Аудит информационной безопасности: цели, методы и средства, пример. Аудит информационной безопасности банка. Аудит информационной безопасности предприятия: понятие, стандарты, пример

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Введение

Аудит - форма независимого, нейтрального контроля какого-либо направления деятельности коммерческого предприятия, широко используемая в практике рыночной экономики, особенно в сфере бухгалтерского учета. Не менее важным с точки зрения общего развития предприятия является его аудит безопасности, который включает анализ рисков, связанных с возможностью осуществления угроз безопасности, особенно в отношении информационных ресурсов, оценку текущего уровня защищенности информационных систем (ИС), локализацию узких мест в системе их защиты, оценку соответствия ИС существующим стандартам в области информационной безопасности и выработку рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.

Если говорить о главной цели аудита информационной безопасности, то можно ее определить как проведение оценки уровня безопасности информационной системы предприятия для управления им в целом с учетом перспектив его развития.

В современных условиях, когда информационные системы пронизывают все сферы деятельности предприятия, а с учетом необходимости их связи с Интернет они оказываются открытыми для реализации внутренних и внешних угроз, проблема информационной безопасности становится не менее важной, чем экономическая или физическая безопасность.

Несмотря на важность рассматриваемой проблемы для подготовки специалистов по защите информации, она до настоящего времени не была включена в виде отдельного курса в существующие учебные планы и не рассматривалась в учебниках и учебных пособиях. Это было связано с отсутствием необходимой нормативной базы, неподготовленностью специалистов и недостаточным практическим опытом в области проведения аудита информационной безопасности.

Общая структура работы включает следующую последовательность рассматриваемых вопросов:

Описывается модель построения системы информационной безопасности (ИБ), учитывающая угрозы, уязвимости, риски и принимаемые для их снижения или предотвращения контрмеры;

Рассматриваются методы анализа и управления рисками;

Излагаются базовые понятия аудита безопасности и дается характеристика целей его проведения;

Анализируются основные международные и российские стандарты, используемые при проведении аудита ИБ;

Показываются возможности использования программных средств для проведения аудита ИБ;

Выбор описанной структуры учебного пособия был сделан с целью максимальной ориентации студента на практическое использование рассматриваемого материала, во-первых, при изучении лекционного курса, во-вторых, при прохождении производственных практик (анализ состояния информационной безопасности на предприятии), в-третьих, при выполнении курсовых и дипломных работ.

Представленный материал может быть полезен руководителям и сотрудникам служб безопасности и служб защиты информации предприятия для подготовки и проведения внутреннего и обоснования необходимости внешнего аудита информационной безопасности.

Глава I. Аудит безопасности и методы его проведения

1.1 Понятие аудита безопасности

Аудит представляет собой независимую экспертизу отдельных областей функционирования организации. Различают внешний и внутренний аудит. Внешний аудит - это, как правило, разовое мероприятие, проводимое по инициативе руководства организации или акционеров. Рекомендуется проводить внешний аудит регулярно, а, например, для многих финансовых организаций и акционерных обществ это является обязательным требованием со стороны их учредителей и акционеров. Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании «Положения о внутреннем аудите» и в соответствии с планом, подготовка которого осуществляется подразделениями службы безопасноти и утверждается руководством организации.

Целями проведения аудита безопасности являются:

анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов;

Оценка текущего уровня защищенности ИС;

Локализация узких мест в системе защиты ИС;

Оценка соответствия ИС существующим стандартам в области информационной безопасности;

Аудит безопасности предприятия (фирмы, организации) должен рассматриваться как конфиденциальный инструмент управления, исключающий в целях конспирации возможность предоставления информации о результатах его деятельности сторонним лицам и организациям.

Для проведения аудита безопасности предприятия может быть рекомендована следующая последовательность действий.

1. Подготовка к проведению аудита безопасности:

выбор объекта аудита (фирма, отдельные здания и помещения, отдельные системы или их компоненты);

Составление команды аудиторов-экспертов;

Определение объема и масштаба аудита и установление конкретных сроков работы.

2. Проведение аудита:

общий анализ состояния безопасности объекта аудита;

Регистрация, сбор и проверка статистических данных и результатов инструментальных измерений опасностей и угроз;

Оценка результатов проверки;

Составление отчета о результатах проверки по отдельным составляющим.

3. Завершение аудита:

составление итогового отчета;

Разработка плана мероприятий по устранению узких мест и недостатков в обеспечении безопасности фирмы.

Для успешного проведения аудита безопасности необходимо:

Активное участие руководства фирмы в его проведении;

Объективность и независимость аудиторов (экспертов), их компетентность и высокая профессиональность;

Четко структурированная процедура проверки;

Активная реализация предложенных мер обеспечения и усиления безопасности.

Аудит безопасности, в свою очередь, является действенным инструментом оценки безопасности и управления рисками. Предотвращение угроз безопасности означает в том числе и защиту экономических, социальных и информационных интересов предприятия.

Отсюда можно сделать вывод, что аудит безопасности становится инструментом экономического менеджмента.

В зависимости от объема анализируемых объектов предприятия определяются масштабы аудита:

Аудит безопасности всего предприятия в комплексе;

Аудит безопасности отдельных зданий и помещений (выделенные помещения);

Аудит оборудования и технических средств конкретных типов и видов;

Аудит отдельных видов и направлений деятельности: экономической, экологической, информационной, финансовой и т. д.

Следует подчеркнуть, что аудит проводится не по инициативе аудитора, а по инициативе руководства предприятия, которое в данном вопросе является основной заинтересованной стороной. Поддержка руководства предприятия является необходимым условием для проведения аудита.

Аудит представляет собой комплекс мероприятий, в которых помимо самого аудитора, оказываются задействованными представители большинства структурных подразделений компании. Действия всех участников этого процесса должны быть скоординированы. Поэтому на этапе инициирования процедуры аудита должны быть решены следующие организационные вопросы:

Права и обязанности аудитора должны быть четко определены и документально закреплены в его должностных инструкциях, а также в положении о внутреннем (внешнем) аудите;

Аудитором должен быть подготовлен и согласован с руководством план проведения аудита;

В положении о внутреннем аудите должно быть закреплено, в частности, что сотрудники предприятия обязаны оказывать содействие аудитору и предоставлять всю необходимую для проведения аудита информацию.

На этапе инициирования процедуры аудита должны быть определены границы проведения обследования. Если какие-то информационные подсистемы предприятия не являются достаточно критичными, их можно исключить из границ проведения обследования.

Другие подсистемы могут оказаться недоступными для аудита из-за соображений конфиденциальности.

Границы проведения обследования определяются в следующих категориях:

1. Список обследуемых физических, программных и информационных ресурсов.

2. Площадки (помещения), попадающие в границы обследования.

3. Основные виды угроз безопасности, рассматриваемые при проведении аудита.

4. Организационные (законодательные, административные и процедурные), физические, программно-технические и прочие аспекты обеспечения безопасности, которые необходимо учесть в ходе проведения обследования, и их приоритеты (в каком объеме они должны быть учтены).

План и границы проведения аудита обсуждается на рабочем собрании, в котором участвуют аудиторы, руководство компании и руководители структурных подразделений.

Для понимания аудита ИБ как комплексной системы может быть использована его концептуальная модель, показанная на рис. 1.1. Здесь выделены главные составляющие процесса:

Объект аудита:

Цель аудита:

Рис. 1.1 . Концептуальная модель аудита ИБ

предъявляемые требования;

Используемые методы;

Масштаб:

Исполнители;

Порядок проведения.

С точки зрения организации работ при проведении аудита ИБ выделяют три принципиальных этапа:

1. сбор информации;

Ниже более подробно рассмотрены эти этапы.

1.2 Методы анализа данных при аудите ИБ

В настоящее время используются три основных метода (подхода) к проведению аудита, которые существенно различаются между собой .

Первый метод, самый сложный, базируется на анализе рисков. Опираясь на методы анализа рисков, аудитор определяет для обследуемой ИС индивидуальный набор требований безопасности, в наибольшей степени учитывающий особенности данной ИС, среды ее функционирования и существующие в данной среде угрозы безопасности. Данный подход является наиболее трудоемким и требует наивысшей квалификации аудитора. На качество результатов аудита, в этом случае, сильно влияет используемая методология анализа и управления рисками и ее применимость к данному типу ИС.

Второй метод, самый практичный, опирается на использование стандартов информационной безопасности. Стандарты определяют базовый набор требований безопасности для широкого класса ИС, который формируется в результате обобщения мировой практики. Стандарты могут определять разные наборы требований безопасности, в зависимости от уровня защищенности ИС, который требуется обеспечить, ее принадлежности (коммерческая организация, либо государственное учреждение), а также назначения (финансы, промышленности, связь и т.п.). От аудитора в данном случае требуется правильно определить набор требований стандарта, соответствие которым требуется обеспечить для данной ИС. Необходима также методика, позволяющая оценить это соответствие. Из-за своей простоты (стандартный набор требований для проведения аудита уже заранее определен стандартом) и надежности (стандарт - есть стандарт и его требования никто не попытается оспорить), описанный подход наиболее распространен на практике (особенно при проведении внешнего аудита). Он позволяет при минимальных затратах ресурсов делать обоснованные выводы о состоянии ИС.

Третий метод, наиболее эффективный, предполагает комбинирование первых двух.

Если для проведения аудита безопасности выбран подход, базирующийся на анализе рисков, то на этапе анализа данных аудита обычно выполняются следующие группы задач :

1 . Анализ ресурсов ИС, включая информационные ресурсы, программные и технические средства, а также людские ресурсы.

2. Анализ групп задач, решаемых системой, и бизнес процессов.

3. Построение (неформальной) модели ресурсов ИС, определяющей взаимосвязи между информационными, программными, техническими и людскими ресурсами, их взаимное расположение и способы взаимодействия.

4. Оценка критичности информационных ресурсов, а также программных и технических средств.

5. Определение критичности ресурсов с учетом их взаимозависимостей.

6. Определение наиболее вероятных угроз безопасности в отношении ресурсов ИС и уязвимостей защиты, делающих возможным осуществление этих угроз.

7. Оценка вероятности осуществления угроз, величины уязвимостей и ущерба, наносимого организации в случае успешного осуществления угроз.

8. Определение величины рисков для каждой тройки: угроза - группа ресурсов - уязвимость.

Перечисленный набор задач является достаточно общим. Для их решения могут использоваться различные формальные и неформальные, количественные и качественные, ручные и автоматизированные методики анализа рисков. Суть подхода от этого не меняется.

Оценка рисков может даваться с использованием различных как качественных, так и количественных шкал. Главное, чтобы существующие риски были правильно идентифицированы и про ранжированы в соответствии со степенью их критичности для организации. На основе такого анализа может быть разработана система первоочередных мероприятий по уменьшению величины рисков до приемлемого уровня.

При проведении аудита безопасности на соответствие требованиям стандарта, аудитор, полагаясь на свой опыт, оценивает применимость требований стандарта к обследуемой ИС и ее соответствие этим требованиям. Данные о соответствии различных областей функционирования ИС требованиям стандарта обычно представляются в табличной форме. Из таблицы видно, какие требования безопасности в системе не реализованы. Исходя из этого, делаются выводы о соответствии обследуемой ИС требованиям стандарта и даются рекомендации по реализации в системе механизмов безопасности, позволяющих обеспечить такое соответствие.

1.3 Анализ информационных рисков предприятия

Анализ рисков - это то, с чего должно начинаться построение любой системы информационной безопасности и то, что необходимо для проведения аудита ИБ. Он включает в себя мероприятия по обследованию безопасности предприятия с целью определения того, какие ресурсы и от каких угроз надо защищать, а также в какой степени те или иные ресурсы нуждаются в защите. Определение набора адекватных контрмер осуществляется в ходе управления рисками. Риск определяется вероятностью причинения ущерба и величиной ущерба, наносимого ресурсам информационных систем (ИС), в случае осуществления угрозы безопасности.

Анализ рисков состоит в том, чтобы выявить существующие риски и оценить их величину (дать им качественную, либо количественную оценку). Процесс анализа рисков предусматривает решение следующих задач:

1. Идентификация ключевых ресурсов ИС.

2. Определение важности тех или иных ресурсов для организации.

3. Идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз.

4. Вычисление рисков, связанных с осуществлением угроз безопасности.

Ресурсы ИС можно разделить на следующие категории:

Информационные ресурсы;

Программное обеспечение;

Технические средства (серверы, рабочие станции, активное сетевое оборудование и т. п.);

Людские ресурсы.

В каждой категории ресурсы делятся на классы и подклассы. Необходимо идентифицировать только те ресурсы, которые определяют функциональность ИС и существенны с точки зрения обеспечения безопасности.

Важность (или стоимость) ресурса определяется величиной ущерба, наносимого в случае нарушения конфиденциальности, целостности или доступности этого ресурса. Обычно рассматриваются следующие виды ущерба:

Данные были раскрыты, изменены, удалены или стали недоступны;

Аппаратура была повреждена или разрушена;

Нарушена целостность программного обеспечения.

Ущерб может быть нанесен организации в результате успешного осуществления следующих видов угроз безопасности:

Локальные и удаленные атаки на ресурсы ИС;

Стихийные бедствия;

Ошибки, либо умышленные действия персонала ИС;

Сбои в работе ИС, вызванные ошибками в программном обеспечении или неисправностями аппаратуры.

Величина риска может быть определена на основе стоимости ресурса, вероятности осуществления угрозы и величины уязвимости по следующей формуле:

стоимость ресурса х вероятность угрозы Риск = величина уязвимости

Задача управления рисками заключается в выборе обоснованного набора контрмер, позволяющих снизить уровни рисков до приемлемой величины. Стоимость реализации контрмер должна быть меньше величины возможного ущерба. Разница между стоимостью реализации контрмер и величиной возможного ущерба должна быть обратно пропорциональна вероятности причинения ущерба.

Подход на основе анализа информационных рисков предприятия является наиболее значимым для практики обеспечения информационной безопасности. Это объясняется тем, что анализ риска позволяет эффективно управлять ИБ предприятия. Для этого в начале работ по анализу риска необходимо определить, что именно подлежит защите на предприятии, воздействию каких угроз это подвержено, и по практике защиты. Анализ риска производится исходя из непосредственных целей и задач по защите конкретного вида информации конфиденциального характера. Одной из важнейших задач в рамках защиты информации является обеспечение ее целостности и доступности. При этом следует иметь в виду, что нарушение целостности может произойти не только вследствие преднамеренных действий, но и по ряду других причин:

· сбоев оборудования, ведущих к потере или искажению информации;

· физических воздействии, в том числе в результате стихийных бедствий;

· ошибок в программном обеспечении(в том числе недокументированных возможностей).

Поэтому под термином«атака» более перспективно понимать не только человеческие воздействия на информационные ресурсы, но и воздействия окружающей среды, в которой функционирует система обработки информации предприятия.

При проведении анализа риска разрабатываются:

· общая стратегия и тактика проведения потенциальным нарушителем «наступательных операций и боевых действий»;

· возможные способы проведения атак на систему обработки и защиты информации;

· сценарий осуществления противоправных действий;

· характеристики каналов утечки информации и НСД;

· вероятности установления информационного контакта (реализации угроз);

· перечень возможных информационных инфекций;

· модель нарушителя;

· методика оценки информационной безопасности.

Кроме того, для построения надежной системы защиты информации предприятия необходимо:

· выявить все возможные угрозы безопасности информации;

· оценить последствия их проявления;

· определить необходимые меры и средства защиты с учетом требований нормативных документов, экономической

· целесообразности, совместимости и бесконфликтности с используемым программным обеспечением;

· оценить эффективность выбранных мер и средств защиты.

Рис. 1.2. Сценарий анализа информационных ресурсов

Здесь представлены все 6 этапов анализа риска. На первом и втором этапах определяются сведения, которые составляют для предприятия коммерческую тайну и которые предстоит защищать. Понятно, что такие сведения хранятся вопределенных местах и на конкретных носителях, передаются по каналам связи. При этом определяющим фактором в технологии обращения с информацией является архитектура ИС, которая во многом определяет защищенность информационных ресурсов предприятия. Третий этап анализа риска - построение каналов доступа, утечки или воздействия на информационные ресурсы основных узлов ИС. Каждый канал доступа характеризуется множеством точек, с которых можно «снять» информацию. Именно они и представляют уязвимости и требуют применения средств недопущения нежелательных воздействий на информацию.

Четвертый этап анализа способов защиты всех возможных точека так соответствует целям защиты и его результатом должна быть характеристика возможных брешей в обороне, в том числе за счет неблагоприятного стечения обстоятельств.

На пятом этапе исходя из известных на данный момент способов и средств преодоления оборонительных рубежей определяются вероятности реализации угроз по каждой из возможных точек атак.

На заключительном, шестом, этапе оценивается ущерб организации в случае реализации каждой из атак, который вместе с оценками уязвимости позволяет получить ранжированный список угроз информационным ресурсам. Результаты работы представляются в виде, удобном для ихвосприятия и выработки решений по коррекции существующей системы защиты информации. При этом каждый информационный ресурс может быть подвержен воздействию нескольких потенциальных угроз. Принципиальное же значение имеет суммарная вероятность доступа к информационным ресурсам, которая складывается из элементарных вероятностей доступа к отдельным точкам прохождения информации.

Величина информационного риска по каждому ресурсу определяется как произведение вероятности нападения на ресурс, вероятности реализации и угрозы и ущерба от информационного вторжения. В этом произведении могут использоваться различные способы взвешивания составляющих.

Сложение рисков по всем ресурсам дает величину суммарного риска при принятой архитектуре ИС и внедренной в нее системы защиты информации.

Таким образом, варьируя варианты построения системы защиты информации и архитектуры ИС, становится возможным представить и рассмотреть различные значения суммарного риска за счет изменения вероятности реализации угроз. Здесь весьма важным шагом является выбор одного из вариантов в соответствии с отобранным критерием принятия решения. Таким критерием может быть допустимая величина риска или отношение затрат на обеспечение информационной без-опасности к остаточному риску.

При построении систем обеспечения информационной безопасности также нужно определить стратегию управления рисками на предприятии.

На сегодня известно несколько подходов к управлению рисками.

Один из наиболее распространенных- уменьшение риска путем использования соответствующих способов и средств защиты. Близким по сути является подход, связанный с уклонением от риска. Известно, что от некоторых классов рисков можно уклониться: например, вынесение Web-сервера организации за пределы локальной сети позволяет избежать риска несанкционированного доступа в локальную сеть со стороны Web-клиентов.

Наконец, в некоторых случаях допустимо принятие риска. Здесь важно определиться со следующей дилеммой: что для предприятия выгоднее- бороться с рисками или же с их последствиями. В этом случае приходится решать оптимизационную задачу.

После того как определена стратегия управления рисками, производится окончательная оценка мероприятий по обеспечению информационной безопасности с подготовкой экспертного заключения о защищенности информационных ресурсов. В экспертное заключение включаются все материалы анализа рисков и рекомендации по их снижению.

1.4 Методы оценивания информационных рисков предприятия

На практике используются различные методы оценки и управления информационными рисками на предприятиях. При этом оценка информационных рисков предусматривает выполнение следующих этапов:

· идентификация и количественная оценка информационных ресурсов предприятий, значимых для бизнеса;

· оценивание возможных угроз;

· оценивание существующих уязвимостей;

· оценивание эффективности средств обеспечения информационной безопасности.

Предполагается, что значимые для бизнеса уязвимые информационные ресурсы компании предприятия подвергаются риску, если по отношению к ним существуют какие-либо угрозы. Другими словами, риски характеризуют опасность, которой могут подвергаться компоненты корпоративной системы Internet/Intranet. При этом информационные риски компании зависят:

· от показателей ценности информационных ресурсов;

· вероятности реализации угроз для ресурсов;

· эффективности существующих или планируемых средств обеспечения ИБ.

Цель оценивания рисков состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов. В результате оценки рисков становится возможным выбрать средства, обеспечивающие желаемый уровень ИБ предприятия. При оценивании рисков учитываются ценность ресурсов, значимость угроз и уязвимостей, эффективность существующих и планируемых средств защиты. Сами показатели ресурсов, значимости угроз и уязвимостей, эффективность средств защиты могут быть определены как количественными методами, например при определении стоимостных характеристик, так и, качественными, например учитывающими штатные или чрезвычайно опасные нештатные воздействия внешней среды.

Возможность реализации угрозы оценивается вероятностью ее реализации в течение заданного отрезка времени для некоторого ресурса предприятия. При этом вероятность того, что угроза реализуется, определяется следующими основными показателями:

· привлекательностью ресурса используется при рассмотрении угрозы от умышленного воздействия со стороны человека;

· возможностью использования ресурса для получения дохода при рассмотрении угрозы от умышленного воздействия со стороны человека;

· техническими возможностями реализации угрозы применяется при умышленном воздействии со стороны человека;

· степенью легкости, с которой уязвимость может быть использована.

В настоящее время известно множество табличных методов оценки информационных рисков компании. Важно, чтобы работники службы безопасности выбрали для себя подходящий метод, который обеспечивал бы корректные и достоверные воспроизводимые результаты.

Количественные показатели информационных ресурсов рекомендуется оценивать по результатам опросов сотрудников предприятия- владельцев информации, то есть должностных лиц, которые могут определить ценность информации, ее характеристики и степень критичности, исходя из фактического положения дел. На основе результатов опроса производится оценивание показателей и степени критичности информационных ресурсов для наихудшего варианта развития событий вплоть до рассмотрения потенциальных воздействий на бизнес-деятельность предприятия при возможном несанкционированном ознакомлении с конфиденциальной информацией, нарушении ее целостности, недоступности на различные сроки, вызванных отказами в обслуживании систем обработки данных и даже физическом уничтожении. При этом процесс получения количественных показателей может дополняться соответствующими методиками оценивания других критически важных ресурсов предприятия, учитывающих:

· безопасность персонала;

· разглашение частной информации;

· требования по соблюдению законодательных и нормативных положений;

· ограничения, вытекающие из законодательства;

· коммерческие и экономические интересы;

· финансовые потери и нарушения в производственной деятельности;

· общественные отношения;

· коммерческую политику и коммерческие операции;

· потерю репутации компании.

Далее количественные показатели используются там, где это допустимо и оправдано, а качественные - где количественные оценки по ряду причин затруднены. При этом наибольшее распространение получило оценивание качественных показателей при помощи специально разработанных для этих целей балльных шкал, например, с четырех бальной шкалой.

Следующей операцией является заполнение пар опросных листов, в которых по каждому из типов угроз и связанной с ним группе ресурсов оцениваются уровни угроз как вероятность реализации угроз и уровни уязвимостей как степень легкости, с которой реализованная угроза способна привести к негативному воздействию. Оценивание производится в качественных шкалах. Например, уровень угроз и уязвимостей оценивается по шкале «высокий-низкий». Необходимую информацию собирают, опрашивая ТОР-менеджеров компании, сотрудников коммерческих, технических, кадровых и сервисных служб, выезжая на места и анализируя документацию компании.

Наряду с табличными методами оценки информационных рисков, могут быть использованы современные математические методы, например метод типа Дельфи, а также специальные автоматизированные системы, отдельные из которых будут рассмотрены ниже.

Общий алгоритм процесса оценивания рисков (рис.1.3.) в этих системах включает следующие этапы.

· описание объекта и мер защиты;

· идентификация ресурса и оценивание его количественных показателей (определение потенциального негативного воздействия на бизнес);

· анализ угроз информационной безопасности;

· оценивание уязвимостей;

· оценивание существующих и предполагаемых средств

обеспечения информационной безопасности;

· оценивание рисков.

1.5 Управление информационными рисками

В настоящее время управление информационными рисками представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области защиты информации. Его основная задача объективно идентифицировать и оценить наиболее значимые для бизнеса информационные риски компании, а также адекватность используемых средств контроля рисков для увеличения эффективности и рентабельности экономической деятельности предприятия. Поэтому под термином «управление информационными рисками» обычно понимается системный процесс идентификации, контроля и уменьшения информационных рисков компаний в соответствии с определенными ограничениями российской нормативно-правовой базы в области защиты информации и собственной корпоративной политики безопасности.

Рис. 1.3. Алгоритм оценивания рисков

Использование информационных систем связано с определенной совокупностью рисков. Когда возможный ущерб неприемлемо велик, необходимо экономически оправданные меры защиты. Периодическая (пере)оценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменений обстановки.

Суть мероприятий по управлению рисками состоит в том, чтобы оценить их размер, выработать эффективные и экономичные меры снижения рисков, а затем убедиться, что риски заключены в приемлемые рамки(и остаются таковыми). Следовательно, управление рисками включает в себя два вида деятельности, которые чередуются циклически:

1) (пере) оценка (измерение) рисков;

2) выбор эффективных и экономичных защитных средств (нейтрализация рисков).

По отношению к выявленным рискам возможны следующие действия:

· ликвидация риска(например, за счет устранения причины);

· уменьшение риска(например, за счет использования дополнительных защитных средств);

· принятие риска(путем выработки плана действия в соответствующих условиях):

· переадресация риска(например, путем заключения страхового соглашения).

Процесс управления рисками можно разделить на следующие этапы:

1. Выбор анализируемых объектов и уровня детализации их рассмотрения.

2. Выбор методологии оценки рисков.

3. Идентификация активов.

4. Анализ угроз и их последствий, выявление уязвимых мест в защите.

5. Оценка рисков.

6. Выбор защитных мер.

7. Реализация и проверка выбранных мер.

8. Оценка остаточного риска.

Этапы6 и относятся к выбору защитных средств(нейтрализациии рисков), остальные- к оценке рисков.

Уже перечисление этапов показывает, что управление рисками процесс циклический. По существу, последний этап- это оператор конца цикла, предписывающий вернуться к началу. Риски нужно контролировать постоянно, периодически проводя их переоценку. Следует отметить, что выполненная и тщательно документированная оценка может существенно упростить последующую деятельность.

Управление рисками, как и любую другую деятельность в области информационной безопасности, необходимо интегрировать в жизненный цикл ИС. Тогда эффект оказывается наибольшим, а затраты минимальными.

Управление рисками необходимо проводить на всех этапах жизненного цикла информационнойсистемы:инициация-разработка-установка эксплуатация- утилизация(вывод из эксплуатации).

На этапе инициации известные риски следует учесть при выработке требований к системе вообще и средствам безопасности в частности.

На этапе разработки знание рисков помогает выбирать соответствующие архитектурные решения, которые играют ключевую роль в обеспечении безопасности.

На этапе установки выявленные риски следует учитывать при конфигурировании, тестировании и проверке ранее сформулированных

требований, а полный цикл управления рисками должен предшествовать внедрению системы в эксплуатацию.

На этапе эксплуатации управление рисками должно сопровождать все существенные изменения в системе.

При выведении системы из эксплуатации управление рисками помогает убедиться в том, что миграция данных происходит безопасным образом.

Глава II. Стандарты информационной безопасности

2.1 Предпосылки создания стандартов ИБ

Проведение аудита информационной безопасности основывается на использовании многочисленных рекомендаций, которые изложены преимущественно в международных стандартах ИБ.

Одним из результатов проведения аудита в последнее время все чаще становится сертификат, удостоверяющий соответствие обследуемой ИС определенному признанному международному стандарту. Наличие такого сертификата позволяет организации получать конкурентные преимущества, связанные с большим доверием со стороны клиентов и партнеров.

Использование стандартов способствует решению следующих пяти задач.

Во-первых, строго определяются цели обеспечения информационной безопасности компьютерных систем. Во-вторых, создается эффективная система управления информационной безопасностью. В-третьих, обеспечивается расчет совокупности детализированных не только качественных, но и количественны показателей для оценки соответствия информационной безопасности заявленным целям. В-четвертых, создаются условия применения имеющегося инструментария(программных средств) обеспечения информационной безопасности и оценки ее текущего состояния. В-пятых, открывается возможность использования методик управления безопасностью с обоснованной системой метрик и мер обеспечения разработчиков информационных систем.

Начиная с начала80-х годов были созданы десятки международных и национальных стандартов в области информационной безопасности, которые в определенной мере дополняют друг друга. Ниже будут рассмотрены наиболее известные стандарты по хронологии их создания:

1) Критерий оценки надежности компьютерных систем «Оранжевая книга» (США);

2) Гармонизированные критерии европейских стран;

4) Германский стандартBSI;

5) Британский стандартBS 7799;

6) СтандартISO 17799;

7) Стандарт«Общие критерии» ISO 15408;

8) СтандартCOBIT

Эти стандарты можно разделить на два вида:

· Оценочные стандарты, направленные на классификацию информационных систем и средств защиты по требованиям безопасности;

· Технические спецификации, регламентирующие различные аспекты реализации средств защиты.

Важно отметить, что между этими видами нормативных документов нет глухой стены. Оценочные стандарты выделяют важнейшие, с точки зрения ИБ, аспекты ИС, играя роль архитектурных спецификаций. Другие технические спецификации определяют, как строить ИС предписанной архитектуры.

2.2 Стандарт «Критерии оценки надежности компьютерных систем» (Оранжевая книга)

Исторически первым оценочным стандартом, получившим широкое распространение и оказавшим огромное влияние на базу стандартизации ИБ во многих странах, стал стандарт Министерства обороны США«Критерии оценки доверенных компьютерных систем».

Данный труд, называемый чаще всего по цвету обложки «Оранжевой книгой», был впервые опубликован в августе1983 года. Уже одно его название требует комментария. Речь идет не о безопасных, а о доверенных системах, то есть системах, которым можно оказатьопределенную степень доверия.

«Оранжевая книга» поясняет понятие безопасной системы, которая«управляет, с помощью соответствующих средств, доступом к информации, так что только должным образом авторизованные лица или процессы, действующие от их имени, получают право читать, записывать, создавать и удалять информацию».

Очевидно, однако, что абсолютно безопасных систем не существует, это абстракция. Есть смысл оценивать лишь степень доверия, которое можно оказать той или иной системе.

В«Оранжевой книге» доверенная система определяется как «система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа».

Следует отметить, что в рассматриваемых критериях и безопасность и доверие оцениваются исключительно с точки зрения управления доступом к данным, что является одним из средств обеспечения конфиденциальности и целостности информации. При этом вопросы доступности«Оранжевая книга» не затрагивает.

Степень доверия оценивается по двум основным критериям.

1. Политика безопасности - набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. В частности, правила определяют, в каких случаях пользователь может оперировать конкретными наборами данных. Чем выше степень доверия системе, тем строже и многообразнее должна быть политика безопасности. В зависимости от сформулированной политики можно выбирать конкретные механизмы обеспечения безопасности. Политика безопасности -- это активный аспект защиты, включающий в себя анализ возможных угроз и выбор мер противодействия.

2. Уровень гарантированности- мера доверия, которая может быть оказана архитектуре и реализации ИС. Доверие безопасности может проистекать как из анализа результатов тестирования, так и из проверки(формальной или нет) общего замысла и реализации системы в целом и отдельных ее компонентов. Уровень гарантированности показывает, насколько корректны механизмы, отвечающие за реализацию политики безопасности. Это пассивный аспект защиты.

Основным средством обеспечения безопасности определяется механизм подотчетности (протоколирования). Доверенная система должна фиксировать все события, касающиеся безопасности. Ведение протоколов должно дополняться аудитом, то есть анализом регистрационной информации. Концепция доверенной вычислительной базы является центральной при оценке степени доверия безопасности. Доверенная вычислительная база - это совокупность защитных механизмов ИС (включая аппаратное и программное обеспечение), отвечающих за проведение в жизнь политики безопасности. Качество вычислительной базы определяется исключительно ее реализацией и корректностью исходных данных, которые вводит системный администратор.

Рассматриваемые компоненты вне вычислительной базы могут не быть доверенными, однако это не должно влиять на безопасность системы в целом. В результате, для оценки доверия безопасности ИС авторы стандарта рекомендуют рассматривать только ее вычислительную базу.

Основное назначение доверенной вычислительной базы - выполнять функции монитора обращений, то есть контролировать допустимость выполнения субъектами (пользователями) определенных операций над объектами (пассивными сущностями). Монитор проверяет каждое обращение пользователя к программам или данным на предмет согласованности с набором действий, допустимых для пользователя.

Монитор обращений должен обладать тремя качествами:

Изолированность. Необходимо предупредить возможность отслеживания работы монитора.

Полнота. Монитор должен вызываться при каждом обращении, не должно быть способов обойти его.

Верифицируемость. Монитор должен быть компактным, чтобы его можно было проанализировать и протестировать, будучи уверенным в полноте тестирования.

Реализация монитора обращений называется ядром безопасности. Ядро безопасности - это основа, на которой строятся все защитные механизмы. Помимо перечисленных выше свойств монитора обращений, ядро должно гарантировать собственную неизменность.

Границу доверенной вычислительной базы называют периметром безопасности. Как уже указывалось, компоненты, лежащие вне периметра безопасности, вообще говоря, могут не быть доверенными. С развитием распределенных систем понятию «периметр безопасности» все чаще придают другой смысл, имея в виду границу владений определенной организации. То, что находится внутри владений, считается доверенным, а то, что вне, - нет.

Согласно «Оранжевой книге», политика безопасности должна обязательно включать в себя следующие элементы:

· произвольное управление доступом;

· безопасность повторного использования объектов;

· метки безопасности;

· принудительное управление доступом.

Произвольное управление доступом - это метод разграничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управления состоит в том, что некоторое лицо(обычно владелец объекта) может по своему усмотрению предоставлять другим субъектам или отбирать у них права доступа к объекту.

Безопасность повторного использования объектов - важное дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения конфиденциальной информации из «мусора». Безопасность повторного использования должна гарантироваться для областей оперативной памяти(в частности, для буферов с образами экрана, расшифрованными паролями и т.п.), для дисковых блоков и магнитных носителей в целом.

2.3 Германский стандарт BSI

В 1998 году в Германии вышло "Руководство по защите информационных технологий для базового уровня". Руководство представляет собой гипертекст объемом около 4 МБ (в форматеHTML). В дальнейшем оно было оформлено в виде германского стандарта BSI. В его основе лежит общая методология и компоненты управления информационной безопасностью:

· Общий метод управления информационной безопасностью (организация менеджмента в области ИБ, методология использования руководства).

· Описания компонентов современных информационных технологий.

· Основные компоненты (организационный уровень ИБ, процедурный уровень, организация защиты данных, планирование действий в чрезвычайных ситуациях).

· Инфраструктура (здания, помещения, кабельные сети, организация удаленного доступа).

· Клиентские компоненты различных типов (DOS, Windows, UNIX, мобильные компоненты, прочие типы).

· Сети различных типов (соединения «точка-точка», сети Novell NetWare, сети с OC ONIX и Windows, разнородные сети).

· Элементы систем передачи данных (электронная почта, модемы, межсетевые экраны и т.д.).

· Телекоммуникации (факсы, автоответчики, интегрированные системы на базе ISDN, прочие телекоммуникационные системы).

· Стандартное ПО.

· Базы данных.

· Описания основных компонентов организации режима информационной безопасности (организационный и технический уровни защиты данных, планирование действий в чрезвычайных ситуациях, поддержка непрерывности бизнеса).

· Характеристики объектов информатизации (здания, помещения, кабельные сети, контролируемые зоны).

· Характеристики основных информационных активов компании (в том числе аппаратное и программное обеспечение, например рабочие станции и сервера под управлением операционных систем семейства DOS, Windows и UNIX).

· Характеристики компьютерных сетей на основе различных сетевых технологий, например сети Novell Net Ware, сети UNIX и Windows).

· Характеристика активного и пассивного телекоммуникационного оборудования ведущих вендоров, например Cisco Systems.

· Подробные каталоги угроз безопасности и мер контроля (более 600 наименований в каждом каталоге).

Все виды угроз в стандарте BSI разделены на следующие классы:

· Форс-мажорные обстоятельства.

· Недостатки организационных мер.

· Ошибки человека.

· Технические неисправности.

· Преднамеренные действия.

Аналогично классифицированы контрмеры:

· Улучшение инфраструктуры;

· Административные контрмеры;

· Процедурные контрмеры;

· Программно-технические контрмеры;

· Уменьшение уязвимости коммуникаций; планирование действий в чрезвычайных ситуациях.

Все компоненты рассматриваются и описываются по следующему плану:

1) общее описание;

2) возможные сценарии угроз безопасности(перечисляются применимые к данной компоненте угрозы из каталога угроз безопасности);

3) возможные контрмеры(перечисляются применимые к данной компоненте угрозы из каталога угроз безопасности);

2.4 Британский стандарт BS 7799

Британский институт стандартов (BSI) при участии коммерческих организаций, таких как Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica и др. разработал стандарт информационной безопасности, который в1995 г. был принят в качестве национального стандарта BS 7799 управления информационной безопасностью организации вне зависимости от сферы деятельности компании.

В соответствии с этим стандартом любая служба безопасности, IT -отдел, руководство компании должны начинать работать согласно общему регламенту. Неважно, идет речь о защите бумажного документооборота или электронных данных. В настоящее время Британский стандарт BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, а также, например, Швеция и Нидерланды. В 2000 г. международный институт стандартов ISO на базе британского BS 7799 разработал и выпустил международный стандарт менеджмента безопасности ISO / IEC 17799.

Поэтому сегодня можно утверждать, что BS 7799 и ISO 17799 это один и тот же стандарт, имеющий на сегодняшний день мировое признание и статус международного стандарта ISO.

Вместе с тем, следует отметить первоначальное содержание стандарта BS 7799, который до настоящего времени используется в ряде стран. Он состоит из двух частей.

· Политика безопасности.

· Организация защиты.

· Классификация и управление информационными ресурсами.

· Управление персоналом.

· Физическая безопасность.

· Администрирование компьютерных систем и сетей.

· Управление доступом к системам.

· Разработка и сопровождение систем.

· Планирование бесперебойной работы организации.

· Проверка системы на соответствие требованиям ИБ.

"Часть2: Спецификации системы"(1998г) рассматривает эти же аспекты с точки зрения сертификации информационной системы на соответствие требованиям стандарта.

Она определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта. В соответствии с положениями этого стандарта также регламентируется процедура аудита информационных корпоративных систем.

· Введение в проблему управления информационной безопасности - Information security managment: an introduction.

· Возможности сертификации на требования стандарта BS 7799 -Preparing for BS 7799 sertification.

· РуководствоBS 7799 по оценке и управлению рисками-Guide to BS 7799 risk assessment and risk management.

· Готовы ли вы к аудиту на требования стандарта BS 7799-Are you ready for a BS 7799 audit?

· Руководство для проведения аудита на требования стандарта - BS 7799Guide to BS 7799 auditing.

Сегодня общими вопросами управления информационной безопасности компаний и организаций, а также развитием аудита безопасности на требования стандарта BS 7799 занимаются международный комитет Joint Technical Committee ISO/IEC JTC 1 совместно с Британским Институтом Стандартов- British Standards Institution (BSI), и в частности служба UKAS (United Kingdom Accredited Service). Названная служба производит аккредитацию организаций на право аудита информационной безопасностью в соответствии со стандартом BS ISO/IEC 7799:2000 (BS 7799-1:2000). Сертификаты, выданные этими органами, признаются во многих странах.

Отметим, что в случае сертификации компании по стандартам ISO 9001 или ISO 9002 стандарт BS ISO/IEC 7799:2000 (BS 7799-1:2000) разрешает совместить сертификацию системы информационной безопасности с сертификацией на соответствие стандартам ISO 9001 или 9002 как на первоначальном этапе, так и при контрольных проверках. Для этого необходимо выполнить условие участия в совмещенной сертификации зарегистрированного аудитора по стандарту BS ISO/IEC 7799:2000 (BS 7799-1:2000). При этом в планах совместного тестирования должны быть четко указаны процедуры проверки системы информационной безопасности, а сертифицирующие органы должны гарантировать тщательность проверки информационной безопасности.

2.5 Международный стандарт ISO 17799

Одним из наиболее развитых и широко используемых во всех странах мира стал международный стандарт ISO 17799:

Code of Practice for Information Security Management (Практические рекомендации по управлению безопасностью информации), принятом в 2000 году. ISO 17799 был разработан на основе британского стандарта BS 7799.

ISO 17799 может использоваться в качестве критериев для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты.

Практические правила разбиты на следующие10 разделов:

1. Политика безопасности.

2. Организация защиты.

3. Классификация ресурсов и их контроль.

4. Безопасность персонала.

5. Физическая безопасность.

6. Администрирование компьютерных систем и вычислительных сетей.

7. Управление доступом.

8. Разработка и сопровождение информационных систем.

9. Планирование бесперебойной работы организации.

10. Контроль выполнения требований политики безопасности.

Десять средств контроля, предлагаемых вISO 17799 (они обозначены как ключевые), считаются особенно важными. Под средствами контроля в данном контексте понимаются механизмы управления информационной безопасностью организации.

При использовании некоторых из средств контроля, например, шифрования данных, могут потребоваться советы специалистов по безопасности и оценка рисков, чтобы определить, нужны ли они и каким образом их следует реализовывать. Для обеспечения более высокого уровня защиты особенно ценных ресурсов или оказания противодействия особенно серьезным угрозам безопасности, в ряде случаев могут потребоваться более сильные средства контроля, которые выходят за Рамки ISO 17799.

Десять ключевых средств контроля, перечисленные ниже, представляют собой либо обязательные требования, например требования действующего законодательства, либо считаются основными структурными элементами информационной безопасности, например обучение правилам безопасности. Эти средства контроля актуальны для всех организаций и сред функционирования АС и составляют основу системы управления информационной безопасностью.

Ключевыми являются следующие средства контроля:

· документ о политике информационной безопасности;

· распределение обязанностей по обеспечению информационной безопасности;

· обучение и подготовка персонала к поддержанию режима информационной безопасности;

· уведомление о случаях нарушения защиты;

· средства защиты от вирусов;

Подобные документы

Задачи, которые решаются в ходе аудита защищенности информационной системы. Этапы экспертного аудита. Тест на проникновение (пентест) в информационную систему: объекты, этапы. Цели проведения аудита web–приложений. Аудит на соответствие стандартам.

отчет по практике , добавлен 22.09.2011


Доктрина информационной безопасности Российской Федерации. Проверка используемых компанией информационных систем с последующей оценкой рисков сбоев в их функционировании. Закон "О персональных данных". Деление активного аудита на внешний и внутренний.

презентация , добавлен 27.01.2011


Концепция аудита информационных систем, его объекты. Риски, связанные с информационной системой аудируемого лица, их классификация и показатели оценки. Снижение рисков при проведении аудита информационных систем. Источники потенциальных опасностей.

статья , добавлен 05.12.2013


Основные направления деятельности в области аудита безопасности информации как проверки соответствия организации и эффективности защиты информации установленным требованиям и/или нормам. Этапы экспертного аудита. Понятие аудита выделенных помещений.

лекция , добавлен 08.10.2013


Методологические основы аудиторской деятельности. Методы организации проведения аудиторских проверок. Класификация методов аудита. Виды и источники их получения. Методологические подходы к технике проведения аудита. Нормативно-правовые методы аудита.

курсовая работа , добавлен 17.06.2008


Цели аудита качества. Стадии внутреннего аудита. Обеспечение полноты проведения аудита. Технология проведения аудита системы качества. Классификация несоответствий по их значимости. Совещания по взаимодействию группы. Последующие действия после аудита.

реферат , добавлен 26.03.2014


Понятие и виды аудита. Содержание общего плана и программы проведения аудита. Документирование и подготовка общего плана проведения аудиторской проверки. Проверка составления бухгалтерской отчетности. Аудит правильности налоговой политики предприятия.

курсовая работа , добавлен 04.12.2011


Организация информационной инфраструктуры. Анализ уровня информатизации образовательных учреждений. Проблемы, цели и методика проведения аудита ИТ-инфраструктуры. Проведение анализа уровня лицензирования программного обеспечения в учреждении образования.

курсовая работа , добавлен 09.08.2012


Теоретические аспекты аудита основных средств. Понятие аудита и порядок его осуществления по основным средствам. Первичные документы лоя проведения проверки основных средств. Примеры аудита и законодательная база. Обзор методик аудита основных средств.

дипломная работа , добавлен 01.09.2008


Внутренний контроль качества аудита. Требования по обеспечению внутреннего качества работы в ходе аудиторской проверки. Форма и содержание внутренних стандартов аудиторской организации: перечень стандартов, положения о методике проведения аудита.

Согласно Федеральному закону от 30.12.2008 №307-ФЗ «Об аудиторской деятельности», аудит - это «независимая проверка бухгалтерской (финансовой) отчетности аудируемого лица в целях выражения мнения о достоверности такой отчетности». К информационной безопасности данный термин, упомянутый в этом законе, отношения не имеет. Однако так уж сложилось, что специалисты по информационной безопасности достаточно активно его используют в своей речи. В этом случае под аудитом понимается процесс независимой оценки деятельности организации, системы, процесса, проекта или продукта. В тоже время надо понимать, что в различных отечественных нормативных актах термин «аудит информационной безопасности» применяется не всегда - его часто заменяют либо термин «оценка соответствия», либо немного устаревший, но все еще употребляемый термин «аттестация». Иногда еще применяется термин «сертификация», но применительно к международным зарубежным нормативным актам.

Аудит информационной безопасности проводится либо с целью проверки выполнения нормативных актов, либо с целью проверки обоснованности и защищенности применяемых решени

Но какой бы термин не использовался, по сути, аудит информационной безопасности проводится либо с целью проверки выполнения нормативных актов, либо с целью проверки обоснованности и защищенности применяемых решений. Во втором случае аудит носит добровольный характер, и решение о его проведении принимается самой организацией. В первом же случае отказаться от проведения аудита невозможно, та как это влечет за собой нарушение установленных нормативными актами требований, что приводит к наказанию в виде штрафа, приостановлению деятельности или иным формам наказания.
В случае обязательности аудита он может проводиться как самой организацией, например, в форме самооценки (правда, в этом случае о «независимости» уже речи не идет и термин «аудит» применять здесь не совсем правильно), так и внешними независимыми организациями - аудиторами. Третий вариант проведения обязательного аудита - контроль со стороны регулирующих органов, наделенных правом осуществлять соответствующие надзорные мероприятия. Этот вариант чаще называется не аудитом, а инспекционной проверкой.
Так как добровольный аудит может проводиться абсолютно по любому поводу (для проверки защищенности системы ДБО, контроля активов приобретенного банка, проверки вновь открываемого филиала и т.п.), то данный вариант рассматривать не будем. В этом случае невозможно ни четко очертить его границы, ни описать формы его отчетности, ни говорить о регулярности - все это решается договором между аудитором и проверяемой организацией. Поэтому рассмотрим лишь формы обязательного аудита, присущие именно банкам.

Международный стандарт ISO 27001

Иногда можно услышать о прохождении тем или иным банком аудита на соответствие требованиям международного стандарта «ISO/IEC 27001:2005» (его полный российский аналог - «ГОСТ Р ИСО/МЭК 27001-2006 - Информационная технология - Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности - Требования»). По сути, данный стандарт - это набор лучших практик по управлению информационной безопасностью в крупных организациях (небольшие организации, в том числе и банки, не всегда в состоянии выполнить требования этого стандарта в полном объеме).
Как и любой стандарт в России, ISO 27001 - сугубо добровольный документ, принимать который или не принимать решает каждый банк самостоятельно. Но ISO 27001 является стандартом де-факто по всему миру, и специалисты многих стран используют этот стандарт как некий универсальный язык, которым следует руководствоваться, занимаясь информационной безопасностью.

С ISO 27001 связаны и несколько не самых очевидных и не часто упоминаемых моментов

Однако с ISO 27001 связаны и несколько не самых очевидных и не часто упоминаемых моментов. Во-первых, аудиту по данному стандарту подлежит не вся система обеспечения информационной безопасности банка, а только одна или несколько из ее составных частей. Например, система защиты ДБО, система защиты головного офиса банка или система защиты процесса управления персоналом. Иными словами, получение сертификата соответствия на один из оцениваемых в рамках аудита процессов не дает гарантии, что остальные процессы находятся в таком же близком к идеальному состоянию. Второй момент связан с тем, что ISO 27001 является стандартом универсальным, то есть применимым к любой организации, а значит, не учитывающим специфику той или иной отрасли. Это привело к тому, что в рамках международной организации по стандартизации ISO уже давно ведутся разговоры о создании стандарта ISO 27015, который является переложением ISO 27001/27002 на финансовую отрасль. В разработке этого стандарта активное участие принимает и Банк России. Однако Visa и MasterCard против проекта этого стандарта, который уже разработан. Первая считает, что проект стандарта содержит слишком мало нужной для финансовой отрасли информации (например, по платежным системам), а если ее туда добавить, то стандарт надо переносить в другой комитет ISO. MasterCard также предлагает прекратить разработку ISO 27015, но мотивация другая - мол, в финансовой отрасли и так полно регулирующих тему информационной безопасности документов. В-третьих, необходимо обращать внимание, что многие предложения, встречающиеся на российском рынке, говорят не об аудите соответствия, а о подготовке к аудиту. Дело в том, что право проводить сертификацию соответствия требованиям ISO 27001 имеет всего несколько организаций в мире. Интеграторы же всего лишь помогают компаниям выполнить требования стандарта, которые затем будут проверены официальными аудиторами (их еще называют регистраторами, органами по сертификации и т.д.).
Пока продолжаются споры о том, внедрять банкам ISO 27001 или нет, отдельные смельчаки идут на это и проходят 3 стадии аудита соответствия:

• Предварительное неформальное изучение аудитором основных документов (как на территории заказчика аудита, так и вне нее).
• Формальный и более глубокий аудит внедренных защитных мер, оценка их эффективности и изучение разработанных необходимых документов. Этим этапом обычно заканчивается подтверждение соответствия, и аудитор выдает соответствующий сертификат, признаваемый во всем мире.
• Ежегодное выполнение инспекционного аудита для подтверждения ранее полученного сертификата соответствия.

Кому же нужен ISO 27001 в России? Если рассматривать этот стандарт не только как набор лучших практик, которые можно внедрять и без прохождения аудита, но и как процесс сертификации, знаменующий собой подтверждение соответствия банка международным признанным требованиям по безопасности, то ISO 27001 имеет смысл внедрять либо банкам, входящим в международные банковские группы, где ISO 27001 является стандартом, либо банкам, планирующим выход на международную арену. В остальных случаях аудит соответствия ISO 27001 и получение сертификата, на мой взгляд, не нужно. Но только для банка и только в России. А все потому, что у нас есть свои стандарты, построенные на базе ISO 27001.

Де-факто инспекционные проверки Банка России проводились до недавнего времени именно в соответствии с требованиями СТО БР ИББС

Комплекс документов Банка России СТО БР ИББС

Таким стандартом, а точнее набором стандартов, является комплекс документов Банка России, описывающий единый подход к построению системы обеспечения ИБ организаций банковской сферы с учетом требований российского законодательства. В основе данного набора документов (далее СТО БР ИББС), содержащего три стандарта и пять рекомендаций по стандартизации, лежит и ISO 27001 и ряд других международных стандартов по управлению информационными технологиями и информационной безопасностью.
Вопросы аудита и оценки соответствия требованиям стандарта, как и для ISO 27001, прописаны в отдельных документах - «СТО БР ИББС-1.1-2007. Аудит информационной безопасности», «СТО БР ИББС-1.2-2010. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2010» и «РС БР ИББС-2.1-2007. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0».
Во время оценки соответствия по СТО БР ИББС проверяется выполнение 423 частных показателей ИБ, сгруппированных в 34 групповых показателя. Результатом оценки является итоговый показатель, который должен находиться на 4-м или 5-м уровне по пятибалльной шкале, установленной Банком России. Это, кстати, очень сильно отличает аудит по СТО БР ИББС от аудита по другим нормативным актам в области ИБ. В СТО БР ИББС не бывает несоответствия, просто уровень соответствия может быть разный: от нуля до пяти. И только уровни выше 4-го считаются положительными.
По состоянию на конец 2011 года около 70–75% банков внедрили или находятся в процессе внедрения этого набора стандартов. Несмотря ни на что они де-юре носят рекомендательный характер, но де-факто инспекционные проверки Банка России проводились до недавнего времени именно в соответствии с требованиями СТО БР ИББС (хотя явно это никогда и нигде не звучало).
Ситуация изменилась с 1 июля 2012 года, когда в полную силу вступил закон «О национальной платежной системе» и разработанные для его исполнения нормативные документы Правительства России и Банка России. С этого момента вопрос необходимости проведения аудита соответствия требованиям СТО БР ИББС вновь встал на повестке дня. Дело в том, что методика оценки соответствия, предложенная в рамках законодательства о национальной платежной системе (НПС), и методика оценки соответствия СТО БР ИББС могут очень сильно расходиться в итоговых значениях. При этом оценка по первой методике (для НПС) стала обязательной, в то время как оценка по СТО БР ИББС по-прежнему де-юре носит рекомендательный характер. Да и в самом Банке России на момент написания статьи еще не было принято решение о дальнейшей судьбе этой оценки. Если раньше все нити сходились в Главное управление безопасности и защиты информации Банка России (ГУБЗИ), то с разделением полномочий между ГУБЗИ и Департаментом регулирования расчетов (LHH) вопрос пока остается открытым.

Уже сейчас ясно, что законодательные акты о НПС требуют обязательной оценки соответствия, то есть аудита

Законодательство о национальной платежной системе

Законодательство о НПС находится только на заре своего становления, и нас ждет немало новых документов, в том числе и по вопросам обеспечения информационной безопасности. Но уже сейчас ясно, что выпущенное и утвержденное 9-го июня 2012 года Положение 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» требует в п.2.15 обязательной оценки соответствия, то есть аудита. Такая оценка осуществляется либо самостоятельно, либо с привлечением сторонних организаций. Как уже сказано выше, проводимая в рамках 382-П оценка соответствия похожа по своей сути на то, что описано в методике оценки соответствия СТО БР ИББС, но выдает совершенно иные результаты, что связано с вводом специальных корректирующих коэффициентов, которые и определяют отличающиеся результаты.
Никаких особых требований к привлекаемым для аудита организациям положение 382-П не устанавливает, что вступает в некоторое противоречие с Постановлением Правительства от 13 июня 2012 года №584 «О защите информации в платежной системе», которое также требует организации и проведения контроля и оценки выполнения требований к защите информации один раз в 2 года. Однако Постановление Правительства, разработанное ФСТЭК, требует, чтобы внешний аудит проводился только организациями, имеющей лицензию на деятельность по технической защите конфиденциальной информации.
Дополнительные требования, которые сложно отнести к одной из форм аудита, но которые накладывают на банки новые обязанности, перечислены в разделе 2.16 Положения 382-П. Согласно этим требованиям оператор платежных систем обязан разработать, а банки, присоединившиеся к этой платежной системе, обязаны выполнять, требования по регулярному информированию оператора платежной системы о различных вопросах информационной безопасности в банке: о выполнении требований по защите информации, о выявленных инцидентах, о проведенных самооценках, о выявленных угрозах и уязвимостях.
Дополнительно к аудиту, проводимому на договорной основе, ФЗ-161 о НПС также устанавливает, что контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в 584-м Постановлении и Банком России в 382-м Положении, осуществляются ФСБ ФСТЭК и Банком России соответственно. На момент написания статьи ни ФСТЭК, ни ФСБ не имели разработанного порядка проведения такого надзора, в отличие от Банка России, который выпустил Положение от 31 мая 2012 года №380-П «О порядке осуществления наблюдения в национальной платежной системе» (для кредитных организаций) и Положение от 9 июня 2012 года №381-П «О порядке осуществления надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального Закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе», принятых в соответствии с ним нормативных актов Банка России».
Нормативные акты в области защиты информации в национальной платежной системе находятся только в начале подробной разработки. С 1 июля 2012 года Банк России начал их апробацию и сбор фактов по правоприменительной практике. Поэтому сегодня преждевременно говорить о том, как будут применяться эти нормативные акты, как будет проводиться надзор по 380-П, какие выводы будут делаться по итогам самооценки, проводимой раз в 2 года и отправляемой в Банк России.

Стандарт безопасности платежных карт PCI DSS

Payment Card Industry Data Security Standard (PCI DSS) - стандарт безопасности данных платежных карт, разработанный Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), который был учрежден международными платежными системами Visa, MasterCard, American Express, JCB и Discover. Стандарт PCI DSS представляет собой совокупность 12 высокоуровневых и свыше 200 детальных требований по обеспечению безопасности данных о держателях платежных карт, которые передаются, хранятся и обрабатываются в информационных системах организаций.

Требования стандарта распространяются на все компании, работающие с международными платежными системами Visa и MasterCard. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определенный уровень с соответствующим набором требований, которые эти компании должны выполнять. Эти уровни отличаются в зависимости от платежной системы.

Успешное прохождение аудита еще не означает, что с безопасностью в банке все хорошо - существует множество уловок, позволяющих проверяемой организации скрыть какие-то недочеты в своей системе защиты

Проверка выполнения требований стандарта PCI DSS осуществляется в рамках обязательной сертификации, требования к которой отличаются в зависимости от типа проверяемой компании - торгово-сервисное предприятие, принимающее платежные карты за оплату товаров и услуг, или поставщик услуг, оказывающий услуги торгово-сервисным предприятиям, банкам-эквайерам, эмитентам и т.п. (процессинговые центры, платежные шлюзы и т.п.). Такая оценка может осуществляться в разных формах:

• ежегодные аудиторские проверки с помощью аккредитованных компаний, имеющих статус Qualified Security Assessors (QSA);
• ежегодное проведение самооценки;
• ежеквартальное сканирование сетей с помощью уполномоченных организаций, имеющих статус Approved Scanning Vendor (ASV).

Законодательство о персональных данных

Последний нормативный документ, также имеющий отношение к банковской индустрии и устанавливающий требования по оценке соответствия, - Федеральный закон «О персональных данных». Однако ни форма такого аудита, ни его периодичность, ни требования к организации, проводящей такой аудит, пока не установлены. Возможно, этот вопрос будет снят осенью 2012 года, когда выйдет очередная порция документов Правительства РФ, ФСТЭК и ФСБ, вводящих новые нормативы в области защиты персональных данных. Пока же банки могут спать спокойно и самостоятельно определять особенности аудита вопросов защиты персональных данных.
Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных 19-й статьей 152-ФЗ, осуществляются ФСБ и ФСТЭК, но только для государственных информационных систем персональных данных. Контроль коммерческих организаций в области обеспечения информационной безопасности персональных данных пока осуществлять по закону некому. Чего не скажешь о вопросах защиты прав субъектов персональных данных, то есть клиентов, контрагентов и просто посетителей банка. Эту задачу взял на себя Роскомнадзор, который очень активно осуществляет свои надзорные функции и считает банки одними из злостных нарушителей закона о персональных данных.

Заключительные положения

Выше рассмотрены основные нормативные акты в области информационной безопасности, касающиеся кредитных организаций. Этих нормативных актов немало, и каждый из них устанавливает свои требования по проведению оценки соответствия в той или иной форме - от самооценки в виде заполнения опросных листов (PCI DSS) до прохождения обязательного аудита один раз в два года (382-П) или один раз в год (ISO 27001). Между этими самыми распространенными формами оценки соответствия существуют и другие - уведомления оператора платежной системы, ежеквартальные сканирования и т.п.

Стоит также помнить и понимать, что в стране до сих пор отсутствует единая система взглядов не только на государственное регулирование процессов аудита информационной безопасности организаций и систем информационных технологий, но и вообще саму тему аудита информационной безопасности. В Российской Федерации существует целый ряд ведомств и организаций (ФСТЭК, ФСБ, Банк России, Роскомнадзор, PCI SSC и т.п.), ответственных за информационную безопасность. И все они действуют на основании своих собственных нормативных документов и руководств. Разные подходы, разные стандарты, разные уровни зрелости… Все это мешает установлению единых правил игры. Картину портит и появление фирм-однодневок, которые в погоне за прибылью предлагают очень некачественные услуги в области оценки соответствия требованиям по информационной безопасности. И к лучшему ситуация вряд ли изменится. Раз есть потребность, то будут и желающие ее удовлетворить, в то время как на всех квалифицированных аудиторов просто не хватит. При небольшом их числе (показано в таблице) и длительности аудита от нескольких недель до нескольких месяцев очевидно, что потребности в аудите серьезно превышают возможности аудиторов.
В так и не принятой ФСТЭК «Концепции аудита информационной безопасности систем информационных технологий и организаций» была такая фраза: «в то же время в отсутствие необходимых национальных регуляторов такая деятельность /по нерегулируемому законодательством аудиту со стороны частных фирм/ может нанести непоправимый вред организациям». В заключение, авторы Концепции предлагали унифицировать подходы к аудиту и законодательно установить правила игры, включая правила аккредитации аудиторов, требования к их квалификации, процедуре проведения аудита и т.п., но воз и ныне там. Хотя, учитывая то внимание, которое отечественные регуляторы в области информационной безопасности (а у нас их 9) уделяют вопросам защиты информации (только за прошедший календарный год было принято или разработано 52 нормативных акта по вопросам информационной безопасности - один нормативный акт в неделю!), не исключаю, что к этой теме вскоре вновь вернутся.

СТАНДАРТЫ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В таких условиях, к сожалению, приходится признавать, что основная цель аудита информационной безопасности банка - повышение доверия к его деятельности - в России недостижима. У нас мало кто из клиентов банка обращает внимание на уровень его безопасности или на результаты проведенного в банке аудита. К аудиту у нас обращаются либо в случае выявления очень серьезного инцидента, приведшего к нанесению серьезного материального ущерба банку (или его акционерам и владельцам), либо в случае законодательных требований, которых у нас, как было показано выше, немало. И на ближайшие полгода требованием №1, ради которого стоит обратить свое внимание на аудит безопасности, является положение Банка России 382-П. Уже есть первые прецеденты запроса со стороны территориальных управлений ЦБ сведений об уровне защищенности банков и выполнении требований 382-П, а получаются эти сведения именно в результате внешнего аудита или проведенной самооценки. На второе место я бы поставил аудит выполнения требований закона «О персональных данных». Но проводить такой аудит стоит не раньше весны, когда будут выпущены все обещанные ФСТЭК и ФСБ документы и когда станет понятная судьба СТО БР ИББС. Тогда же можно будет поднять и вопрос проведения аудита соответствия требованиям СТО БР ИББС. Уже станет понятным не только будущее комплекса документов Банка России, но и его статус по отношению к похожему, но все-таки отличному 382-П, а также по-прежнему ли будет СТО БР ИББС покрывать вопросы защиты персональных данных.
Успешное прохождение аудита еще не означает, что с безопасностью в банке все хорошо - существует множество уловок, позволяющих проверяемой организации скрыть какие-то недочеты в своей системе защиты. Да и от квалификации и независимости аудиторов зависит очень многое. Опыт прошедших лет показывает, что даже в организациях, успешно прошедших аудит соответствия стандартам PCI DSS, ISO 27001 или СТО БР ИББС, бывают инциденты, и инциденты серьезные.

Большинство современных предприятий и организаций стремятся обезопасить себя от утечки коммерческой информации, однако в век высоких технологий реализовать это крайне сложно. Надёжная защита информации является фундаментом эффективной работы любой организации. Выбор остаётся за Вами - реализовать эффективную модель работы предприятия или терять прибыль, лишаться ценных кадров и дарить своих клиентов конкурентам.

В наши дни существует ряд охранных систем, реализующих информационную безопасность (ИБ), но для того, чтобы проверить эффективность их работы, необходимо проведение аудита безопасности информационных систем, который позволит выявить, ликвидировать бреши внутри структуры организации и предотвратить появление подобных проблем в будущем. Он представляет собой независимую оценку состояния системы на предмет соответствия установленным требованиям, и проводится в отношении налоговой и бухгалтерской отчётности, финансово-хозяйственной деятельности и экономического обеспечения.

Многолетняя практика нашей компании показывает, что формальный подход к информационной «обороне» оборачивается для организаций предельной беззащитностью перед конкретными угрозами. Мы доверяем только практике, тщательно анализируя защищённость бизнес-процессов, обнаруживая уязвимости в системах и давая клиентам объективное представление о них.

Оказание услуг по защите информации от «Зеонит»: наши преимущества

• Предотвращение хакерских атак. Тысячи хакеров систематически взламывают сервера организаций ради развлечения, корысти или тренировки. Важно своевременно обезопасить предприятие от утечки конфиденциальной информации.
• Доскональная аналитика. На основе аналитики наши эксперты разрабатывают эффективную стратегию контроля информационных систем. Мы понимаем уязвимости IT-инфраструктур любой специфики и масштаба, и каков бы ни был размер Вашей компании, мы реализуем индивидуальный подход и высококлассную экспертизу с гарантией полной конфиденциальности.
• Формат «под ключ». Обращаясь к нам, Вы получаете комплексный подход: мы выявляем слабые места внутри информационной системы Вашей компании, возможные проблемы и риски, и на выходе предлагаем готовые пути их ликвидации.
• Компетентные эксперты. В команде «Зеонит» работают профессионалы в области ИБ, квалификация и опыт работы которых имеет документальное подтверждение. Глубоко погружаясь в логику работы систем, мы обнаруживаем даже самые неочевидные риски и предлагаем варианты их устранения. Именно поэтому наши специалисты предлагают самые эффективные и перспективные решения.
• Обеспечение ИБ для организации любого уровня. Мы предоставляем услуги как государственным предприятиям и банковским структурам, так и коммерческим организациям, учитывая потребности в каждом отдельном случае.
• Понятное резюме. Мы формируем отчёт на доступном языке, с подробным описанием рисков и набором практических рекомендаций для технических специалистов компании.
• Внедрение передовых технологий. В рамках реализации ИБ нашей целью является внедрение самых современных технологий и свежих решений, подтвержденных международными сертификатами. Помимо всего, мы успешно реализуем и собственные разработки.

Стоит помнить, что хорошо защищённая информационная система - это залог успешной и прибыльной работы любого предприятия. Обращайтесь к нам и заказывайте профессиональный аудит уже сегодня.

Зачем нужен аудит ИБ

Комплексный аудит ИБ

Тест на проникновение

Экспресс аудит ИБ

Зачем нужен аудит информационной безопасности

Информационная безопасность (ИБ) – фундамент любого предприятия, без применения которого невозможно построить надежную структуру организации. Выбор за Вами: получить эталонную защиту, или продолжать дарить клиентов своим конкурентам, терять существенную прибыль и ценные кадры. Аудит информационной безопасности позволит выявить, устранить и предупредить появление брешей внутри структуры Вашего предприятия.

6 причин, доверить проведение аудита нашей компании

Защита от хакерских атак

На скрытых форумах общаются тысячи хакеров, которые взламывают сервера предприятий для забавы, корыстных целей или ради тренировки. Крупные организации подвергаются хакерским атакам регулярно.

Аналитический подход

Наши эксперты проводят глубокий аудит с предоставлением полного отчета по обследованным системам. На основе аналитики разрабатывается наиболее эффективная стратегия обеспечения бесперебойного контроля над безопасной работой с информацией.

Сервис в формате «под ключ»

Обращаясь к нам, Вы получаете исчерпывающий перечень услуг в сегменте ИБ. Выявим слабые места внутри вашей информационной системы, оценим возможные проблемные места, риски и предложим готовые решения для их полного устранения.

Экспертный консалтинг

Получите консультацию ведущих экспертов «ЗЕОНИТ»: оценка возможных проблемных участков и рисков, расчет инвестиций в информационную безопасность, варианты готовых решений, советы по постройке надежной защиты.

Компетентные специалисты

В нашей команде работают ведущие консультанты в сфере информационной безопасности, квалификация которых подтверждена сертификатами. Именно поэтому специалисты «ЗЕОНИТ» предлагают самые эффективные решения.

Полное погружение

Не существует единого стандарта информационной безопасности, поэтому при заказе аудита наши эксперты учитывают особенности именно Вашей организации, чтобы построить защиту действительно эталонного уровня.

Приоритетная направленность наших услуг

Мы работаем с множеством предприятий различного масштаба, как с банками и другими государственными структурами, так и коммерческими организациями.

Обеспечение ИБ для коммерческих организаций

• Контроль и предоставление сотрудникам доступа различного уровня к данным предприятия;
• Отслеживание и управление репутацией компании в сети;
• Создание корпоративной тайны и сбережение корпоративной информации от посягательств конкурентов.

Обеспечение ИБ для госпредприятий и банковских структур

• Проверка на соответствие ИБ ГОСТ стандартам;
• Оптимизация технологий под масштабы организации;
• Оценка экспертами степени безопасности систем автоматизации и менеджмента.

Обеспечение ИБ банковских организаций

• Системы управления рисками;
• Создание и приведение к актуальности стандартов под требования Банка России;

Выявление и устранение информационных утечек по вине сотрудников и клиентов

Проведение аудита настоятельно рекомендуется в случаях смены руководства или структуры организации, а также для актуализации требований под действующее законодательство. Необходимо понимать, что хорошо обособленная и защищенная информационная система - это надежная опора любого предприятия. Свяжитесь с нами уже сегодня, и закажите профессиональный аудит ИБ прямо сейчас.

Основной целью нашей организации в рамках внедрения первичных систем безопасности информации, является укоренение передовых технологий по информационной защите внутри бизнес процессов своих клиентов. Для ее исполнения мы используем множество новых и полезных решений, прошедших сертификацию у мировых лидеров по разработке ПО. Кроме того, мы имеем собственные успешные разработки, не уступающие большинству европейских и американских образцов. Специалисты нашей компании ясно понимают, какие именно сегменты рынка безопасности будут востребованы в ближайшие годы, поэтому мы с имеем возможность с уверенностью смотреть в будущее, зная, какие бизнес – процессы не потеряют своей актуальности еще долгое время. Опираясь на наших постоянных партнеров, мы продолжаем развитие нашей компании, точно зная, что всегда сможем принести пользу окружающему миру.

Каждый заказчик получает от нас особое внимание, и мы, учитывая все особенности его бизнеса, предлагаем ему проект, имеющий максимальную эффективность с экономической и технической точки зрения, согласно которому, после согласования, мы строим всю последующую работу.

Согласно концепции комплексного подхода, к решению всех вопросов нашего клиента, мы можем гарантировать и качественный охват всех поставленных задач.

Проведение аудита настоятельно рекомендуется в случаях смены руководства или структуры организации, а также для актуализации требований под действующее законодательство. Защищенная информационная система, это надежная опора любого предприятия. Свяжитесь с нами уже сегодня, и закажите профессиональный аудит ИБ прямо сейчас.

Комплексный аудит информационной безопасности

Когда нужен действительно компетентный аудит информационной безопасности (ИБ), выбирают «ЗЕОНИТ». Наши эксперты проведут полноценную аналитику, объективно оценят степень защищенности систем и дадут экспертное заключение о состоянии инфраструктуры Вашей организации

6 главных причин, почему выбирают нашу компанию

Независимая оценка

Привлечение внешних консультантов компании «ЗЕОНИТ» позволит получить объективную оценку информационной безопасности Вашего предприятия. С нами, Вы узнаете реальную картину состояния инфраструктуры, а также получите ценные рекомендации специалистов.

Экспертный консалтинг

Помимо выявления дыр в системе безопасности, наши эксперты предложат стратегию предотвращения появления новых проблем, а также проконсультируют по внедрению необходимых средств защиты.

Услуги в формате «под ключ»

Комплексный аудит от нашей компании подразумевает проведение пентестов, аналитики состояния информационных систем и онлайн безопасности. В итоге, Вы будете в курсе актуального состояния как внутренних, так и внешних ресурсов информационной безопасности.

Исключительно индивидуальный подход

Мы предлагаем решения, которые адаптированы под реалии и особенности Вашей организации. Состав и специализация наших работ обговариваются с клиентом индивидуально.

Реальные бюджеты

Наши цены на 10-12% ниже среднерыночной стоимости. При этом, в комплекс наших услуг входит оценка и грамотное планирование бюджета на оптимизацию информационной безопасности.

Предлагаем эффективные решения

Разработаем план мероприятий по усовершенствованию безопасности информационных систем, а также предложим эффективные решения по устранению обнаруженных недостатков.

Как проводится комплексный аудит

• Изучение особенностей организации, исследование действующих методологий и решений информационной безопасности;
• Аналитика существующей структуры, выявление наиболее значимых компонентов;
• Оценка конфигурации используемых средств защиты и элементов инфраструктуры, определение соответствия информационной системы актуальным требованиям безопасности;
• Проведение пентестов;
• Независимая оценка рисков взлома или сбоя в системе информационной безопасности;
• Подготовка подробной отчетности о текущем состоянии ИБ;
• Составление рекомендаций по улучшению степени информационной безопасности, которые могут быть адаптированы под особенности Вашей организации.

Остались вопросы? Свяжитесь с нами прямо сейчас, и Вас СОВЕРШЕННО БЕСПЛАТНО проконсультирует ведущий эксперт компании «ЗЕОНИТ». Спешите, наши цены временно снижены.

Тестирование на проникновение в Москве

Одна из довольно популярных и востребованных услуг в области безопасности информации, которые предоставляет наша компания – так называемое тестирование на проникновение . Это довольно популярная во всём мире услуга, которая заключается в попытке обойти защитный комплекс мер вашей информационной системы с целью выявления ее слабых и уязвимых деталей. На протяжение всего времени тестирования , специалист ведет себя как злоумышленник, пытающийся совершить проникновение к данным клиента. Проще говоря, аудитор ведет санкционированную хакерскую атаку, проверяя тем самым уязвимость системы заказчика к подобным посягательствам извне.

Как правило, совершающий атаку специалист в большинстве случаев добивается своих результатов, проникая в тестируемую внутреннюю сеть компании заказчика. Как показывает практика, порядка 20% уязвимостей высокой степени можно выявить уже в процессе сбора информации о компании из официальных источников, в том числе и из социальных сетей персонала. То есть при отсутствии у большинства сотрудников информационной дисциплины, можно с высокой долей вероятности сказать, что ваша коммерческая тайна несет большие риски. Более сложный, комбинированный тест с применением инженерных средств, является еще более эффективным и дает порядка 70% положительных результатов на проникновение. После окончания проверки все риски и слабые места системы безопасности заносятся в подробный отчёт и демонстрируются заказчику, после чего следует этап исправления ошибок и внедрения инструкций по элементарным основам безопасности.

Этап сбора информации аудита, является наиболее сложным и длительным. Это связано с отсутствием необходимой документации на информационную систему и с необходимостью плотного взаимодействия аудитора со многими должностными лицами организации.

Компетентные выводы относительно положения дел в компании с информационной безопасностью могут быть сделаны аудитором только при условии наличия всех необходимых исходных данных для анализа. Получение информации об организации, функционировании и текущем состоянии ИС осуществляется аудитором в ходе специально организованных интервью с ответственными лицами компании, путем изучения технической и организационно-распорядительной документации, а также исследования ИС с использованием специализированного программного инструментария. Остановимся на том, какая информация необходима аудитору для анализа.

Обеспечение информационной безопасности организации – это комплексный процесс, требующий четкой организации и дисциплины. Он должен начинаться с определения ролей и распределения ответственности среди должностных лиц, занимающихся информационной безопасностью. Поэтому первый пункт аудиторского обследования начинается с получения информации об организационной структуре пользователей ИС и обслуживающих подразделений. В связи с этим аудитору требуется следующая документация:

· Схема организационной структуры пользователей;

· Схема организационной структуры обслуживающих подразделений.

Обычно, в ходе интервью аудитор задает опрашиваемым следующие вопросы:

· Кто является владельцем информации?

· Кто является пользователем (потребителем) информации?

· Кто является провайдером услуг?

Назначение и принципы функционирования ИС во многом определяют существующие риски и требования безопасности, предъявляемые к системе. Поэтому на следующем этапе аудитора интересует информация о назначении и функционировании ИС. Аудитор задает опрашиваемым примерно следующие вопросы:

· Какие услуги и каким образом предоставляются конечным пользователям?

· Какие основные виды приложений, функционирует в ИС?

· Количество и виды пользователей, использующих эти приложения?

Ему понадобиться также следующая документация, конечно, если таковая вообще имеется в наличие (что, вообще говоря, случается нечасто):

· Функциональные схемы;

· Описание автоматизированных функций;

· Описание основных технических решений;

· Другая проектная и рабочая документация на информационную систему.

Далее, аудитору требуется более детальная информация о структуре ИС. Это позволит уяснить, каким образом осуществляется распределение механизмов безопасности по структурным элементам и уровням функционирования ИС. Типовые вопросы, которые обсуждаются в связи с этим во время интервью, включают в себя:

· Из каких компонентов (подсистем) состоит ИС?

· Функциональность отдельных компонент?

· Где проходят границы системы?

· Какие точки входа имеются?

· Как ИС взаимодействует с другими системами?

· Какие каналы связи используются для взаимодействия с другими ИС?

· Какие каналы связи используются для взаимодействия между компонентами системы?

· По каким протоколам осуществляется взаимодействие?

· Какие программно-технические платформы используются при построении системы?

На этом этапе аудитору необходимо запастись следующей документацией:

· Структурная схема ИС;

· Схема информационных потоков;

· Описание структуры комплекса технических средств информационной системы;

· Описание структуры программного обеспечения;

· Описание структуры информационного обеспечения;

· Размещение компонентов информационной системы.

Подготовка значительной части документации на ИС, обычно, осуществляется уже в процессе проведения аудита. Когда все необходимые данные по ИС, включая документацию, подготовлены, можно переходить к их анализу.

Анализ данных аудита

Используемые аудиторами методы анализа данных определяются выбранными подходами к проведению аудита, которые могут существенно различаться.

Первый подход, самый сложный, базируется на анализе рисков. Опираясь на методы анализа рисков, аудитор определяет для обследуемой ИС индивидуальный набор требований безопасности, в наибольшей степени учитывающий особенности данной ИС, среды ее функционирования и существующие в данной среде угрозы безопасности. Данный подход является наиболее трудоемким и требует наивысшей квалификации аудитора. На качество результатов аудита, в этом случае, сильно влияет используемая методология анализа и управления рисками и ее применимость к данному типу ИС.

Второй подход, самый практичный, опирается на использование стандартов информационной безопасности. Стандарты определяют базовый набор требований безопасности для широкого класса ИС, который формируется в результате обобщения мировой практики. Стандарты могут определять разные наборы требований безопасности, в зависимости от уровня защищенности ИС, который требуется обеспечить, ее принадлежности (коммерческая организация, либо государственное учреждение), а также назначения (финансы, промышленности, связь и т.п.). От аудитора в данном случае требуется правильно определить набор требований стандарта, соответствие которым требуется обеспечить для данной ИС. Необходима также методика, позволяющая оценить это соответствие. Из-за своей простоты (стандартный набор требований для проведения аудита уже заранее определен стандартом) и надежности (стандарт - есть стандарт и его требования никто не попытается оспорить), описанный подход наиболее распространен на практике (особенно при проведении внешнего аудита). Он позволяет при минимальных затратах ресурсов делать обоснованные выводы о состоянии ИС.

Третий подход, наиболее эффективный, предполагает комбинирование первых двух. Базовый набор требований безопасности, предъявляемых к ИС, определяется стандартом. Дополнительные требования, в максимальной степени учитывающие особенности функционирования данной ИС, формируются на основе анализа рисков. Этот подход является намного проще первого, т.к. большая часть требований безопасности уже определена стандартом, и, в то же время, он лишен недостатка второго подхода, заключающего в том, что требования стандарта могут не учитывать специфики обследуемой ИС.

Многие бизнесмены пытаются сохранить секрет своей фирмы в тайне. Так как на дворе век высоких технологий, сделать это достаточно сложно. Практически все пытаются обезопасить себя от утечки корпоративной и личной информации, однако не секрет, что профессионалу не составит труда узнать необходимые данные. На данный момент существует достаточно много методов, ограждающих от подобных атак. Но чтобы проверить эффективность работы подобной охранной системы, необходимо проведение аудита информационной безопасности.

Что такое аудит?

Согласно ФЗ «Об аудиторской деятельности», аудит включает в себя различные методы и способы, а также практическое выполнение проверок. В отношении информационной безопасности предприятия он представляет собой независимую оценку состояния системы, а также уровень её соответствия установленным требованиям. Экспертизы проводятся относительно бухгалтерской и налоговой отчетности, экономического обеспечения и финансово-хозяйственной деятельности.

Для чего нужна такая проверка?

Некоторые считают такую деятельность пустой тратой средств. Однако, своевременно определив проблемы в этом секторе, можно предупредить еще большие экономические потери. Цели аудита информационной безопасности заключаются в следующем:

• определение уровня защиты и доведение его до необходимого;
• урегулирование финансового вопроса в плане обеспечения конфиденциальности организации;
• демонстрация целесообразности вложений в данный сектор;
• получение максимальной выгоды от затрат на безопасность;
• подтверждение эффективности внутренних сил, средств контроля и их отражение на ведении предпринимательской деятельности.

Как производится проверка информационной безопасности на предприятии?

Комплексный аудит информационной безопасности проходит в несколько этапов. Процесс делится на организационный и инструментарный. В рамках обеих частей комплекса происходит исследование защищенности корпоративной информационной системы заказчика, а затем - определение соответствия установленным нормам и требованиям. Проведение аудита информационной безопасности разделяется на следующие стадии:

1. Определение требований заказчика и выполняемого объема работ.
2. Изучение необходимых материалов и вынесение выводов.
3. Анализ возможных рисков.
4. Экспертное заключение по проделанной работе и вынесение соответствующего вердикта.

Что входит в первый этап аудита информационной безопасности?

Программа аудита информационной безопасности начинается именно с уточнения объема работ, которые требуются заказчику. Клиент выражает свое мнение и цель, преследуя которую он и обратился для проведения экспертной оценки.

На данной стадии уже начинается проверка общих данных, которые предоставляет заказчик. Ему описывают методы, которые будут использованы, и планирующийся комплекс мероприятий.

Главной задачей на данном этапе является постановка конкретной цели. Клиент и организация, проводящая аудит, должны понимать друг друга, сойтись в едином мнении. После формируется комиссия, в состав которой подбираются соответствующие специалисты. С заказчиком отдельно согласовывается также требуемое техническое задание.

Казалось бы, данное мероприятие должно лишь в общих чертах обрисовать состояние системы, защищающей от информационных атак. Но конечные результаты проверки могут быть разными. Одних интересует полная информация о работе защитных средств фирмы заказчика, а других - лишь эффективность работы отдельных информационно-технологических линий. Именно от требований и зависит выбор методов и средств проведения оценки. Постановка цели влияет и на дальнейший ход работы экспертной комиссии.

Кстати, рабочая группа состоит из специалистов двух организаций - фирмы, исполняющей аудит, и сотрудников проверяемой организации. Ведь именно последние, как никто другой, знают тонкости своего учреждения и могут предоставить всю необходимую для комплексной оценки информацию. Также они проводят своеобразный контроль работы сотрудников фирмы-исполнителя. Их мнение учитывается и при вынесении результатов проверки.

Эксперты фирмы, проводящей аудит информационной безопасности предприятия, занимаются исследованием предметных областей. Они, имея соответствующий квалификационный уровень, а также независимое и непредвзятое мнение, способны с большей точностью оценить состояние работы защитных средств. Эксперты ведут свою деятельность согласно намеченному плану работ и поставленным задачам. Они разрабатывают технические процессы и согласуют между собой полученные результаты.

Техническое задание четко фиксирует цели работы компании-аудитора, определяет методы его осуществления. В нем прописаны также сроки проведения проверки, возможно даже, что каждый этап будет иметь свой период.

На этой стадии происходит налаживание контакта и со службой безопасности проверяемого учреждения. Фирма-аудитор дает обязательство о неразглашении полученных результатов проверки.

Как происходит реализация второго этапа?

Аудит информационной безопасности предприятия на второй стадии представляет собой развернутый сбор необходимой для оценки информации. Для начала рассматривается общий комплекс мер, которые направлены на реализацию политики конфиденциальности.

Так как сейчас большая часть данных дублируется в электронном варианте или вообще свою деятельность фирма осуществляет лишь при помощи информационных технологий, то под проверку попадают и программные средства. Анализируется и обеспечение физической безопасности.

На этом этапе специалисты занимаются тем, что рассматривают и оценивают то, как происходит обеспечение и аудит информационной безопасности внутри учреждения. Для этого анализу поддается организация работы системы защиты, а также технические возможности и условия её обеспечения. Последнему пункту уделяется особое внимание, так как мошенники чаще всего находят пробоины в защите именно через техническую часть. По этой причине отдельно рассматриваются следующие моменты:

• структура программного обеспечения;
• конфигурация серверов и сетевых устройств;
• механизмы обеспечения конфиденциальности.

Аудит информационной безопасности предприятия на этом этапе завершается подведением итогов и выражением результатов о проделанной работе в форме отчета. Именно документально оформленные выводы ложатся в основу реализации следующих стадий аудита.

Как анализируются возможные риски?

Аудит информационной безопасности организаций проводится также с целью выявления реальных угроз и их последствий. По окончании этого этапа должен сформироваться перечень мероприятий, которые позволят избежать или хотя бы минимизировать возможность информационных атак.

Чтобы предотвратить нарушения, касающиеся конфиденциальности, необходимо проанализировать отчет, полученный в конце предыдущего этапа. Благодаря этому можно определить, возможно ли реальное вторжение в пространство фирмы. Выносится вердикт о надежности и работоспособности действующих технических защитных средств.

Так как все организации имеют различные направления работы, то и перечень требований к безопасности не может быть идентичен. Для проверяемого учреждения разрабатывается список в индивидуальном порядке.

На этом этапе также определяются слабые места, клиенту предоставляются данные о потенциальных злоумышленниках и нависающих угрозах. Последнее необходимо для того, чтобы знать, с какой стороны ждать подвоха, и уделить этому больше внимания.

Заказчику также важно знать, насколько действенными окажутся нововведения и результаты работы экспертной комиссии.

Анализ возможных рисков преследует следующие цели:

• классификация источников информации;
• определение уязвимых моментов рабочего процесса;
• составление прототипа возможного мошенника.

Анализ и аудит позволяют определить, насколько возможна успешность информационных атак. Для этого оценивается критичность слабых мест и способы пользования ими в незаконных целях.

В чем заключается последний этап аудита?

Завершающая стадия характеризуется письменным оформлением результатов работы. Документ, который получается на выходе, называется аудиторским отчетом. Он закрепляет вывод об общем уровне защищенности проверяемой фирмы. Отдельно идет описание эффективности работы информационно-технологической системы в отношении безопасности. Отчет дает указания и о потенциальных угрозах, описывает модель возможного злоумышленника. Также в нем прописываются возможности несанкционированного вторжения за счет внутренних и внешних факторов.

Стандарты аудита информационной безопасности предусматривают не только оценку состояния, но и дачу рекомендаций экспертной комиссии на проведение необходимых мероприятий. Именно специалисты, которые провели комплексную работу, проанализировали информационную инфраструктуру, могут сказать, что необходимо делать для того, чтобы защититься от кражи информации. Они укажут на те места, которые нужно усилить. Эксперты дают указания и в отношении технологического обеспечения, то есть оборудования, серверов и межсетевых экранов.

Рекомендации представляют собой те изменения, которые необходимо произвести в конфигурации сетевых устройств и серверов. Возможно, указания будут касаться непосредственно выбранных методов обеспечения безопасности. Если это потребуется, то эксперты пропишут комплекс мер, направленных на дополнительное усиление механизмов, обеспечивающих защиту.

В компании также должна быть проведена специальная разъяснительная работа, выработана политика, направленная на конфиденциальность. Возможно, должны быть проведены реформы в отношении службы безопасности. Немаловажным моментом является и нормативно-техническая база, которая обязана закреплять положения о безопасности фирмы. Коллектив необходимо проинструктировать должным образом. Между всеми работниками делятся сферы влияния и возлагаемая ответственность. Если это целесообразно, то лучше провести курс для повышения образованности коллектива в отношении информационной безопасности.

Какие существуют виды аудита?

Аудит информационной безопасности предприятия может иметь два вида. В зависимости от источника осуществления данного процесса можно выделить следующие типы:

1. Внешняя форма. Она отличается тем, что имеет одноразовый характер. Второй её особенностью является то, что производится она посредством независимых и непредвзятых экспертов. Если она носит рекомендательный характер, то производится по заказу владельца учреждения. В некоторых случаях проведение внешнего аудита обязательно. Это может быть обусловлено типом организации, а также чрезвычайными обстоятельствами. В последнем случае инициаторами подобной проверки, как правило, становятся правоохранительные органы.
2. Внутренняя форма. Она основывается на специализированном положении, которое прописывает ведение аудита. Внутренний аудит информационной безопасности необходим для того, чтобы постоянно проводить мониторинг системы и выявлять уязвимые места. Он представляет собой перечень мероприятий, которые проводятся в установленный период времени. Для этой работы чаще всего учрежден специальный отдел или уполномоченный сотрудник. Он проводит диагностику состояния защитных средств.

Как проводится активный аудит?

В зависимости от того, какую цель преследует заказчик, избираются и методы аудита информационной безопасности. Одним из самых распространенных способов исследования уровня защищенности является активный аудит. Он представляет собой постановку реальной хакерской атаки.

Плюсом такого метода является то, что он позволяет максимально реалистично смоделировать возможность угрозы. Благодаря активному аудиту можно понять, как будет развиваться аналогичная ситуация в жизни. Такой способ еще именуют инструментальным анализом защищенности.

Суть активного аудита заключается в осуществлении (с помощью специального программного обеспечения) попытки несанкционированного вторжения в информационную систему. При этом защитные средства должны находиться в состоянии полной готовности. Благодаря этому возможно оценить их работу в подобном случае. Человеку, который осуществляет искусственную хакерскую атаку, предоставляется минимум информации. Это необходимо для того, чтобы воссоздать максимально реалистичные условия.

Систему пытаются подвергнуть как можно большему количеству атак. Применяя разные методы, можно оценить те способы взлома, которым система наиболее подвержена. Это, конечно, зависит от квалификации специалиста, проводящего данную работу. Но его действия не должны носить какого-либо деструктивного характера.

В конечном итоге эксперт формирует отчет о слабых местах системы и сведениях, которые являются наиболее доступными. Он также предоставляет рекомендации по возможной модернизации, которая должна гарантировать повышение защищенности до должного уровня.

В чем заключается экспертный аудит?

Чтобы определить соответствие фирмы установленным требованиям, также проводится аудит информационной безопасности. Пример такой задачи можно увидеть в экспертном методе. Он заключается в сравнительной оценке с исходными данными.

Та самая идеальная работа средств защиты может основываться на различных источниках. Предъявлять требования и ставить задачи может и сам клиент. Руководитель фирмы, возможно, желает знать, насколько далеко находится уровень безопасности его организации от желаемого.

Прототипом, относительно которого будет проведена сравнительная оценка, могут быть и общепризнанные мировые стандарты.

Согласно ФЗ «Об аудиторской деятельности», у фирмы-исполнителя достаточно полномочий для того, чтобы произвести сбор соответствующей информации и сделать вывод о достаточности существующих мер по обеспечении информационной безопасности. Оценивается также непротиворечивость нормативных документов и действий сотрудников в отношении работы средств защиты.

В чем заключается проверка на соответствие стандартам?

Данный вид очень схож с предыдущим, так как его сутью также является сравнительная оценка. Но только в этом случае идеальным прототипом является не абстрактное понятие, а четкие требования, закрепленные в нормативно-технической документации и стандартах. Однако тут также определяется степень соответствия уровню, заданному политикой конфиденциальности компании. Без соответствия этому моменту нельзя говорить о дальнейшей работе.

Чаще всего подобный вид аудита необходим для сертификации действующей на предприятии системы по обеспечению безопасности. Для этого необходимо мнение независимого эксперта. Тут важен не только уровень защиты, но и его удовлетворенность признанными стандартами качества.

Таким образом, можно сделать вывод, что для проведения подобного рода процедуры нужно определиться с исполнителем, а также выделить круг целей и задач исходя из собственных потребностей и возможностей.