"Финансовая газета. Региональный выпуск", 2006, N 35

АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

(Окончание. Начало см. "Финансовая газета.

Региональный выпуск", 2006, N 34)

Аудит информационной безопасности - непрерывный процесс

С развитием деятельности организации меры безопасности также должны постоянно совершенствоваться. С этой точки зрения аудит информационной безопасности - это не единовременная задача, а продолжительные процедуры, проводимые в целях защиты данных. Аудит позволяет изучить политику безопасности организации и проводить анализ ее эффективности в контексте организационной структуры, целей и действий. Он должен быть построен на основе прошлой проверки, чтобы помочь вникнуть в политику безопасности и исправить уязвимости, обнаруженные в процессе аудита.

Инструменты аудита также являются важной частью этого процесса, так как аудит не будет эффективным без использования современных средств поиска уязвимостей. Значимость аудиту прибавит и применение организованной, последовательной, точной информации, с помощью которой можно своевременно найти и устранить ошибки в работе СЗИ. Конечно же, существенное значение имеет только долговременное сотрудничество с профессионалами аудита информационной безопасности, позволяющее предельно снизить информационные риски и поднять защищенность ИТ-инфраструктуры на принципиально новый уровень.

Нормативная база

Для определения критериев оценки защищенности и требований, предъявляемых к механизмам защиты, разработаны нормативные документы, наиболее значимыми из которых являются "Общие критерии оценки безопасности информационных технологий" (The Common Criteria for Information Technology Security Evaluation/ISO 15408) и стандарты BS 7799 и ISO 17799/27001 "Практические правила управления информационной безопасностью" (Code of practice for Information security management/ISO 17799/27001). Кроме того, в нашей стране первостепенное значение имеют руководящие документы Гостехкомиссии России и выпущенная Банком России вторая версия стандарта "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС-1.0 - 2006).

ISO 15408. Наиболее полно критерии оценки механизмов безопасности программно-технического уровня представлены в международном стандарте ISO 15408, принятом в 1999 г. Их определяют функциональные требования безопасности (security functional requirements) и требования к адекватности реализации функций безопасности (security assurance requirements). "Общие критерии" целесообразно использовать для оценки уровня защищенности систем с точки зрения комплексности реализованных в ней функций безопасности и надежности их выполнения.

В "Общих критериях" содержится определенный набор требований к механизмам безопасности организационного уровня и требований по физической защите, которые непосредственно связаны с описываемыми функциями безопасности.

Первая часть стандарта включает определение общих понятий, концепции, описание модели и методики проведения оценки безопасности информационных технологий. В нее вводится понятийный аппарат и определяются принципы формализации предметной области.

Требования к функциональности средств защиты приводятся во второй части и могут быть использованы при анализе защищенности систем для оценки полноты реализованных функций безопасности.

Третья часть содержит требования к адекватности реализации функций безопасности - так называемые требования гарантированности оценки. С точки зрения оценки защищенности АС особый интерес представляет класс требований по анализу уязвимостей средств и механизмов защиты (Vulnerability Assessment). Он определяет методы, которые должны использоваться для предупреждения, выявления и ликвидации следующих типов уязвимостей:

наличие побочных каналов утечки информации;

ошибки в конфигурации либо неправильное использование системы, приводящее к ее переходу в небезопасное состояние;

недостаточная стойкость механизмов безопасности, обеспечивающих реализацию соответствующих функций;

наличие уязвимостей в средствах защиты информации, позволяющих пользователям получать доступ к информации в обход существующих механизмов защиты.

Соответствующие требования гарантированности оценки содержатся в следующих четырех семействах требований:

Covert Channel Analysis (анализ каналов утечки информации);

Misuse (ошибка в конфигурации либо неправильное использование системы, приводящее к ее переходу в небезопасное состояние);

Strength of TOE Security Functions (стойкость функций безопасности, обеспечиваемая их реализацией);

Vulnerability Analysis (анализ уязвимостей).

При проведении работ по аудиту безопасности указанные семейства требований могут использоваться в качестве руководства и критериев для анализа уязвимостей.

Стандарты BS 7799 и ISO 17799/27001. Британский стандарт BS 7799 стал стандартом де-факто в области построения систем управления информационной безопасностью. Положения этого стандарта на добровольной основе применяет множество компаний в десятках стран мира. Сертификация системы управления информационной безопасностью (СУИБ) на соответствие стандарту BS 7799 позволяет убедиться владельцам информационных ресурсов, партнерам в том, что подсистема информационной безопасности построена правильно и функционирует эффективно.

Международное признание и широкое использование данный стандарт получил после того, как на его основе были приняты соответствующие стандарты ISO.

Стандарт BS 7799 состоит из двух частей. В первой описываются в основном построенные на основе мировой практики механизмы контроля для построения СУИБ, во второй приводится спецификация СУИБ.

BS 7799 Part 1//Code of Practice for Information Security Management описывает 127 механизмов контроля, необходимых для построения СУИБ организации, определенных на основе лучших примеров мирового опыта в данной области, и служит практическим руководством по созданию СУИБ. На основе этого стандарта выпущен стандарт ISO 17799 (последняя версия ISO/IEC 17799:2005). Однако, так как BS 7799 содержит только рекомендации, но не описывает механизмы контроля, он не может (как и ISO/IEC 17799:2005) использоваться для сертификации систем компаний

Практические правила разбиты на десять разделов:

Политика безопасности;

Организация защиты;

Классификация ресурсов и их контроль;

Безопасность персонала;

Физическая безопасность;

Администрирование компьютерных систем и сетей;

Управление доступом;

Разработка и сопровождение информационных систем;

Планирование бесперебойной работы организации;

Контроль выполнения требований политики безопасности.

В данных разделах содержится описание механизмов организационного уровня, реализуемых в настоящее время в государственных и коммерческих организациях во многих странах.

Десять ключевых средств контроля (механизмов управления информационной безопасностью), предлагаемых в BS 7799, считаются особо важными. При использовании некоторых средств контроля, например шифрования, могут потребоваться советы специалистов по безопасности и оценка рисков. Для обеспечения защиты особо ценных ресурсов или оказания противодействия особо серьезным угрозам безопасности в ряде случаев может возникнуть потребность в более сильных средствах контроля, которые выходят за рамки BS 7799.

Ключевые средства контроля либо представляют собой обязательные требования (например, требования действующего законодательства), либо считаются основными структурными элементами информационной безопасности (например, обучение правилам безопасности). Эти средства актуальны для всех организаций и составляют основу системы управления информационной безопасностью. Они служат в качестве основы для организаций, приступающих к реализации средств управления информационной безопасностью. К ключевым отнесены следующие средства контроля:

документ о политике информационной безопасности;

распределение обязанностей по обеспечению информационной безопасности;

обучение и подготовка персонала к поддержанию режима информационной безопасности;

уведомление о случаях нарушения защиты;

средства защиты от вирусов;

планирование бесперебойной работы организации;

контроль над копированием программного обеспечения, защищенного законом об авторском праве;

защита документации организации;

защита данных;

контроль соответствия политике безопасности.

Процедура аудита безопасности АС по стандарту BS 7799 включает проверку наличия указанных ключевых средств контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования. Составной частью работ по аудиту также являются анализ и управление рисками.

BS 7799 Part 2//Information Security Management - Specification for ISMS (Спецификация системы управления информационной безопасностью) определяет спецификацию СУИБ и дает компании инструмент, позволяющий управлять конфиденциальностью, целостностью и сохранностью важного актива компании - информации, и может с одинаковым успехом применяться в организациях разного размера - от индивидуальных предпринимателей до предприятий с численностью сотрудников в десятки тысяч человек. На основе BS 7799 Part 2 (в соответствии с версией ISO/IEC 17799:2005) создан стандарт BS ISO/IEC 27001:2005 "Information Technology - Security Techniques - Information Security Management System - Requirements".

Руководящие документы Гостехкомиссии России. В нашей стране при решении задач защиты информации должно обеспечиваться соблюдение указов Президента Российской Федерации, федеральных законов, постановлений Правительства Российской Федерации, руководящих документов Гостехкомиссии России, ФАПСИ и других нормативных документов.

Критерии оценки механизмов защиты программно-технического уровня выражены в руководящих документах Гостехкомиссии России "АС. Защита от несанкционированного доступа (НСД) к информации. Классификация АС и требования по защите информации", "Средства вычислительной техники (СВТ). Защита от НСД к информации. Показатели защищенности от НСД к информации", а также "СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации". Однако сегодня эти руководящие документы считаются морально устаревшими, и содержащуюся в них классификацию нельзя признать состоятельной. Следует отметить, что классификация разрабатывалась без учета распределенной природы современных АС, а все современные коммерческие системы по своим возможностям превосходят требования первого класса защищенности, за исключением требования по использованию сертифицированных криптографических алгоритмов. Развитием нормативной базы является разработка "Профилей защиты" для различных классов систем на базе "Общих критериев". К настоящему времени создано уже значительное количество англоязычных профилей защиты. Усилия в этом направлении предпринимаются и в России.

Руководящий документ "Специальные требования и рекомендации по защите конфиденциальной информации" (СТР-К) содержит достаточно полный набор требований и рекомендаций организационного уровня по защите речевой информации, информации, обрабатываемой средствами вычислительной техники, а также по защите информации при подключении к сетям общего пользования. Рассматриваются, в частности, следующие вопросы:

защита информации на рабочих местах на базе автономных персональных компьютеров;

защита информации при использовании съемных накопителей большой емкости для автоматизированных рабочих мест на базе автономных персональных компьютеров;

защита информации в локальных сетях;

защита информации при межсетевом взаимодействии;

защита информации при работе с системами управления базами данных.

СТР-К может использоваться при проведении аудита и аттестации безопасности АС для оценки полноты и правильности реализации организационных мер защиты информации.

Аттестация АС и сертификация средств вычислительной техники по требованиям безопасности информации, аудит и обследование безопасности в отдельных случаях предполагают использование и других нормативных документов Гостехкомиссии России.

СТО БР ИББС-1.0 - 2006. В начале 2006 г. Банк России ввел в действие вторую версию стандарта "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС-1.0 - 2006). Стандарт Банка России носит рекомендательный характер, т.е. финансовые организации не обязаны реализовывать его положения.

Новая версия стандарта намного шире и жестче положений по ИТ-безопасности и внутреннему контролю иностранных законов, таких, как SOX (Sarbanes - Oxley Act of 2002) и GLBA (Gramm-Leach-Bliley Act). В нем объединены основные положения стандартов по управлению ИТ-безопасностью (ISO 17799, 13335), регламентированы описание жизненного цикла программных средств и критерии соответствующей оценки (ГОСТ Р ИСО/МЭК 15408-1-2-3). В стандарте прописаны технологии оценки угроз и уязвимостей, подход к управлению рисками OCTAVE и некоторые положения британской методологии оценки информационных рисков CRAMM.

Среди конкретных положений стандарта Банка России - ориентация на решение проблемы информационной безопасности в части персонала организации - именно на вопросах инсайдеров делается основной акцент. Банк России рекомендует обеспечить контроль над обращением конфиденциальной информации внутри корпоративной среды. Что касается обеспечения внешней информационной безопасности, то в стандарте сформулированы следующие требования к банкам:

наличие антивирусной защиты;

наличие спам-фильтров;

использование систем шифрования для предотвращения несанкционированного доступа и т.п.

Отдельный пункт стандарта - необходимость создания специального архива электронной корреспонденции. В нем следует реализовать возможности проведения ретроспективного анализа, а соответствующие механизмы безопасности должны поддерживать аутентичность хранимых сообщений.

Новая версия стандарта "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" заключает в себе ряд преимуществ при внедрении:

эффективная и управляемая ИТ-система;

экономия на обеспечении совместимости с положениями соглашения Basel II, а также на резервных отчислениях для покрытия операционных рисков;

значительное улучшение имиджа;

увеличение собственной цены при слияниях и поглощениях;

повышение рейтинга доверия в глазах иностранных инвесторов и партнеров.

Важна связь последнего стандарта Банка России с соглашением Basel II ("Международная конвергенция измерения капитала и стандартов капитала: новые подходы"), к которому Россия присоединится в 2009 г. Согласно Basel II банки должны обеспечить достаточный резервный фонд для покрытия кредитных, рыночных и операционных рисков. В понятие операционных рисков входят риски ИТ-безопасности, особенно внутренние угрозы, связанные с умышленными или случайными деструктивными действиями персонала. Реализация положений нового стандарта позволяет свести к минимуму внешние и внутренние угрозы, что в свою очередь приведет к снижению резервных отчислений и экономии средств.

М.Кургаев

Компания "Микротест"

Подписано в печать

30.08.2006

     
   ——————————————————————————————————————————————————————————————————
————————————————————
——