книги / Управление информационной безопасностью
..pdfСвидетельством самооценки ИБ может считаться зафиксированный (задокументированный) факт, отражающий истинное состояние защищенности объекта информатизации.
Самооценка управления ИБ имеет значение при установлении степени достижения целей защиты информации, а также при последующих оценках степени соответствия этим целям.
К преимуществам самооценки в управлении ИБ относятся следующие:
−систематический подход к совершенствованию деятельности по управлению ИБ;
−использованиепризнанныхкритериевоценкиуправленияИБ;
−получение объективных оценок уровня ИБ;
−развитие культуры обеспечения ИБ;
−определение глубины изменений, произошедших с момента проведения предыдущей самооценки ИБ;
−возможность распространения передового опыта лучших подразделений организации или других организаций.
Результаты самооценки управления ИБ должны отвечать следующим требованиям:
−оформляться в виде периодических отчетов, аналитических записок, справок;
−являться основанием для анализа со стороны руководства для принятия решений в области совершенствования СУИБ;
−позволять выявлять недостатки системы защиты информации до проведения независимого внешнего аудита ИБ.
В то же время самооценка организации управления ИБ не может служить декларацией о соответствии критериям аудита ИБ до момента подтверждения этой оценки на основе независимого внешнего аудита ИБ.
7.3.Анализ функционирования СУИБ
Впроцессе анализа функционирования СУИБ осуществля-
ется оценка эффективности ее деятельности по управлению ИБ.
71
Оценкой эффективности СУИБ называется системный процесс получения и оценки объективных данных о текущем состоянии СУИБ, процессах и событиях, происходящих в ней, на основе которых устанавливается уровень соответствия СУИБ критериям ее функционирования. Основные направления оценки эффективности СУИБ представлены на рис. 19.
Рис. 19. Виды оценки эффективности СУИБ
Особенности оценки эффективности СУИБ по эталону за-
ключаются в сравнении результатов ее функционирования с установленными требованиями по обеспечению ИБ. Риск-ориенти- рованная оценка предполагает сопоставление существующих рисков и принимаемых мер по их обработке. Оценка по экономи-
ческим показателям ROI (Return of Investments) или TCO (Total Cost of Ownership) предполагает анализ соотношения инвестиций с полученнойрезультативностью СУИБ.
Результативность СУИБ – это свойство СУИБ достигать поставленной цели по управлению ИБ с определенным качеством и эффективностью в заданных условиях и ограничениях. При этом показатели результативности СУИБ характеризуют ее способность к выполнению основных задач управления ИБ. Данные показатели связаны с выработкой управляющих воздействий, осуществлением контрольных функций. Как правило, они выра-
72
жают значение обобщающих критериев оптимальности функционирования СУИБ, например время реагирования на инциденты ИБ, уровень квалификации пользователей и т.п.
Организация и проведение аудита – это особый вид проверки организации деятельности по управлению ИБ, поэтому он будет рассмотрен отдельно.
Вопросы для контроля знаний
1.Перечислите основные виды проверок организации деятельности по управлению ИБ.
2.Что понимается под мониторингом состояния защищенности информации?
3.Перечислите основные виды деятельности при организации мониторинга.
4.Каковы основные цели анализа при организации монито-
ринга?
5.Раскройте взаимосвязь процессов мониторинга ИБ и управления инцидентами ИБ.
6.Что понимается под самооценкой организации управления ИБ?
7.В чем заключаются цель и критерии самооценки?
8.Перечислите преимущества самооценки в управлении ИБ.
9.Что понимается под оценкой эффективности СУИБ?
10.Что представляют собой показатели результативности
СУИБ?
73
8. ОСНОВЫ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Аудит ИБ – это системный процесс получения объективных качественных и количественных оценок текущего состояния ИБ предприятия (организации), отдельного объекта информатизации в соответствии с определенными критериями и показателями безопасности.
Аудиторская деятельность в области информационной безопасности базируется на следующих стандартах:
−ГОСТ Р ИСО/МЭК 27004-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Мониторинг, оценка защищенности, анализ и оценивание»;
−ГОСТ Р ИСО/МЭК 27006-2020 «Информационные технологии. Методы и средства обеспечения безопасности. Требования
корганам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности»;
−ГОСТ Р ИСО/МЭК 27007-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по аудиту систем менеджментаинформационнойбезопасности».
В основе аудиторской деятельности в области ИБ лежит стремление заинтересованных участников информационного обмена определить:
−действительный уровень защищенности информационной инфраструктуры предприятия (организации);
−степень соответствия ИБ организации установленным критериям аудита ИБ и актуальным угрозам безопасности информации;
−порядок организации работ по обеспечению ИБ различных ответственных категорий должностных лиц;
−выполнение требований по защите информации, установленных в Политике ИБ.
74
Аудиторская проверка и оценка соответствия ИБ установленным требованиям проводится на основе:
−утвержденных требований Политики ИБ;
−документированных фактов, свидетельствующих о степени выполненияили невыполненииустановленных требованийпо ИБ.
Международными и отечественными стандартами по организации аудиторской деятельности предусмотрены следующие
разновидности аудита:
1. Аудит первой стороны – внутренний аудит, который организуется и проводится самой организацией или от ее имени.
2. Аудит второй стороны – внешний аудит, который проводится потребителями услуг, контрагентами или другими лицами, косвенно заинтересованными врезультатахаудиторскойпроверки.
3. Аудит третьей стороны – внешний аудит, который проводится внешними независимыми организациями или органами по сертификации и аттестации, не заинтересованными в результатах аудиторской проверки.
Независимо от разновидности аудиторской проверки в процессе аудита ИБ должны соблюдаться следующие принципы [8]:
−независимость аудиторской деятельности;
−полнота аудиторской проверки;
−проведение оценки на основе свидетельств;
−достоверность свидетельств аудита;
−понимание аудитором особенностей деятельности проверяемой организации;
−компетентность, этичность и беспристрастностьаудиторов. Планирование аудиторской деятельности осуществляется
заблаговременно путем составления Программы аудита ИБ. Программа аудита ИБ – основной планирующий документ
по организации аудиторской деятельности по проведению аудитов ИБ, запланированных на конкретный период. Данная Программа должна включать все мероприятия, необходимые для планирования, организации и проведения аудиторских проверок ИБ, как правило, на календарный год.
75
В Программе учитываются все виды аудиторских проверок, их цели, приводится перечень проверяемых подразделений и направления деятельности по обеспечению ИБ. Управление организацией аудита ИБ должно выполняться в рамках цикла PDCA.
Содержание и объем Программы аудита ИБ зависят от различных факторов:
−целей и продолжительности аудиторской проверки ИБ;
−особенностей требований политики ИБ;
−области действия аудита ИБ;
−периодичности проведения аудита ИБ;
−особенности работы подразделений, подлежащих ауди-
ту ИБ;
−требований нормативных документов;
−результатов предыдущих аудиторских проверок ИБ;
−актуальных угроз ИБ.
Определение целей программы аудита требует предварительного рассмотрения:
−приоритетов руководства организации в области ИБ;
−требований стандартов, законов и подзаконных актов;
−требований, предусмотренных договорными обязательствами сторон;
−потребностей и коммерческих намерений заинтересованных сторон;
−рисков в области ИБ.
Ответственность за управление выполнением Програм-
мы аудита ИБ возлагается лиц, имеющих представление о принципах аудита ИБ, компетентности аудиторов, содержании этапов аудита ИБ, обладающих знаниями по обеспечению ИБ.
Распределение полномочий и определение ответственности за управление выполнением Программы аудита ИБ осуществляются руководством организации. Вариант Программы аудита ИБ представлен в табл. 1.
76
Таблица 1
Пример Программы аудита ИБ
ОАО «АБВ» Программа аудита на____год
Версия 2.3 от __.__.20__
Критерии |
Внутренние требованияСМИБ |
4 |
5 |
6 |
7 |
8 |
А5 |
А6 |
А7 |
|
|||||||||
|
|
||||||||
Подразде- |
|
|
|
|
|
|
|
|
|
ления |
|
|
|
|
|
|
|
|
|
Служба ИТ |
П |
|
|
|
П |
|
П |
П |
П |
Отдел |
П |
|
|
П |
|
П |
|
|
|
снабжения |
|
|
|
|
|
|
|||
Техниче- |
|
П |
|
|
|
П |
|
|
|
ский отдел |
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
Служба |
П |
П |
|
|
П |
П |
|
|
|
качества |
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
Служба |
|
|
|
|
|
|
|
|
|
делопроиз- |
П |
|
|
|
П |
|
|
|
|
водства |
|
|
|
|
|
|
|
|
|
Участок |
П |
|
|
|
П |
П |
|
|
|
синтеза |
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
Участок |
П |
|
|
|
П |
П |
|
|
|
упаковки |
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
Склады |
П |
|
|
|
|
|
|
|
|
Высшее |
П |
|
П |
|
|
П |
П |
|
|
руководство |
|
|
|
|
|
Утверждаю Председатель правления ОАО «АБВ»
____________ Иванов И.И. __.__.20__
А8 |
А9 |
А10 |
А11 |
А12 |
А13 |
А14 |
А15 |
Месяц |
|
||||||||
В |
|
М |
У |
|
|
|
П |
1 |
|
|
|
|
|
|
|
|
2 |
|
|
|
|
|
В |
|
П |
2 |
|
П |
|
|
|
|
П |
|
4 |
|
|
|
П |
|
|
|
|
5 |
|
|
|
П |
|
|
|
|
8 |
|
|
|
|
У |
|
|
|
11 |
|
|
|
|
|
|
|
|
2 |
|
|
|
|
|
П |
|
|
1 |
|
|
|
|
|
|
|
|
|
Вид аудита |
Сокращение |
Плановый внутренний аудит |
П |
Внеплановый внутренний аудит |
В |
Поиск угроз |
У |
Моделирование угроз |
М |
Требования к аудитору ИБ и оценка его работы предпола-
гают, что в процессе аудиторской деятельности аудитор должен продемонстрировать следующее:
1)необходимые знания и навыки по осуществлению аудиторской деятельности, включающие основные принципы, процедуры, технические регламенты, а также методы осуществления аудиторских проверок ИБ и СУИБ;
2)требуемый уровень квалификации, опыт работы, уровень подготовки к действиям аудитора ИБ;
77
3) высокие моральные качества аудитора (тактичность, корректность, внимательность, наблюдательность, непредвзятость, решительность, целеустремленность и самостоятельность и т.п.).
Оценка подготовленности аудиторов к выполнению своих обязанностей может происходить как на этапе начального профессионального отбора, в процессе формирования аудиторской группы, так и непосредственно в ходе аудиторских проверок и по их завершении.
Если участник аудиторской группы не соответствует какимлибо критериям, то ему указывают на необходимость дополнительного обучения или приобретения опыта работы для участия в аудите ИБ, после чего проводят повторную оценку.
Анализ полученных в процессе аудита данных позволяет ответить на следующие вопросы:
1.Достигаются ли цели защиты информации и каковы причины, препятствующие достижению данных целей?
2.За счет использования каких ресурсов достигаются цели защиты информации? Целесообразно ли это?
3.Достаточно ли применяемых мер по защите информации?
4.Используются ли дополнительные или компенсирующие
меры?
5.Каким путем улучшить выполнение процедур работы
СУИБ?
Оценка результативности функционирования СУИБ позволяет определить некачественную реализацию процессов обеспечения ИБ, причины возникновения недостатков, нецелесообразное расходование ресурсов, а также своевременно принять меры по улучшению эффективности управления ИБ.
Эффективность управления ИБ – эффективность, отра-
жающая вклад управленческой деятельности в обеспечение ИБ и
вдостижение необходимого уровня защищенности информационной инфраструктуры предприятия (организации).
Эффективность СУИБ – соотношение между достигнутым уровнем обеспечения ИБ, полученным при управлении ИБ на ос-
78
нове СУИБ, и использованными ресурсами, обеспечившими его достижение.
Оценка эффективности СУИБ осуществляется:
−для выявления результативности и эффективности внедрения различных процедур СУИБ;
−для выявления недостатков управления ИБ;
−для разработки методики совершенствования СУИБ. Оценка эффективности СУИБ реализуется на основе изме-
рения значений параметров, характеризующих уровень защищенности информационной инфраструктуры (рис. 20).
Измерение эффективности СУИБ осуществляется с ис-
пользованием метрик безопасности.
Рис. 20. Модель измерений, связанных с ИБ
79
Метрика безопасности (security metrics) – инструмент из-
мерения работы СУИБ (в данном случае различных процессов управления ИБ) для получения количественного значения выбранного показателя метода измерения, применяемого к одному объекту или нескольким объектам оценки.
Традиционными элементами метрики являются:
1)название метрики;
2)описание измеряемого показателя;
3)порядок проведения измерения;
4)периодичность выполнения измерения;
5)единица измерения;
6)порядокрасчета порогового значенияпараметра измерения;
7)диапазон нормальных значений параметров измерений;
8)наилучшие возможные значения метрики.
Таблица 2
|
Оценка параметров обеспечения ИБ |
||
|
|
|
|
№ |
Параметр |
Метрики |
|
п/п |
обеспечения ИБ |
||
|
|||
|
|
Количество и процент рабочих станций с установленными средст- |
|
1 |
Антивирусная |
вами антивирусной защиты |
|
Количество и процент рабочих станций с обновленными средства- |
|||
|
защита |
ми антивирусной защиты |
|
|
|
||
|
|
… |
|
|
Сетевая |
Количество открытых портов и приложений на рабочих стан- |
|
2 |
циях/серверах |
||
безопасность |
|||
… |
|||
|
|
||
|
|
Количествоипроцентсистем, содержащихкритическиеуязвимости |
|
|
|
Количество уязвимостей, возникающих в течение определенного |
|
3 |
Управление |
промежутка времени (месяц, квартал, год) |
|
Среднее время устранения уязвимости информационной инфра- |
|||
|
уязвимостями |
структуры |
|
|
|
Количество уязвимостей, требующих устранения |
|
|
|
… |
|
|
|
Уровень соответствия (несоответствия) различных систем требо- |
|
4 |
Управление |
ваниям Политики ИБ |
|
Количество изменений конфигураций различных систем |
|||
|
конфигурациями |
|
|
|
Среднее время (задержка) развертывания критических обновлений |
||
|
|
||
|
|
… |
|
Использование метрик оценки ИБ имеет ряд преимуществ. К основным преимуществам относится то, что метрики:
80