УДК 33 ББК 65
АУДИТ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
СЕРГЕЙ ИГОРЕВИЧ КОЗЬМИНЫХ,
доктор технических наук, профессор кафедры информационной безопасности учебно-научного комплекса информационных технологий Московского университета МВД России имени В.Я. Кикотя E-mail: [email protected]; ПАВЕЛ СЕРГЕЕВИЧ КОЗЬМИНЫХ, преподаватель кафедры пожарной техники учебно-научного комплекса специальной пожарной и аварийно-спасательной техники Академии ГПС МЧС России E-mail: [email protected]
Citation-индекс в электронной библиотеке НИИОН
Аннотация. Рассматривается проблема обеспечения информационной безопасности, для решения которой предлагается на объектах проводить аудит информационной безопасности. Приводится положение дел в области аудита информационной безопасности в нашей стране. Выделены проблемы, связанные с аудитом информационной безопасности на объектах МВД России. Представлены основные нормативно-правовые документы, регламентирующие проведения аудита информационной безопасности. Приводятся основные принципы и критерии проведения аудита информационной безопасности, а также методы анализа данных при аудите информационной безопасности.
Сделан вывод, что только на основе аудита информационной безопасности, выявленных в процессе его проведения и своевременно устраненных недостатков, можно создавать эффективные и надежные системы информационной безопасности, в том числе и на объектах информатизации органов внутренних дел.
Ключевые слова: аудит информационной безопасности, комплексный подход, комплексная безопасность, внутренний аудит, внешний аудит, эффективность, надежность, защищенность.
Annotation. The article deals with the problem of information security, which is available at the sites to audit information security. This article gives an overview of the status of audit activity in the Russian Federation in the field of information security. Highlighted problems related to information security audit at the Ministry of Internal Affairs of Russia. The basic normative legal documents regulating the audit of information security, as well as basic types and methods of auditing information security. The basic principles and criteria of the audit of information security, organizational-methodological fundamentals of information security audit, also metody data analysis in audit of information security.
At the conclusion of the article is madethe conclusion that only on the basis of the information security audit, identified during the vote and in a timely manner of the resolved defects, you can create efficient and reliable system of information security, including at sites of informatization of the internal affairs agencies.
Keywords: information security audit, integrated approach, complex security, internal audit, external audit, efficiency, reliability, and security.
1. Состояние дел в области проведения информационной безопасности
В настоящее время в нашей стране имеется определенный опыт в области проведения аудита информационной безопасности. Однако методика оценки защищенности информации, принятая в Российской Федерации, основанная на базе документов, разработанных еще Гостехкомиссией России при Президенте Российской Федерации, в настоящее время ФСТЭК России, значительно отличается от технологий, применяемых сегодня в международной практике. Соответственно возникла не-
обходимость интеграции принципов оценки защищенности информации с международными подходами в области обеспечения безопасности, а также выработки и принятия единой системы взглядов, которая определила бы перспективные направления в области проведения аудита информационной безопасности (ИБ) в Российской Федерации, включая разработку единой методики проведения аудита ИБ.
Уже давно возникла необходимость разработки единой государственной политики в области создания и совершенствования методического и другого обе-
спечения аудита ИБ. По-прежнему у нас для проведения аудита ИБ используется программное и инструментальное обеспечение, разработанное за рубежом. Следовательно, необходимо формировать подходы по развитию отечественного инструментального обеспечения, а также разрабатывать свои программные и аппаратные средства для проведения аудита ИБ.
На данный момент в стране в целом, и в том числе, в Министерстве внутренних дел Российской Федерации практически не осуществляется разработка нормативно-правового обеспечения для проведения аудита ИБ. Поэтому аудит ИБ не проводится повсеместно в органах внутренних дел, исключением служит аудит отдельных информационных технологий и систем. Это крайне отрицательно влияет на состояние информационной безопасности в ОВД, приводит к утечке, утрате и модификации важной для правоохранительной деятельности информации. Защита информации в ОВД осуществляется не в результате научного анализа рисков, а в соответствии с нормативными документами, предписывающими только техническую защиту информации от угроз антропогенного характера, путем использования моделей нарушителей. При этом не учитывается весь спектр возможных угроз информационной безопасности и не реализуется комплексный подход в обеспечении информационной безопасности объектов ОВД. Защита информации в ОВД осуществляется превентивными мерами, что не обеспечивает необходимый уровень ее защищенности.
В целях обеспечения надежной зашиты информации, повышения уровня комплексной безопасности ОВД, необходимо разрабатывать нормативно-правовую и методическую основу для проведения регулярных аудитов ИБ в ОВД.
В Российской Федерации действует ряд документов, регулирующих аудиторскую деятельность, которая преимущественно направлена на оценку достоверности финансовой отчетности или же на проведение сертификационного аудита по стандартам менеджмента качества (ИСО 9000) и охраны окружающей среды (ИСО 14000). К таким документам относятся:
• ФЗ № 119-ФЗ «Об аудиторской деятельности» от 7 августа 2001 г. (14 декабря 2001 г. вступил в силу Федеральный закон «О внесении изменений и дополнений в Федеральный закон «Об аудиторской деятельности»» № 164-ФЗ);
• Федеральные правила (стандарты) аудиторской деятельности, утвержденные постановлением Правительства Российской Федерации № 696 от 23 сентября 2002 г.;
• стандарты аудита Российской Коллегии аудиторов (РКА).
Необходимо отметить, что Федеральный закон «Об аудиторской деятельности», Федеральные правила (стандарты) аудиторской деятельности, а также Стандарты аудита РКА определяют только общие положения процедурного плана, в области проведения всех видов аудита. В этих документах содержатся:
• принципы, которые необходимо соблюдать при проведения аудита;
• этапы, по которым проводится аудит;
• взаимоотношения аудиторов, которые возникают с представителями проверяемой организации;
• формы документов для представления результатов аудита.
Указанные документы в основном ориентированы на оценку финансовой отчетности и не содержат методов для проведения аудита ИБ, но в то же время их основные положения могут вполне быть взяты в качестве основы для проведения аудита ИБ. Требуется только корректировка разделов, которые будут использоваться при организации аудиторской деятельности по оценке соответствия необходимым требованиям в области ИБ.
Руководящие указания по проведению внутренних и внешних аудитов систем менеджмента качества и/или экологического менеджмента, определяемые ГОСТ Р ИСО 19011, также могут быть использованы при разработке документов по проведению аудита ИБ. Только существующая модель проведения указанных аудитов должна быть адаптирована для аудита ИБ.
В настоящее время, как в Российской Федерации, так и за рубежом отсутствует единый стандарт в области аудита информационной безопасности. Вместе с тем за рубежом используются самые различные как национальные, так и международные стандарты, используемые для проведения аудита ИБ. К таким документам в первую очередь можно отнести следующие:
1) ISO/IEC 17799:2000 «Информационная технология — кодекс установившейся практики для менеджмента информационной безопасностью» (ISO/IEC 17799:2000 Information technology — Code of practice for information security management);
2) BS 7799-2:2002 Information security management systems — Specification with guidance for use;
3) BSI PD 3003:2002 «Are you ready for a BS 7799-2 audit?» (BSI PD 3003:2002 «Готовы ли Вы к аудиту по требованиям BS 7799-2?»);
4) BSI PD 3004:2002 «Guide to the implementation and auditing of BS 7799 controls» (BSI PD 3004:2002 «Руководство по реализации и аудиту средств управления BS 7799»);
5) ISO/IEC «Цели управления для информационной и смежных технологий» (Control Objectives for Information and related Technology, CobiT).
Положения стандартов ИСО/МЭК 17799, BS 77992:2002 и CobiT устанавливают определенные критерии для проведения аудиторской деятельности в отношении СИТ и организаций. Документ «Принципы аудита» стандарта CobiT и руководства серии BSI PD 3000, в том числе BSI PD 3003 и BSI PD 3004, BS 7799-2, в первую очередь, предназначены для проведения внутреннего аудита информационных систем. В то же время положения стандарта Великобритании BS 77992, совместно с рядом процедурных стандартов, таких
как ИСО/МЭК 17799, ИСО 19011, ИСО/МЭК 17025, формируют основу для сертификационного аудита ИБ организаций, результаты которого признаются международным сообществом.
Учитывая выше сказанное, возникает необходимость разработки и введения в действие российских национальных стандартов аудита в области ИБ, основанных на признаваемых на международном уровне нормативных документах. При этом конечно должны учитываться особенности аудиторской деятельности в области ИБ в Российской Федерации.
Основой для разработки как национальных стандартов аудита в области ИБ, так и ведомственных документов, регламентирующих проведение аудита ИБ в ОВД мог бы стать ГОСТ Р ИСО/МЭК 17799-2005 г. Информационная технология «Практические правила управления информационной безопасностью». Данный стандарт устанавливает рекомендации по управлению информационной безопасностью, ее планирования, реализацию или поддержку решений в области информационной безопасности в организации. Этот документ мог бы стать общей основой для разработки стандартов информационной безопасности и выбора основных мероприятий по обеспечению информационной безопасности в организациях.
В этом документе достаточно подробно рассмотрены как организационные, так и технические методы защиты информации, даются полезные рекомендации по общей организации защиты информации, что является весьма ценным. В качестве источников угроз рассматривается не только антропогенный фактор, но и приводятся методы защиты от воздействий внешней среды, что создает предпосылки реализации комплексного подхода в обеспечении ИБ объектов ОВД. Основным недостатком этого документы является отсутствие в нем научно-обоснованных методик оценки рисков и уровня безопасности защищаемого объекта информатизации. Но решение этого вопроса может быть выделено в отдельный методический документ, как приложение к основной методике проведения аудита ИБ на объектах ОВД.
2. Методологические основы проведения аудита информационной безопасности в ОВД
Аудит информационной безопасности организации определяется как систематический и документально оформленный процесс для проведения, объективного оценивания и сравнения результатов аудита ИБ с требованиями по информационной безопасности аудируемого объекта.
По виду и целям проведения аудит ИБ разделяется на следующие виды:
а) аудит информационной безопасности систем информационных технологий (СИТ), эксплуатируемых в организации;
б) аудит информационной безопасности в целом какой-либо организации.
Задачей аудита ИБ СИТ, эксплуатируемых в орга-
низации, является проверка состояния защищенности конфиденциальной информации, программного и аппаратного обеспечения, от которого зависит бесперебойное функционирование СИТ. Данный вид аудита ИБ подразумевает как документальное оформление, так и инструментальный контроль защищенности информации при ее сборе, обработке, хранении и использовании.
Задачей аудита ИБ всей организации является проверка состояния защищенности всех направлений деятельности организации в условиях воздействия различных видов угроз, а также предотвращение утечки защищаемой информации не только по техническим каналам, но и путем возможных несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Аудит ИБ СИТ, эксплуатируемых в организации, может проводиться как самостоятельный вид аудита, так и быть частью аудита ИБ организации.
По способу проведения аудит ИБ может быть внутренним и внешним.
Внутренний аудит ИБ проводится специалистами самой организации для определения уровня защищенности информации и соответствия этого уровня, требуемому, в данной организации.
Внешний аудит ИБ проводится независимыми организациями, имеющими соответствующие лицензии. Главной целью внешнего аудита ИБ является определение соответствия используемых мероприятий требованиям по обеспечению информационной безопасности в данной конкретной организации.
Всегда более предпочтительным является внешний аудит ИБ, поскольку внешние независимые организации не заинтересованы в сокрытии недостатков в области защиты информации, а также свежий взгляд всегда позволяет выявить те недостатки, которые в процессе повседневной деятельности сотрудникам организации просто не заметны.
Целями аудита ИБ в ОВД, как правило, являются:
1) требования руководителей ОВД по обеспечению заданного уровня защищенности информации ограниченного доступа, выполнения всех требований по защите информации;
2) оценка выполнения требований по обеспечению ИБ, предъявляемых в целом к ОВД или к его СИТ;
3) установление соответствия требованиям различных смежных организаций при осуществлении правоохранительной деятельности;
4) оценка результативности системы управления ИБ на объекте ОВД для достижения конкретных целей;
5) определение направлений повышения уровня защиты конфиденциальной информации.
Цели аудита ИБ всегда определяет конкретный орган внутренних дел. Проведение аудита ИБ в ОВД должно учитывать следующие принципы:
1. Независимость. Аудит ИБ должен проводиться независимыми организациями или независимыми аудиторами. Независимость является основанием для
объективности при формировании заключения по результатам аудита ИБ в ОВД.
2. Полнота. Аудит ИБ должен охватывать все области ИБ и возможные защитные меры по обеспечению ИБ. Кроме того, полнота аудита ИБ обеспечивается полнотой предоставленных для аудита материалов. Полнота аудита ИБ является необходимым условием для формирования объективных заключений по результатам аудита ИБ в ОВД.
3. Документальное обеспечение. Оценка на основе документального оформления результатов аудита ИБ позволяет повысить эффективность и достоверность повторного аудита ИБ.
4. Компетентность и этичность. Эффективность аудита зависит от уровня компетентности тех, кто проводит аудит и от этичности их поведения. Компетентность должна быть главным качеством аудитора, а этичность необходима при общении с сотрудниками аудируемой организации.
Самым главным принципом при проведении аудита ИБ является независимость аудиторов и аудиторских организаций, которая должна обеспечиваться следующим рядом условий:
1) организации осуществляющие аудит ИБ, должны быть юридически самостоятельными и заниматься только этим видом деятельности.
2) порядок выплаты и размер денежного вознаграждения аудиторским организациям и индивидуальным аудиторам за проведение аудита ИБ не должны зависеть от результатов аудита. Он должен зависеть только от объема и квалификации выполненных работ.
Проведение аудита ИБ в ОВД с учетом обеспечения полноты аудита ИБ должно проводиться на основе использования передового мирового опыта и опыта лучших отечественных аудиторских организаций. Организационное обеспечение, а также постоянное совершенствование на этой основе методики проведения аудита ИБ в ОВД должен возлагаться на соответствующие подразделения МВД России.
Для проведения аудита ИБ в ОВД должна быть заранее определена методика и требования, отраженные в нормативных документах, разработанных и действующих в МВД Российской Федерации.
При проведении аудита ИБ взаимодействие руководства органа внутренних дел с представителями проверяющей организации может осуществляться как в устной, так и в письменной форме. Можно выделить три типа возникающих отношений ИБ:
1) до начала аудита ИБ в ОВД;
2) во время проведения аудита ИБ в ОВД;
3) на заключительной стадии аудита ИБ в ОВД.
Целью общения до начала аудита ИБ в ОВД является уточнение цели, масштаба и задач аудита ИБ, а
также путей их достижения.
Договор на оказание аудиторских услуг может заключаться одноразово, но выгоднее, если договор заключен на длительный срок, поскольку повторные аудиты, проводимые одной и той же организацией, обойдутся дешевле и будут эффективнее с учетом уже проведенных аудитов.
Аудиторская организация может страховать риски, связанные с последствиями проведения аудита ИБ в ОВД. Договор считается заключенным, если между сторонами в требуемой форме достигнуто соглашение по всем условиям договора.
Во время проведения аудита ИБ в ОВД одной из основных задач является оптимизация аудиторских процедур и обеспечение максимального достижения целей аудита ИБ.
Проведение аудита ИБ в ОВД должно включать:
1) составление плана аудита ИБ;
2) получение документов отражающих процесс проведения аудита;
3) оценку уровня информационной безопасности ОВД.
На заключительной стадии аудита ИБ в ОВД, как
правило, обсуждаются вопросы, связанные с завершающей стадией аудита ИБ. Результаты отражаются в итоговом отчете, который готовится с целью:
а) доведения до руководства ОВД сведений о выявленных недостатках и нарушениях, оказываемых или могущих оказать значительное влияние на уровень обеспечения ИБ в ОВД;
б) внесения предложений по внедрению дополнительных мероприятий, направленных на совершенствование системы обеспечения ИБ в ОВД, включая системы внутреннего контроля и (или) мониторинга ИБ.
Проведение аудита ИБ в ОВД состоит из следующих этапов:
1) разработка плана проведения аудита ИБ в ОВД;
2) анализ документов, необходимых для проведения аудита ИБ в ОВД;
3) подготовка необходимых ресурсов для проведения аудита ИБ в ОВД;
4) проведение аудита ИБ в ОВД;
5) подготовка, утверждение и сдача отчета по аудиту ИБ в ОВД;
6) завершение процесса проведения аудита ИБ в ОВД;
7) разработка и внедрение дополнительных мероприятий по результатам аудита ИБ в ОВД.
Организация проведения аудита ИБ в ОВД включает в себя:
1) назначение руководителя аудиторской группы из числа сотрудников ОВД;
2) определение целей, области и критериев аудита ИБ в ОВД;
3) определение возможности проведения аудита
ИБ в ОВД;
4) выбор аудиторской группы для проведения аудита ИБ в ОВД;
5) установление начального контакта.
Аудиторская организация должна определить возможно ли осуществить проведение аудита ИБ на объекте информатизации ОВД на основании имеющихся условий, таких, как:
а) достаточно ли информации о состоянии мер и способов защиты в ОВД для составления плана проведения аудита ИБ;
6) готовность к сотрудничеству;
в) наличие времени, условий и соответствующих ресурсов.
Если аудит ИБ в ОВД по предложенной программе неосуществим, то по результатам консультаций должен быть предложен альтернативный вариант.
На объекте информатизации ОВД для проведения аудита ИБ комплектуется аудиторская группа. Должен быть назначен руководитель аудиторской группы, ответственный за проведение проверки на объекте информатизации ОВД.
При определении размера и состава аудиторской группы на объекте информатизации ОВД должны быть учтены цели аудита ИБ, его масштаб и продолжительность. Должна учитываться общая компетентность и уровень квалификации аудиторской группы, а также способность членов аудиторской группы совместно работать и эффективно взаимодействовать с сотрудниками ОВД.
Для взаимодействия с аудиторской группой руководством органа внутренних дел должны быть назначены лица, на которых возлагается ответственность за своевременность, достоверность и полноту предоставления запрошенной аудиторами информации в объеме, не выходящем за пределы их полномочий и условий, записанных в договоре. Следует отметить, что для проведения аудита ИБ в ОВД совсем не обязательно обеспечивать доступ аудиторов к конфиденциальной информации, они должны знать только, как эта информации защищается. В условиях договора о проведении аудита должен быть включен пункт о соблюдении конфиденциальности при проведении аудита ИБ и ответственности за нарушение этого пункта договора.
По результатам аудита ИБ в ОВД должно быть разработаны дополнительных мероприятий по защите информации на объекте информатизации ОВД. После проведения дополнительных мероприятий их результативность должна проверяться путем проведения очередного аудита ИБ в ОВД.
3. Методы анализа данных при аудите информационной безопасности в ОВД
В настоящее время используются три основных метода (подхода) к проведению анализа результатов проведения аудита ИБ, которые значительно отличаются друг от друга.
Первый метод, самый сложный, базируется на анализе рисков ОВД. Опираясь на анализ рисков, аудитор должен проанализировать набор требований по обеспечению безопасности, наиболее полно отражающий особенности функционирования ОВД, и возможные угрозы его безопасности. Этот метод является наиболее трудным и требует достаточно высокой квалификации аудитора. На результат аудита в данном случае значительно влияет используемая методика анализа рисков и ее применимость к данному объекту информатизации ОВД.
Для анализа рисков и определения уровня защищенности объекта информатизации ОВД могут использоваться такие научные методы, как компьютерное имитационное моделирование, позволяющее на качественном уроне оценить эффективность существующей или проектируемой системы информационной безопасности. Также могут применяться экспертные методы оценки защищенности объекта информатизации ОВД с использованием автоматизированных программных комплексов. Или методы математического моделирования, в основе которых лежат статистические и экспертные данные, позволяющие рассчитать коэффициент защищенности или уязвимости объекта информатизации ОВД.
Второй метод, чаще всего применяемый, опирается на использовании стандартов информационной безопасности. В стандартах определены базовые (необходимые) наборы требований по обеспечению безопасности информационных систем (ИС) и объектов. Стандарты определяют разные наборы требований по обеспечению безопасности в зависимости от уровня защищенности ИС. При проведении аудита необходимо правильно определить тот необходимый (достаточный) набор требований стандарта, который соответствует требования нормативных документов по обеспечению информационной безопасности на данном конкретном объекте информатизации ОВД. Поскольку этот метод наиболее простой и доступный, он наиболее часто используется на практике. Этот метод позволяет при минимальных затратах ресурсов делать вполне обоснованные заключения о состоянии ИБ объекта. Однако для аудита информационной безопасности в ОВД это метод менее пригоден, поскольку как уже говорилось ранее, действующая нормативно-правовая база МВД РФ регламентирует только технические методы защиты информации, оставляя организационные метода на усмотрение специалистов в практических подразделениях ОВД.
Третий метод, наиболее эффективный, предполагает комбинирование вышеуказанных двух методов.
Если для проведения аудита информационной безопасности выбран подход, основанный на анализе рисков, то на этапе анализа данных аудита ИБ в ОВД необходимо:
1. Провести анализ имеющихся ресурсов информационных систем, включая программные, технические и другие средства.
2. Провести анализ задач, которые могут решатся информационной системой в процессе деятельности ОВД.
3. Построить модели определяющие взаимные связи между имеющимися ресурсами в ОВД (информационными, программными, техническими и людскими) и способы их взаимодействия.
4. Провести оценку, насколько критичны те информационные ресурсы, а также программные и технические средства, которые используются в процессе обеспечения правоохранительной деятельности.
5. Определить критичность других ресурсов с учетом их взаимозависимостей.
6. Определить наиболее вероятные угрозы безопасности в отношении ресурсов ИС на объекте ОВД и уязвимости защиты, делающие возможным реализацию угроз.
7. Провести оценку вероятности реализации угроз, величины ущерба, наносимого ОВД, в случае успешной реализации угроз.
8. Определить величину рисков с учетов вероятности реализации угроз и величины возможного причиняемого ущерба для каждого элемента защиты и объекта информатизации ОВД в целом.
Перечисленный набор задач может показаться достаточно общим. Для их решения могут использоваться различные методики. К таким методикам относятся как формальные, так и неформальные, количественные и качественные, ручные и автоматизированные методики анализа рисков. Результат проведения аудита ИБ в ОВД от этого в целом не меняется.
Оценка величины рисков может проводиться как с использованием их качественных, так и количественных характеристик. Главное — правильность идентификации и ранжирования существующих рисков в соответствии со степенью их значимости для каждого элемента защиты и объекта информатизации ОВД в целом. На основе такого анализа может быть разра-
ботана система необходимых и первоочередных мероприятий по защите информации на объекте и уменьшению величины рисков до приемлемого уровня.
При проведении аудита информационной безопасности на соответствие требованиям каких-либо нормативно-правовых документов, аудитор, полагаясь на свой опыт, оценивает применимость этих требований к обследуемой ИС или объекту информатизации ОВД в целом. Данные о соответствии различных областей функционирования ИС требованиям нормативно-правовых документов обычно представляются в табличной форме, дающей представление, какие требования информационной безопасности в системе не реализованы. Далее делаются выводы о соответствии обследуемой ИС установленным требованиям и даются рекомендации по реализации дополнительных мероприятий по защите информации в ОВД.
Таким образом, можно сделать вывод, что только на основе проведенного аудита информационной безопасности, выявленных в процессе его проведения и своевременно устраненных недостатков, можно создавать эффективные и надежные системы информационной безопасности, в том числе и на объектах информатизации органов внутренних дел.
Литература
1. Козьминых С. И. Организация защиты информации в органах внутренних дел: учебное пособие. Ч. I, II / С. И. Козьминых. — М. : Московский университет МВД России, 2013.
2. Козьминых С.И. Методологические основы обеспечения комплексной безопасности объекта, фирмы, предпринимательской деятельности. Монография. М.: Московский университет МВД России, 2005.
3. Аверченков, В.И. Аудит информационной безопасности: учеб. пособие для вузов/ — Брянск: БГТУ, 2005.
4. Башлы П.Н., Баранова Е.К. Информационная безопасность: учебно-практическое пособие /- М.: Изд. центр УАОИ, 2010.
5. Гафнер В.В. Информационная безопасность: учебное пособие. — Ростов н/Д : Феникс, 2010.
6. Милославская Н.Г. Проверка и оценка деятельности по управлению информационной безопасностью. — М., 2012.