Расширенный

Расширенный поиск

Автор

Статьи

Проведение обследования организации

01.11.2016 10:46:45
Начальным шагом создания системы управления информационной безопасности, как и любой сложной системы, является предварительное обследование. В данной статье приведены рекомендации по методам и направлениям проведения обследования.

Содержание статьи:

Проведение обследования организации

Создание информационной системы включает в себя реализацию комплекса мер по обеспечению безопасности как самой системы, так и обрабатываемой в ней информации. При этом:

  • некоторые меры защиты уже реализованы на уровне организации, и их необходимо использовать;
  • некоторые меры защиты, отсутствующие на момент создания системы, могут быть реализованы только на уровне организации, и их внедрение необходимо запланировать и организовать;
  • некоторые меры защиты могут быть реализованы в создаваемой системе, но на них накладываются определенные ограничения;
  • и, наконец, при реализации прочих мер защиты разработчикам системы предоставлена некоторая свобода творчества.

Таким образом, еще до начала работ по созданию подсистемы информационной безопасности создаваемой системы необходимо провести обследование существующей системы информационной безопасности организации. Такое обследование часто называют аудитом, а специалиста, который его проводит, — аудитором. Рассмотрим процедуру такого аудита подробнее.

Целевые нормативы

Обеспечение безопасности информации и информационных систем организации должно регламентироваться комплексом внутренних документов, начиная с политики информационной безопасности и заканчивая типовыми требованиями безопасности информационных систем. В реальности такие документы в организациях, как правило, отсутствуют, в тех же редких случаях, когда их удается обнаружить, они содержат крайне расплывчатые формулировки и не могут использоваться как практическое руководство. В результате при проведении обследования аудитору приходится использовать некоторую эталонную модель, определяющую меры информационной безопасности. В качестве такой эталонной модели можно использовать:

  • прежде всего, стандарт ГОСТ Р ИСО/МЭК 27002-2012;
  • документ NIST SP 800-53, рекомендованный органам государственной власти США;
  • немецкий IT Grundschutz Catalogues, известный ранее как IT Baseline Protection Manual.

Каждый из этих документов описывает достаточно полный набор мер информационной безопасности, реализация которых целесообразна для большинства организаций, но по-разному структурированных и описанных с разной степенью детализации. Опытный аудитор, как правило, создает на их основе собственный контрольный список защитных мер, наличие и реализацию которых имеет смысл проверить в ходе обследования.

Из-за того, что аудитор руководствуется определенным контрольным списком, обследование нередко рассматривают как оценку соответствия СИБ организации требованиям стандартов, однако это не так. Аудитор руководствуется списком только как структурированным справочником, содержащим перечень сведений, которые требуется получить в ходе обследования. В данной статье в качестве такого справочника мы будем использовать ГОСТ Р ИСО/МЭК 27002-2012.

Методы проведения обследования

Сведения о СИБ организации можно получать разными методами, каждый из которых имеет свои достоинства и недостатки. Остановимся на наиболее распространенных.

Анализ документации

Как уже упоминалось выше, наличие в организации полного комплекта документации, пригодного для практической деятельность по обеспечению информационной безопасности встречается редко. Тем не менее анализ имеющихся документов — первый шаг обследования, и в его ходе аудитор оценивает:

  • степень вовлеченности руководства организации в вопросы безопасности информации (по полноте, качеству и уровню согласования документов);
  • состав декларированных в документации мер защиты;
  • декларированные особенности реализации мер зашиты;
  • наличие нестандартных решений, связанных с особенностями информационных систем и информационных технологий.

Требования к мерам защиты и описания их реализации, имеющиеся в документации, следует воспринимать именно как декларации, так как в реальности эти меры могут быть реализованы иначе или отсутствовать вовсе. Однако перечень мер, составленный на основе анализа документации, можно использовать как основу для уточнения полученной информации прочими методами аудита.

Анкетирование

Анкетирование — способ сравнительно быстро получить типовые сведения от большого количества респондентов (например, от руководителей структурных подразделений), особенно когда проводится обследование территориально-распределенных организаций. Анкетирование полезно в следующих случаях:

  • необходимо получить сведения о наличии определенных факторов («Требуется ли вашим сотрудникам для выполнения своих функций доступ к сети Интернет?») или количественные оценки («Сколько серверов под управлением Microsoft Windows размещено в демилитаризованной зоне?»);
  • некоторые задачи могут быть решены типовыми способами, и нужно выяснить, какой способ выбран («Используются ли программные средства, ограничивающие подключение USB-устройств? Если нет, используется ли физическое ограничение подключения оборудования к портам USB?»).

Можно выделить несколько типовых ошибок, которые аудиторы допускают при анкетировании:

  • перечень вопросов создает у респондентов ощущение проверки, что провоцирует их давать заведомо верные ответы вместо предоставления фактической информации;
  • вопросы, кажущиеся аудитору очевидными, непонятны респонденту;
  • вопросы требуют слишком подробных ответов или пояснений, дать которые респондент за короткое время не в состоянии.

С учетом этого анкетирование также следует рассматривать как источник потенциально недостоверных сведений и использовать полученную информацию осторожно, скорее, как основу для более подробного исследования.

Личная беседа

Личная беседа (интервью) — основной способ получения достоверной информации в ходе обследования. В ходе интервью у аудитора есть возможность оценить готовность респондента делиться информацией, убедить его в необходимости предоставления достоверных сведений, пояснить вопросы, уточнить полученные ответы и получить дополнительные сведения. Основной недостаток интервью — значительные временные затраты.

Основное отличие интервью от остальных методов получения информации — необходимость согласования полученных сведений с респондентом. В момент ответа на вопрос респондент мог обладать неактуальными сведениями или неверно понять вопрос. В свою очередь, аудитор может неверно интерпретировать ответ респондента или неверно услышать сказанное. Поэтому основное правило проведения интервью: после его завершения составлять краткий конспект полученных ответов и направлять его респонденту для подтверждения.

Наблюдение, получение фактических свидетельств

Процедура аудита при оценке соответствия организации нормативным требованиям обязательно предусматривает фактическое подтверждение всех существенных выводов аудитора. При обследовании подобное не требуется, но в некоторых случаях фактическая проверка сведений может быть полезной:

  • в силу специфики обсуждаемого вопроса аудитор не уверен в том, что точно понял предоставленную информацию;
  • полученная информация противоречива или представляется аудитору неправдоподобной;
  • наконец, иногда быстрее и проще понаблюдать за выполнением некоторой операции, чем описывать ее словами.

Классический пример операции, требующей наблюдения, — резервное копирование и восстановление данных. Часто в организациях применяются сложные расписания инкрементального или дифференциального резервного копирования с двухуровневым хранением копий, которое требует реализации в информационной системе сложных механизмов выгрузки данных с контролем версий и целостности. Прежде чем включать в техническое задание соответствующие требования, имеет смысл сначала на примере других информационных систем убедиться, что такой механизм действительно позволяет восстановить систему из резервной копии, и если наблюдение покажет отрицательный результат — внести в процесс необходимые изменения.

Предмет обследования

Как упоминалось ранее, при проведении обследования опытный аудитор руководствуется собственным контрольным перечнем сведений, которые рассчитывает получить. Рассмотрим самые важные аспекты.

Идентификация и аутентификация

Один из ключевых вопросов, изучаемых в ходе обследования, — необходимость и возможность интеграции функций идентификации и аутентификации, реализуемых в информационной системе, с аналогичными механизмами, реализуемыми на корпоративном уровне. Это порождает ряд вопросов, задаваемых при обследовании.

Прежде всего необходимо выяснить, предназначена ли система только для сотрудников организации? Только для сторонних пользователей? Для обеих категорий? Такое разделение важно, поскольку для сотрудников в организациях уже, как правило, используется централизованные системы управления учетными записями, чаще всего Microsoft Active Directory, значительно реже — дополнительные системы Identity Management, и в подобных случаях целесообразно использовать уже существующую платформу.

В случае если централизованное управление учетными записями в организации отсутствует, необходимо уточнить действующие в организации политику идентификации пользователей и требования к механизмам аутентификации. Политика идентификации может определять:

  • принятый в организации способ идентификации пользователя, например, формирование идентификатора на основе фамилии и инициалов или присвоение личного номера;
  • порядок учета идентификаторов, например, закрепление идентификатора за определенным лицом в течение некоторого времени после его увольнения или удаления учетной записи.

Требования к механизмам аутентификации могут определять требования:

  • к элементам сложности пароля (минимальной длине, алфавиту и т. п.), истории ранее использовавшихся паролей, периодичности и обязательности смены паролей;
  • усилению аутентификации (использованию криптографической или двухфакторной аутентификации, противодействию подбору паролей и т. п.).

Если в организации используется двухфакторная аутентификация, требующая использования специализированных программных или аппаратных средств, а также механизмы централизованной аутентификации с единой учетной записью пользователей (Single Sign-On, SSO), следует изучить номенклатуру используемых средств и возможность их использования в создаваемой информационной системе.

Управление доступом

Прежде всего необходимо достоверно определить метод управления доступом, принятый в организации и используемый в большинстве информационных систем. Часто в нормативной документации организации декларируется требование использовать определенный метод управления доступом (ролевой или даже мандатный), в то время как в реальности в информационных системах используется дискреционная модель, при которой ответственные лица назначают пользователям права доступа произвольно по своему усмотрению. В подобных случаях необходимо уточнить у функционального заказчика, какая именно модель в действительности должна использоваться в создаваемой информационной системе, так как это накладывает существенные ограничения на выбор прикладных программных средств.

Не менее важный блок вопросов — архитектура управления информационными потоками и сегментирование локальных вычислительных сетей. Как правило, используются три подхода к сегментированию:

  • «гальваническая развязка» — выделение критически важных информационных систем (а также систем, обрабатывающих сведения, составляющие государственную тайну) в отдельные сегменты сети, физически изолированный от локальной сети организации.
  • «диод данных» — сопряжение двух сетей через специализированное устройство или программно-аппаратный шлюз, обеспечивающий однонаправленную передачу данных на сетевом или прикладном уровне взаимодействие.
  • классическое сегментирование, при котором локальные сети организации разделяются на сегменты средствами маршрутизации или VLAN (IEEE 802.1Q).

В ходе обследования необходимо уточнить, с какими из существующих информационных систем потребуется взаимодействовать создаваемой системе, применяется ли в организации сегментирование сети и, если да, как оно повлияет на такое взаимодействие.

В случае если к создаваемой информационной системе предполагается предоставлять удаленный доступ и доступ с использованием мобильных устройств, необходимо уточнить предполагаемый характер такого доступа. Возможные варианты:

  • к информационной системе будет предоставляться доступ из-за пределов контролируемой зоны организации с использованием стационарных и мобильных устройств, которые не будут контролироваться средствами защиты создаваемой информационной системы;
  • для удаленного доступа будут использоваться стационарные и мобильные устройства, на которые возможна установка дополнительных средств защиты;
  • для удаленного доступа будут использоваться стационарные и мобильные устройства, предоставляемые организацией во временное пользование.

Во втором и третьем случаях следует уточнить, практика применения каких средств защиты удаленных устройств имеется у организации и как организованы их установка, настройка и сопровождение.

Регистрация событий безопасности

Регистрация событий — один из наиболее важных аспектов информационной безопасности, который, как правило, при создании информационных систем игнорируется.

Одна из задач подсистемы информационной безопасности — противодействие несанкционированному доступу нарушителя к защищаемой информации. При этом подобный доступ может быть обусловлен ошибками в проектировании системы, в том числе самой подсистемы информационной безопасности. Поэтому защита не может строиться только на мерах предотвращения: требуется еще и выявление фактов несанкционированного доступа, а также реагирование на них. На сегодняшний день нет готовых нормативных документов и рекомендаций по регистрации и анализу событий безопасности, их разработка еще только ведется, но в целом подход уже сформирован.

Прежде всего в ходе обследования необходимо определить, какие именно ситуации, которые потенциально могут возникнуть в результате реализации угроз, связанных с создаваемой информационной системой, придется в ходе ее эксплуатации рассматривать как инциденты безопасности. Хотя, как правило, в организациях отсутствует формализованный подход к работе с инцидентами, сам предварительный их перечень удается сформировать в ходе обследования. Например, сотрудники кредитных организаций однозначно отнесут к инцидентам следующие ситуации:

  • остановка отдельных компонентов информационных систем, участвующих в платежных или технологических процессах;
  • прохождение через автоматизированную банковскую систему финансовых операций, имеющих признаки фальсификации;
  • выполнение сотрудником операции, выходящей за пределы его полномочий.

Ключевой фактор, отличающий понятие «инцидент» от абстрактной «реализации угрозы» — наличие критериев, на основании которых наблюдаемая ситуация может быть признана недопустимой, требующей реагирования. Задача аудитора в ходе обследования — сформулировать такие критерии или хотя бы общие принципы, на основе которых лица, ответственные за функционирование информационной системы, относят те или иные ситуации к недопустимым. Эти сведения впоследствии будут использованы при анализе угроз в ходе создания информационной системы.

Определив круг возможных инцидентов, необходимо определить также, имеются ли в организации средства сбора и анализа данных о событиях безопасности (системы log management, security information and event management и т. п.). При наличии таких систем, следует уточнить:

  • перечень платформ (операционных систем, СУБД, прикладных программных платформ), поддерживаемых используемыми системами на момент проведения обследования;
  • наличие технической возможности для интеграции в системы новых источников данных (например, путем разработки программных адаптеров).

На основе собранной информации в ходе создания информационной системы будет приниматься решение о возможности, целесообразности и способах интеграции создаваемой системы в общекорпоративную систему реагирования на инциденты. При отсутствии в организации такой системы вопрос обнаружения инцидентов и реагирования на них придется решать в рамках создаваемой информационной системы.

Резервирование, резервное копирование и восстановление

Требования к способам и средствам резервного копирования и восстановления данных в создаваемой информационной системе зависят от следующих факторов:

  • максимальное допустимое время простоя информационной системы или отдельных ее компонентов;
  • минимальный гарантированный срок хранения данных.

Максимальное допустимое время простоя определяет временной интервал, в течение которого должно быть обеспечено восстановление работоспособности информационной системы в случае любого возможного сбоя. На основе этого параметра определяются требования к способу резервирования аппаратных компонентов системы, к форме и оперативности технической поддержки и т. п.

Минимальный гарантированный срок хранения определяет срок, в течение которого должны храниться пригодные к восстановлению резервные копии программного обеспечения информационной системы и обрабатываемых данных. На основе этого параметра определяются расписание резервного копирования, способ, количество и сроки хранений резервных копий, требования к объемам дискового пространства в системах хранения данных.

Трудность заключается в том, что на момент разработки технического задания на создание информационной системы функциональные заказчики часто не в состоянии сформулировать указанные выше требования, и эту задачу следует решать на стадии обследования.

Для этого необходимо определить следующие данные, которые впоследствии лягут в основу технического задания:

  • назначение информационной системы и функции или технологические процессы организации, в которых предполагается ее использовать;
  • характер информации, которую предполагается обрабатывать;
  • требования к документированию обрабатываемой информации (например, на основе обрабатываемой информации могут формироваться документы строгой отчетности) и установленным законодательствам сроков хранения таких документов;
  • допустимость приостановки выполнения отдельных функций информационной системы и допустимые сроки приостановки.

Указанные сведения существенно важны для проектировании системы.

Нормативные требования информационной безопасности

Несмотря на то что требования нормативных документов в области информационной безопасности обычно учитываются в первую очередь, при проведении обследования они имеют наименьшее значение. В этой части обследования аудитору необходимо:

  • определить перечень нормативных документов, требования которых должны учитываться при создании системы;
  • отметить требования, необходимость выполнения которых может затруднить создание системы;
  • отметить несоответствия между требованиями, декларированными во внутренних нормативных документах организации, и принятой в организации практикой и уточнить необходимость выполнения этих требований.

Более глубокий анализ нормативных документов проводится на стадии проектирования информационной системы.

Отчет об обследовании

Так как обследование имеет предварительный характер и направлено на сбор информации, которая уточняется в ходе проектирования информационной системы, разработка формального отчета с результатами обследования нецелесообразна. Оптимальная форма представления результатов обследования — презентация, отражающая особенности нормативного регулирования и практики развертывания и эксплуатации информационных систем в организации, существенные для последующих работ.

В целом предварительное обследование организации перед созданием информационной системы — это ознакомление с текущей ситуацией в обеспечении информационной безопасности в организации.