Аудит информационной безопасности _______________ Необходимый инструмент обеспечения информационной безопасности в современных условиях
Оглавление 1. 2. 3. 4. 5. 6. Введение Методологические подходы Оценка защиты информации Анализ объекта защиты Гарантийная оценка Заключение
1. Введение Проблема доверия к мерам информационной безопасности или, как часто говорили некоторое время назад, к способам и методам защиты информации, реализованным на объекте защиты, возникла одновременно с осознанием необходимости применения таких мер. Всегда следовало убедиться в том, что предпринятые меры защиты эффективны. Проявленные в ходе оценки эффективности мер безопасности ошибки, самоуверенность, пренебрежение или безграмотность неизменно приводили к ложным выводам. Всегда ложные выводы дорого обходились. История полна драматических примеров, подтверждающих этот факт.
2. Методологические подходы В исторически обозримое время можно проследить появление двух различных методологических подходов к решению этой проблемы. Что самое удивительное, эти подходы просуществовали вплоть до настоящего времени. Под влиянием изменения и усложнения организации общественных и государственных институтов, развития технологий производства продукции и обработки информации трансформируются только методические подходы к проблеме, не более. Итак, всегда оценка сводилась: - к получению свидетельств доверия к объекту путем его испытания, т. е. практического подтверждения убежденности в том, что объект обладает ожидаемыми свойствами; - к получению свидетельств доверия (уверенности) в том, что некая деятельность, от которой зависит эффективность работы самого объекта, осуществляется правильно. Убедится в этом можно, только сравнив эту деятельность с заранее установленным стандартом или с лучшей практикой осуществления такой же деятельности в других местах. При этом считается, что выполнение стандартов деятельности (регламентов, инструкций, правил, руководящих указаний), разработанных на основании этих практик, гарантирует положительный результат этой деятельности и, как следствие, нормальную и эффективную работу самого объекта.
Метод натуральных испытаний Метод натурных испытаний, присущ в большей степени материальным (инженерным) объектам, начиная с каменных топоров и заканчивая океанскими суперлайнерами и космическими станциями. В ряде случаев, когда невозможно смоделировать реальные условия эксплуатации объекта или нельзя по каким-либо причинам проверить, как реально он работает, проводится моделирование, и по результатам испытаний модели делается вывод о реальном поведении объекта, его качестве или надежности функционирования. Результаты испытаний фиксируются в виде специального документа (акта испытаний, сертификата), свидетельствующего только об одном -о том, что испытуемый объект соответствует предъявляемым к нему требованиям. Объект сопровождается эксплуатационной документацией, указывающей на то, в каких условиях он должен эксплуатироваться и как обслуживаться, для того чтобы свойства объекта не оказались утраченными. В конце тридцатых годов прошлого века в Германии были выдвинуты идеи, суть которых сводилась к тому, что на качество выпускаемого изделия самым существенным образом влияет качество управления производством. В последующем эти идеи привели к возникновению новой философии управления качеством, положенной в основу получивших исключительное распространение во всем мире стандартов ISO серии 9000. В последние годы возникли идеи ввести в систему управления качеством методы рыночного саморегулирования, что нашло отражение в появлении законодательства о техническом регулировании.
Метод аудита Второй подход возник по мере развития и совершенствования общественных и финансовых институтов сначала в древней Греции, а потом в Римской империи. Как пишет в своей книге «Практический аудит» П. И. Камышанов, еще примерно в 200 г. до н. э. квесторы (должностные лица, ведавшие финансовыми и судебными делами) Римской империи осуществляли контроль за государственными бухгалтерами на местах. Отчеты квесторов направлялись в Рим и выслушивались экзаменаторами. В результате такой практики и возник термин «аудитор» (от лат. «слушать» ). Кроме того, в Римской империи была создана специальная налоговая полиция, сотрудники которой прибегали к пыткам женщин и детей для получения сведений об укрываемых от обложения доходах и имуществе. Методологии аудита присущи многие специфические свойства, о которых пойдет речь в этой книге. Но в основе его лежат следующие фундаментальные принципы, корни которых прорастают из древнего Рима: - открытость результатов аудита; - публичность принятии и обсуждении результатов. Очень важно отметить, что в этом случае вывод о том, насколько успешно функционирует объект и насколько он соответствует предъявляемым к нему требованиям, делается на основании изучения качества выполнения персоналом этого объекта соответствующих функций, зафиксированных в технологических регламентах, созданных, в свою очередь, по заранее установленным стандартам.
3. Оценка защиты информации Проблема оценки мер защиты в ее современном понимании возникла естественно, с появлением первой вычислительной машины. Сначала для оценки безопасности информации, которую обрабатывали эти устройства, вполне подходили радиотехнические методы измерений и оценки, что требовало представления ЭВМ как радиотехнического объекта. При использовании методологии испытаний изделий удалось разработать эффективные критерии оценки уровня безопасности, а результаты испытаний оформить в виде понятных документов, например сертификатов. Естественно, после этого к объекту прикладывался хорошо отработанный набор технической документации, содержащей указания о требованиях, при которых свойства безопасности защищаемого объекта, т. е. ЭВМ, которая обрабатывала определенную информацию, сохраняются. Методика в первое время была удобной. Однако в связи с бурным развитием элементной базы и появлением мощных и малогабаритных компьютеров, объединением их в системы и сети, а главное превращением информационных технологий в инфраструктуру обеспечения всех без исключения сторон практической деятельности людей, организаций и государственных институтов возникли серьезные сложности применении этого подхода. В немалой степени на это повлияло то обстоятельство, что в качестве приоритетных стали рассматриваться угрозы, связанные в первую очередь с доступом к информации вычислительными, а не радиотехническими способами. Это обстоятельство в середине 70 -х гг. прошлого века привело к возникновению сначала в США и практически одновременно в Европе ряда исследовательских проектов, имевших целью разработку новых подходов к вопросу оценки уровня безопасности и выработки доверия к мерам защиты конкретных информационных ресурсов. В 1979 г. в США вышла знаменитая «Оранжевая книга» , провозгласившая этот подход. Из-за глобализации и внедрения в нашу жизнь сети Интернет, наступило осознание того, что проблема информационной безопасности носит глобальный характер и прямо или косвенно затрагивает интересы практически всех людей, организаций, предприятий и государственных институтов. В результате под эгидой международной организации по стандартизации были разработаны несколько основополагающих стандартов в сфере информационной безопасности продуктов информационных технологий (ISO/IEC 15408) и аудита информационной безопасности (ISO 17799 и BS 7799). В определенной степени эти вопросы нашли отражение и в стандартах аудита информационных систем (COBIT).
Стандарты аудита Из-за глобализации и внедрения в нашу жизнь сети Интернет, наступило осознание того, что проблема информационной безопасности носит глобальный характер и прямо или косвенно затрагивает интересы практически всех людей, организаций, предприятий и государственных институтов. В результате под эгидой международной организации по стандартизации были разработаны несколько основополагающих стандартов в сфере информационной безопасности продуктов информационных технологий (ISO/IEC 15408) и аудита информационной безопасности (ISO 17799 и BS 7799). В определенной степени эти вопросы нашли отражение и в стандартах аудита информационных систем (COBIT).
Противоречие подходов Необходимо отметить, что в основу этих стандартов (ISO/IEC 15408, COBIT, ISO 17799 и BS 7799) были положены методологически разные подходы, отражающие два взгляда на методологию получения свидетельств доверия, о чем уже шла речь выше. И только сейчас, осознав наличие методологического противоречия, мешающего в конечном итоге выработке ясных и непротиворечивых правил получения свидетельств доверия к уровню информационной безопасности организаций, представляющих собой сложные системы, международная организация по стандартизации начала работы по созданию соответствующих универсальных стандартов. Одновременно продолжаются работы на национальном уровне, в первую очередь в США, Великобритании, Италии, Франции и Германии. Суть противоречий заключается в определении состава объекта защиты. • В первом случае это некая техническая (аппаратно-программная) система, обеспеченная необходимой технической и эксплуатационной документацией, и персонал, обслуживающий ее. В нашей стране персонал вообще не рассматривается в качестве элемента системы. • Во втором случае это сложная система, включающая техническую инфраструктуру со всей документацией и персонал, использующий эту инфраструктуру для достижения бизнес-целей организации, работающий в соответствии с соответствующими правилами и регламентами, написанными специально для него.
Эффективность деятельности и качество изделия Оценка эффективности деятельности или качества изделия в обязательном порядке требует: § выбора ключевых показателей (индикаторов), характеризующих количественное или качественное состояние свойств объекта или какой-либо деятельности; § выбора метода измерения выбранных ключевых показателей и оценки его точности; § определения критериев оценки соответствия измеренных показателей установленным требованиям, характеризующим приемлемый с точки зрения владельца объекта уровень его качества или качества аудируемой деятельности; § получения гарантий оценки.
4. Анализ объекта защиты как сложной системы неожиданно привел к выводу о том, что соотношение вклада в общий уровень безопасности различных составляющих распределяется строго в соответствии с универсальным законом неравенства (законом Парето) в соотношении 20/80, причем на 20% приходится вклад со стороны технических систем, а на 80% -со стороны людей (сотрудников), эксплуатирующих эти технические системы. Это подтверждает статистика по инцидентам в сфере информационной безопасности. Из изложенного следует важный вывод: частые мнения о состоянии отдельных частей объекта не дают оснований судить о состоянии объекта в целом. Если мы будем делать вывод о состоянии информационной безопасности в организации, основываясь только на показателях качества технических средств защиты, без оценки качества их эксплуатации и уровня организации бизнес-процессов, выводы всегда будут неверными, т. к. сделанные на основании этих суждений выводы будут распространяться на область, неподконтрольную выбранным показателям. Второй вывод заключается в том, что если выбранные ключевые показатели не описывают состояние всех свойств объекта, они должны быть дополнены или изменены. В этом состоит искусство проведения аудита. Остро стоит и вопрос точности измерений. Точность радиотехнических измерений бывает невысока. Но просты критерии оценки. Точность настроек активного оборудования и средств безопасности, например межсетевых экранов, может быть, наоборот, очень высокой и легкопроверяемой, но следует учитывать два фактора, которые существенно усложняют критерии оценки: 1) необходимо иметь уверенность в том, что исходные требования по настройке составлены квалифицированно; 2) качество работы оборудования как средства защиты в исключительной степени зависит от качества его текущего администрирования.
Критерии оценки Выбор критериев оценки уровня информационной безопасности -вопрос непростой. Наиболее легко он решается в двоичной системе решения: «да -нет» , «соответствует -не соответствует» , но часто этот подход или неприменим, или не обладает необходимой точностью при попытке детализации описания множественности состояний объекта. Следует также добавить, что каждое требование безопасности вносит в общий уровень безопасности свой, сугубо индивидуальный, большой или маленький вклад. Ровно также невыполнение этих требований создает большие или меньшие уязвимости в системе защиты, некоторые из них являются критическими, а некоторые -нет. Поэтому все в большей степени получает распространение метод использования различных шкал для описания этих состояний, получивший обобщенное название «шкала зрелости» .
5. Гарантийная оценка Получение гарантий оценки, т. е. убежденности в том, что оценка выполнена верно и ее результатам можно верить, базируется прежде всего на квалификации специалистов (аудиторов), проводивших проверку или оценку, т. е. на их способности правильно применить методику оценки и получить «сходимость» результатов в трех случаях: • при измерении характеристик одного и того же объекта различными группами специалистов; • при измерении характеристик объекта одними и теми же специалистами, но в разное время; • при измерении характеристик различных, но схожих объектов.
6. Заключение На протяжении презентации можно понять, что аудит информационной безопасности и объектов защиты является неотъемлемым составляющим эффективной защиты информации. Всегда следует проверять и убеждаться, что выбранные методы защиты эффективны в той или иной ситуации, а также проверять качество проводимых работ.
Конец.
Скачать презентацию Аудит информационной безопасности _______________ Необходимый инструмент обеспечения информационной
1 глава.ppt