделирования ИТ обширная БД для оценки рисков и выбора контрмер возможность использования как средства аудита Недостатки: большой объем отчетов сравнительно высокая трудоемкость Основные потребители – Банковские структуры

Российское ПО анализа рисков Большой объем отчетных материалов (более 1000 страниц) на иностранных языках, выполненных в соответствии с зарубежными стандартами Применимость методов к отечественным реалиям не очевидна Нет механизмов «тонкой подстройки» к отечественным требованиям Недостатки зарубежного ПО с точки зрения Российского потребителя:

Заключение Для проведения внутреннего аудита целесообразно использовать специализированное ПО Использование ПО требует высокой квалификации аналитика, достаточно длительного периода обучения и опыта применения В российских стандартах и РД в области ИБ аспект рисков, их допустимого уровня, ответственность за принятие определенного уровня рисков, не рассматривается. Отсюда существенные различия в методологии аудита (аттестации) информационных систем Современные зарубежные технологии аудита ИБ представляют интерес для реальных собственников информационных ресурсов, однако они негативно относятся к привлечению сторонних аудиторов

Мыпредлагаем : Мы предлагаем : Зарубежное и отечественное ПО анализа рисков Консалтинг в области анализа рисков Разработка методик внутреннего аудита ИБ Разработку заказных методик анализа рисков Уникальные технологии анализа рисков

ВопросыВопросы Тел.: (095) Факс: (095)