30 Май

ФОРМАЛИЗАЦИЯ ПРОЦЕДУРЫ ПРОВЕДЕНИЯ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ОСНОВЕ ПРОФИЛЯ ЗАЩИТЫ




Номер части:
Оглавление
Содержание
Журнал
Выходные данные


Науки и перечень статей вошедших в журнал:

В настоящее время эффективность реализации большинства бизнес-процессов коммерческих и государственных организаций  напрямую связана с безопасностью информации циркулирующей в организации и средств обрабатывающих ее. Для предотвращения ошибок и сбоев системы, работающей с информацией, необходимо проводить периодическую проверку системы на степень ее защищённости от различного рода угроз и соответствие  выделенным требованиям и критериямбезопасности. Как правило, данная проверка осуществляется при проведении внутреннего или внешнего аудита информационной безопасности (ИБ) организации.

Аудит информационной безопасности (ИБ) — представляет собой оценку текущего состояния защищенности и безопасности информационных ресурсов и корпоративных систем организации, на соответствие стандартам и требованиям предъявляемых со стороны заказчика.

В настоящее время можно выделить следующие основные виды аудита информационной безопасности[2]:

  • экспертный аудит безопасности, в процессе которого выявляются недостатки в системе мер защиты информации на основе имеющегося опыта экспертов, участвующих в процедуре обследования;
  • активный аудит, включающий механизмы для проверки правильного выполнения существующей политики безопасности, слежения в реальном масштабе времени за отклонениями и выявление вторжения;
  • оценка соответствия рекомендациям Международного стандарта ISO 17799, а также требованиям руководящих документов ФСТЭК;
  • инструментальный анализ защищённости АС, направленный на выявление и устранение уязвимостей программно-аппаратного обеспечения системы;
  • комплексный аудит, включающий в себя все вышеперечисленные формы проведения обследования.

Каждый из вышеперечисленных видов аудита может проводиться по отдельности или в комплексе в зависимости от тех задач, которые необходимо решить предприятию. В качестве объекта аудита может выступать как ИС компании в целом, так и её отдельные сегменты, в которых проводится обработка информации, подлежащей защите.

Проведение аудита ИБ основываетсяна использовании многочисленных рекомендаций, которые изложены в российских и международных стандартах ИБ. Одним из результатов проведения аудита в последнее время все чаще становится сертификат, удостоверяющий соответствие обследуемой ИС определенному признанному международному стандарту. Наличие такого сертификата позволяет организации получать конкурентные преимущества, связанные с большим доверием со стороны клиентов и партнеров. Поэтому наиболее подробно следует остановиться на виде аудита на основе стандарта.

Данный вид аудита использует такое понятие как профиль защиты. Профиль защиты (ПЗ) – это независимая от реализации совокупность требований безопасности для некоторой категории ИС, отвечающая специфическим запросам потребителя. Профиль защиты является «эталоном» для защиты ИС предприятия. Цель разработки и оценки профиля защиты – показать, что он является полным, непротиворечивым, технически правильным и поэтому пригоден для изложения конкретных требований к одному или нескольким типам ИС. [3]

Таким образом, процесс аудита ИБ, основанный на профиле защиты можно представить в виде следующей схемы (см. рисунок 1).

Рисунок 1. Схема проведения аудита ИБ с использованием профиля защиты

В этом случае при аудите происходит проверка на соответствие текущего ПЗ «эталонному» ПЗ, и  если текущий набор средств и состояния СЗИ не соответствуют, принимается решение о модификации либо СЗИ, либо модификации «эталонного» ПЗ, в случае его не актуальности.

Процедуру проведения аудита ИБ на основе ПЗ можно представить в виде следующего кортежа (формула 1):

                     (1)

где:  – АПЗ – процедура проведения аудита ИБ на основе профиля защиты;ПЗО – множество индивидуальных требований заказчика;КО – критерии оценки в соответствии  с ГОСТ/ИСО МЭК 15408-2002 «Общие критерии оценки безопасности информационных технологий»; ЭПЗ – эталонный профиль защиты;МР – множество рекомендаций.

В соответствии с ГОСТ/ИСО МЭК 15408-2002″Общие критерии оценки безопасности информационных технологий» были выделены следующие критерии представленные в таблице 1[4]:

Таблица 1.

Критерии для сравнения ПЗ.

Критерий Название критерия
1 Аудит безопасности K1
2 Неотказуемось в обмене данными между объектами оценки K2
3 Управление криптографической поддержкой K3
4 Политика управления доступом K4
5 Аутентификация и идентификация пользователей K5
6 Целостность хранимых данных K6
7 Защита конфиденциальных данных при передаче между функциями безопасности объекта оценки K7
8 Управление безопасностью и распределение ролей безопасности K8
9 Приватность K9
10 Защита функций безопасности K10
11 Безопасность при сбое K11
12 Самотестирование функций безопасности объекта оценки K12
13 Отказоустойчивость K13
14 Распределение ресурсов K14
15 Доступ к объекту оценки K15
16 Доверенный канал/маршрут между функциями безопасности объекта оценки K16

Данные критерии являются качественными и принимают значения в соответствии с правилом описанным формулой 2:

где:– del– заданное минимальное отклонение.

Таким образом,  алгоритм  проведения аудита ИБ на основе ПЗ выглядит следующим образом:

  1. Определение ПЗ организации и наибольшего отклонения от эталонного ПЗ;
  2. Определение эталонного ПЗ;
  3. Сравнение эталонного ПЗ и ПЗ организации;
  4. Решение о выдаче сертификата соответствия и предоставление рекомендаций.

Список литературы:

  1. Аудит информационной безопасности [Электронный ресурс] /Научно – испытательный институт систем обеспечения комплексной безопасности – Режим доступа: http://www.niisokb.ru/services/information_security_audit/
  1. Виды аудита информационной безопасности [Электронный ресурс] / ISOru – Режим доступа: http://www.iso27000.ru/chitalnyi-zai/audit-informacionnoi-bezopasnosti/vidy-audita-informacionnoi-bezopasnosti
  1. Профили защиты, порядок их регистрации и сертификации во ФСТЭК России[Электронный ресурс] / ИНТУИТ – Режим доступа: http://www.intuit.ru/studies/courses/697/553/lecture/12453
  1. ГОСТ/ИСО МЭК 15408-2-2002.Общие критерии оценки безопасности информационных технологий. – Введ. 2002 – 04 – 04. – М: Изд-во стандартов, 2001. – 276с.
    ФОРМАЛИЗАЦИЯ ПРОЦЕДУРЫ ПРОВЕДЕНИЯ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ОСНОВЕ ПРОФИЛЯ ЗАЩИТЫ
    В данной статье рассмотрена проблема проведения аудита информационной безопасности на предприятии на основе профиля защиты. Выделены этапы и особенности данного вида аудита. В результате исследования была предложена формализованная модель, описывающая процедуру проведения аудита информационной безопасности на основе профиля защиты.
    Written by: Датская Лариса Викторовна, Кожевникова Ирина Сергеевна, Ананьин Евгений Викторович
    Published by: БАСАРАНОВИЧ ЕКАТЕРИНА
    Date Published: 03/12/2017
    Edition: ЕВРАЗИЙСКИЙ СОЮЗ УЧЕНЫХ_30.05.2015_05(14)
    Available in: Ebook