МИНИСТЕРСТВО ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ
МОСКОВСКИЙ УНИВЕРСИТЕТ МВД РОССИИ имени В.Я. Кикотя
Кафедра специальных информационных технологий учебно-научного комплекса информационных технологий
КУРСОВАЯ РАБОТА
на тему: Нормативные экспертизы в области информационной безопасности.
Работу проверил: Работу выполнил:
Иванов Бажанов
Вячеслав Максим
Юрьевич Александрович
Полковник полиции курсант
420 учебный взвод
рядовой полиции
Москва – 2018
СОДЕРЖАНИЕ
Введение. 3
1 Нормативная база проведения экспертиз информационной безопасности 6
2 Способы оценки информационной безопасности. 19
Заключение. 35
Список литературы.. 36
Приложение А.. 38
Введение
Для современных предприятий автоматизация бизнес-процессов с использованием средств вычислительной техники и телекоммуникаций являются той неотъемлемой частью их развития. В обеспечении эффективности работы коммерческих и государственных предприятий ключевую роль играют информационные системы (ИС). Это определяется неуклонным ростом информации, которая является одним из ключевых ресурсов любой организации, от которого напрямую зависит успешность и прибыльность предприятий.
За счет использование ИС для хранения, обработки и передачи информации, а также бесконтрольное использование Интернет, переносных носителей, отсутствия мониторинга печатающейся информации на принтерах, увеличиваются шансы кражи особо важной информации предприятий. Самые распространяемые причины кражи информации особо важной для предприятий являются: конкуренция либо возможность наживы. Как нам известно, любая ИС в процессе своей работы эволюционирует и видоизменяется. В некоторых случаях может возникнуть ситуация, в которой система еще работает, но неизвестно, что произойдет в случае возникновения угрозы безопасности. В данном случае для эффективности защиты требуется объективная оценка уровня безопасности ИС.
Решением этой проблемы является аудит информационной безопасности. Экспертиза и аудит информационной безопасности организации проводится в целях выявления недостатков и уязвимостей в системе ее безопасности, а также с целью оценки эффективности ее работы. Применительно к системам информационной безопасности понятие аудита трактуется немного иначе, чем классическое значение, вкладываемое в этот термин. Такая проверка может называться по-разному: оценкой соответствия, сертификацией или аттестацией. В любом случае под аудитом информационной безопасности понимают анализ защиты информации компании, который выполняется с одной из следующих целей:
1. Оценка соответствия системы информационной безопасности существующим нормативным требованиям.
2. Определение уровня законности и обоснованности всех решений, принимаемых в сфере безопасности.
Организации, чей бизнес сильно связан с информационной сферой, должны достичь необходимого уровня поддержки ИБ для достижения бизнес-целей и иметь сильно развитую СОИБ. Система обеспечения ИБ представляет собой совокупность программно-аппаратных, технических и организационных защитных мероприятий (ЗМ), осуществляемых в рамках СМИБ и процессов информирования об ИБ, инициирования и поддержки деятельности менеджмента ИБ.
Желание организации иметь СОИБ, которая была бы адекватна целям защиты информации в организации, для обеспечения конфиденциальности, доступности и целостности активов информации приводит к желанию улучшить СОИБ. Улучшение, совершенствование СОИБ возможно только при условии знания текущего состояния характеристик и параметров используемых защитных мероприятий, процессов управления, осведомленности об ИС, а также понимания насколько они соответствуют требуемым результатам. Понимание данных аспектов СОИБ возможно только по результатам проведения оценки ИС организации, полученной с помощью модели оценки информационной безопасности, основанной на оценочных данных, критериях оценки и учитывающей контекст оценки.
К критериям оценки можно отнести все, что позволит задать значения оценки для анализируемого объекта. Критериями оценки информационной безопасности организации могут быть использованы требования ИС, процедуры ИС, сочетание требований и процедур ИС, уровень инвестиций, затраты ИС.
Доказательства для оценки ИС включают записи, фактические заявления или любую информацию, которая имеет отношение к критериям оценки информационной безопасности и может быть проверена. Такими доказательствами оценки ИС могут быть доказательства выполненных и завершенных мероприятий по обеспечению информационной безопасности в виде отчетной, нормативной, нормативной документации, результатов обследования, наблюдений.
Контекст оценки информационной безопасности включает цели и назначение оценки, ее вид (самооценка, независимая оценка), объект оценки, ее область ограничения и роли.
Таким образом, объектом данной работы является экспертиза (оценка) информационной безопасности.
Предметом данной работы является нормативная база в области экспертизы информационной безопасности.
Целью данной работы является определение порядка и содержания экспертизы информационной безопасности в соответствии с нормативными актами.
Нормативная база проведения экспертиз информационной безопасности
Экспертиза и аудит информационной безопасности - комплексное, всестороннее изучение всех информационных систем заказчика, в том числе средств обмена информацией с контрагентами. Набор информационных ресурсов в анализе разделен на следующие компоненты:
1. Специальные мероприятия по защите информационных ресурсов.
2. Программно-аппаратная защита информационных систем.
3. Физическая безопасность информационной инфраструктуры.
Анализируя организацию защиты информации, эксперт рассматривает следующие аспекты организации:
1. Алгоритм реализации бизнес-процессов, к которому можно отнести методы обработки защищаемых данных, механизмы обмена данными между структурными подразделениями организации, способы перевода данных контрагентам и т.д.
2. Пакет административных документов, которые регулируют сферу информационной безопасности - положения, приказы, должностные инструкции и т. д.
При рассмотрении средств программно-аппаратной защиты ИС необходимо уделить внимание следующим моментам:
- Особенностям настройки конфигурации систем защиты информации.
- Технической документации, сопровождающей системы и средства защиты информации.
- Выявлению возможных уязвимостей системы (производится с использованием специальных технических средств).
В ходе проведения экспертных мероприятий специалистами в области экспертизы и аудита информационной безопасности решается множество которые защищают предприятие от противоправных действий конкурентов и злоумышленников. Рассматриваемый специалистами-аудиторами круг проблем, определяется целями организации, которая инициировала исследование, а также существующими недостатками в системе, предполагаемыми пробелами в защите. Чаще всего при проведении экспертизы решаются следующий ряд задач:
1) анализ событий, обстоятельств, фактов, которые представляют угрозу ИБ предприятия. Иными словами данный комплекс экспертных действий можно назвать аудитом сферы внешних информационных угроз.
2) экспертиза нормативных актов, которые действуют на момент проведения исследования, с целью оценки соответствия им рабочей системы.
3) поиск потенциально опасных элементов и подсистем существующей системы информационной безопасности организации.
4) Оценка политики прав доступа работников организации и прогноз сохранения целостности информационной защиты предприятия.
Примерные виды экспертиз изображены на рисунке 1.1.
Рисунок 1.1 – Виды экспертиз по ИБ
Работа по аудиту безопасности ИС состоит из ряда последовательных этапов, включающих в себя:
1) начало процедуры аудита.
2) сбор информации аудита.
3) анализ данных аудита.
4) выработка рекомендаций.
5) подготовка аудиторского заключения.
Компании, специализирующиеся на аудите, могут проверить состояние информационной безопасности на соответствие таким общепризнанным стандартам и требованиям, как:
Вопросы, которые ставятся перед специалистом по проведению экспертизы и аудита информационной безопасности:
Основными стандартами, используемыми для аудита в нашей стране являются требования к организации систем информационной безопасности, а также к проведению мероприятий по информационной защите зафиксированы в группе государственных стандартов ГОСТ Р ИСО/МЭК 27000.
ISO/IEC 27000 представляет собой серию международных стандартов по информационной безопасности, опубликованных совместно с Международной Организацией по Стандартизации (ISO) и Международной Электротехнической Комиссии (IEC).
В данной серии содержатся лучшие практики и рекомендации в области информационной безопасности для создания, развития и поддержания Системы Менеджмента Информационной Безопасности.
Серия стандартов ИСО 27000 "Информационные технологии. Методы обеспечения безопасности. Менеджмент информационной безопасности..." (далее — "СМИБ") включает:
В 1992 году Государственная техническая комиссия при Президенте РФ опубликовала пять “Руководящих документов”, посвященных проблеме защиты от несанкционированного доступа (НСД) к информации, обрабатываемой средствами вычислительной техники (СВТ) и автоматизированными системами (АС).
В 1997 году к этим документам добавился еще один: “Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации”.
В общем случае, комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД для АС реализуется использование четырех подсистем:
- управления доступом;
- регистрации и учета;
- криптографической;
- обеспечения целостности.
Кроме того, в РФ выпущен ряд НПА, регламентирующих работу с защищаемой информацией:
Федеральный закон от 29.06.2004 г. № 98-ФЗ «О коммерческой тайне».
Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных».
Федеральный закон от 6.04.2011 г. № 63-ФЗ «Об электронной подписи».
Регуляторами в области информационной безопасности в РФ являются: Федеральная служба по техническому и экспортному контролю, Федеральная служба безопасности, Федеральная служба охраны, Министерство обороны РФ, Министерство связи и массовых коммуникаций РФ, Служба внешней разведки РФ и Банк России.
Аудит ИБ – один из наиболее эффективных на сегодняшний день инструментов для получения независимой и объективной оценки текущего уровня защищенности предприятия от угроз ИБ. Благодаря результатам аудита появляется основа формирования стратегии, развития системы обеспечения ИБ предприятий. Но следует заметить, что аудит безопасности должен осуществляться на регулярной основе, это зависит не только от того что любая ИС имеет возможность видоизменятся в ходе работы, но и от увеличения разновидностей угроз безопасности. Только в этом случае аудит ИБ будет приносить пользу и способствовать повышению уровня ИБ предприятий.
При достижении цели аудита безопасности предприятия, основываясь на предложенных рекомендациях, имеют возможность произвести оптимизацию структуры информационных технологий (ИТ) и совершенствование процессов ИС. Иными словами возможность построить оптимальную по эффективности и затратам систему защиты информации, соответствующую текущим задачам и целям предприятия. В противном же случае необходимо провести дополнительный анализ данных и с вновь внесенными изменениями создать результирующий отчет по проведенному аудиту [15].
Целями аудита ИБ является:
- анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС;
- оценка текущего уровня защищенности ИС;
- оценка соответствия ИС существующим стандартам в области ИБ и политике безопасности организации;
- выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС [12].
Можно выделить основные виды аудита ИБ:
a) экспертный аудит безопасности, в ходе которого выявляются недостатки в системе мер защиты информации на основе опыта экспертов, участвующих в процедуре обследования;
b) оценка соответствия рекомендациям международного стандарта ISO 17799, а также требованиям руководящих документов ФСТЭК (Гостехкомиссии);
c) инструментальный анализ защищенности ИС, направленный на выявление и устранение уязвимостей программно-аппаратного обеспечения системы;
d) комплексный аудит, включающий в себя все вышеперечисленные формы проведения обследования [11].
Для проведения аудита ИБ привлекаются внешние компании, которые предоставляют консалтинговые услуги в области ИБ, аудит выполняется группой экспертов, численность которых зависит от целей и задач обследования, а также от сложности объекта оценки.
Проведение работ по аудиту ИБ предприятия следует проводить поэтапно. У каждой компании, которая имеет право проводить аудит безопасности, выявляются свои этапы работ. Проведя некоторое исследование, были выявлены основные четыре этапы работ проведения аудита ИБ (рис. 1.2).
Рисунок 1.2 – Этапы работ при проведении аудита
При планирование работ определяются границы, в рамках которого будет проводиться обследование; порядок и время проведения инструментального обследования ИС заказчика, им является предприятие, в котором проводится аудит аудита [17].
При сборе данных необходимо соблюдать точность и полноту информации. От этих факторов будет зависеть качество аудита ИБ. При тщательном изучении различных источников, можно перечислить необходимые данные для аудита ИБ (табл.1.1) [11].
Таблица 1.1 – Перечень исходных данных, необходимых для аудита ИБ
| Тип информации | Состав исходных данных |
| Организационно-распорядительная документация по вопросам информационной безопасности | - политика информационной безопасности ИС; - руководящие документы (приказы, распоряжения, инструкции) по вопросам хранения, порядка доступа и передачи информации; - регламенты работы пользователей с информационными ресурсами ИС. |
| Информация об аппаратном обеспечении хостов | - перечень серверов, рабочих станций и коммуникационного оборудования, установленного в ИС; - аппаратные конфигурации серверов и рабочих станций; - сведения о периферийном оборудовании; |
| Информация об общесистемном ПО | - сведения об ОС, установленных на рабочих станциях и сервера$ - сведения о СУБД, установленных в ИС |
| Информация о прикладном ПО | - перечень прикладного ПО общего и специального назначения, установленного в ИС; - описание функциональных задач, решаемых с помощью прикладного ПО |
| Информация о средствах защиты, установленных в ИС | - производитель средства защиты; - конфигурационные настройки средства защиты; - схема установки средства защиты |
| Информация о топологии ИС | - карта локальной вычислительной сети, включая схему распределения серверов и рабочих станций по сегментам сети; - типы каналов связи, используемых в ИС; - используемые в ИС сетевые протоколы; - схема информационных потоков ИС. |
Анализ и оценка уровня защищенности включают в себя:
- анализ полноты и содержания существующей организационно-распорядительной документации по защите информации [17];
- определение вероятности проведения атаки, а также уровней их ущерба;
- выделение основных информационных активов;
- определение уровня защищенности ИС;
- моделирование действий внешнего и внутреннего нарушителя [17].
На заключительном этапе проведения работ аудита ИБ разрабатываются рекомендации по совершенствованию организационно-технического обеспечения защиты на предприятии. Данные рекомендации в основном содержат типы действий, которые направлены на минимизацию выявленных рисков. Такими действиями являются: уменьшение риска, уклонение то риска, изменение характера риски и в частности понятие риска.
Для заключающего момента проведении аудита ИБ необходимо подвести итоги по проведенным этапам работ. Из схемы проведения аудита ИБ (рис. 2) можно увидеть, что результатом аудита является создание документа, который содержит детальную информацию о [14]:
1. Всех выявленных уязвимостях объекта аудита;
2. Критичности найденных уязвимостях;
3. Качественная и количественная оценка рисков ИБ [16];
4. Стратегия обеспечения ИБ;
5. Последствие в случае реализации угроз;
6. Рекомендации по устранению уязвимостей [15].
Рисунок 1.3 – Схема проведения аудита
Таким образом, можно сделать вывод, что экспертиза информационной безопасности это сложный процесс, требующий привлечения квалифицированных специалистов в данной области. В следующей главе будут рассмотрены примерные способы проведения экспертизы ИБ.