Обеспечение ИБ на объектах г. Москвы в период подготовки к проведению чемпионата мира по футболу FIFA 2018.Часть 2

Аудит ИБ. Особенности организации и проведения проверочных мероприятий на объектах

Для преодоления сложностей проведения аудита информационной безопасности на объектах, описанных в первой части [1], в ДИТ города Москвы были предприняты следующие шаги по организации проведения проверочных мероприятий.

Подготовительный этап

1. Сбор и анализ информации

Проверка каждого объекта готовилась в обязательном порядке индивидуально. К сбору и анализу информации о состоянии защищенности проверяемого объекта привлекались не только члены аудиторской команды, но и специалисты других подразделений по информационной безопасности ДИТ города Москвы.

Для упрощения сбора и анализа исходной информации об обеспечении информационной безопасности на конкретном объекте в Управлении ФСТЭК России по ЦФО был разработан типовой технический паспорт объекта. Ответственные работники проверяемых объектов заполняли соответствующие разделы технического паспорта и передавали на изучение аудиторской команде ДИТ города Москвы.

Кроме информации, запрашиваемой у объекта в формализованном виде, больше внимание уделялось иным источникам сведений об объекте.

В качестве таких источников использовались:

• информационные ресурсы Интернета и средств массовой информации;
• информационные ресурсы с судебными решениями;
• информационные ресурсы DarkNet.

Практическая ценность источников информации на данном этапе отражена на рис. 1.

2. Подбор аудиторской команды

Наличие высококвалифицированных аудиторов позволило руководителю группы аудита ДИТ города Москвы проводить индивидуальный подбор команд для проведения проверки объекта. При этом учитывалось множество факторов:

• психологическая совместимость с представителем объекта, участвующего в проверке;
• накопленный опыт у аудитора по проверкам аналогичных объектов;
• возможность восстановления аудитора от профессионального выгорания;
• сложность объекта.

Вклад этих факторов в формирование аудиторской команды для проверки конкретного объекта показан на рис. 2.

В условиях жесткого ограничения времени на проведение проверки объекта и реализации корректирующих действий на объекте до начала чемпионата мира по футболу наибольшую важность приобретало установление личного контакта аудитора и представителя объекта. При отсутствии обязательности выполнения на объекте рекомендуемых корректирующих мероприятий аудитору требовалось буквально "с порога" продемонстрировать высокую профессиональную квалификацию и конструктивный подход к вопросам обеспечения информационной безопасности объекта. Для оценки психологической совместимости составлялся психологический портрет представителя объекта, для чего собиралась информация и отзывы сотрудников, контактировавших с представителями объекта ранее. Особенно ценную информацию для составления психологического портрета давали консультационные переговоры по заполнению техпаспорта объекта, разъяснения порядка проведения проверки объекта и т.д. Проводилась замена аудитора, если на подготовительном этапе проверки объекта он оценивал сложившиеся отношения с представителем объекта как напряженные или неконструктивные.

Проверяемые объекты делились на нескольких крупных классов по типовыми условиям функционирования: стадионы, гостиницы, вокзалы. Глубоко вникнув в построение технологических процессов на первом объекте, аудитор эффективнее проводил проверки последующих аналогичных объектов.

Высокая психологическая нагрузка и плотный график проверок вызывали серьезное утомление аудиторов и порождали проявление эффекта профессионального выгорания. Для устранения негативного воздействия подобного состояния аудиторов применялись меры по психофизиологическому восстановлению специалистов и проводилась оптимизация плана проверок.

Оценка сложности объекта оказывала влияние на определение численности аудиторской команды. Минимальной численностью аудиторской команды считалось два человека. Руководителем аудиторской команды назначался специалист, имеющий статус сертифицированного ведущего аудитора по стандарту ISO 27001:2013.

Этап проведения проверки

Основными методами проведения проверки были визуальный осмотр объекта, опрос (интервью) работников объекта и технический (сканеры уязвимостей, пентесты). Использовались методы социальной инженерии для проверки организационных мер безопасности, заявленных представителями объекта на проверке.

Опросный лист для проведения интервью подготавливался с обязательным учетом квалификации персонала объекта в области защиты информации.

Этап анализа и корректировки процесса аудита

Аудиторы по окончании проведения проверки составляли отчеты с описанием деталей и нюансов аудита. Основное внимание в них уделялось выявленным векторам атак на объекты, особенностям функционирования информационной инфраструктуры объекта. Была создана единая база знаний проверки объектов. Ознакомление с отчетными материалами было обязательно для всех аудиторов. Проводились рабочие совещания по обобщению опыта проверок на регулярной основе.

Выводы

1. В Москве необходим единый центр компетенции в области обеспечения информационной безопасности, позволяющий централизованно и на постоянной основе обеспечивать защиту информационных систем городских объектов от актуальных угроз.
2. Стоимость компьютерного инцидента сильно зависит от места и момента. Учет этой особенности наиболее актуален при обеспечении целостности информационного контента в рекламных устройствах, размещенных на объектах.
3. Необходимо обеспечивать информационную безопасность городских объектов уже на этапе создания информационной инфраструктуры. Злоумышленники могут повлиять на сроки готовности объектов, а также подготовить плацдарм для реализации компьютерных атак на объект во время проведения массовых мероприятий.
4. Контроль защищенности городских объектов (пентесты) наиболее эффективны при комплексном применении, с увязкой с другими способами и методами аудита ИБ. Необходим стратегический подход к организации контрольных мероприятий и координации действий при проведении проверочных мероприятий.
5. Отсутствие ведомственного центра государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) Правительства Москвы снижает оперативность реагирования на компьютерные атаки, проводимые в отношении городской информационной инфраструктуры.
6. Целесообразно включить в образовательные программы высшего профессионального образования подготовку аудиторов ИБ как отдельную специальность, по аналогии с специальностью 5.38.04.09 "Государственный аудит и контроль". В существующей ситуации по уровню квалификации специалистов по информационной безопасности наиболее соответствуют масштабу задач аудиторы, сертифицированные по стандарту ISO 27001:2013.
7. Требуется расширение области действия Федерального закона от 26.07.2018 № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" на сферы деятельности, связанные с массовым нахождением людей (спортивные объекты, гостиницы, фан-зоны) и средства массовой информации, включая пресс-центры.

Литература

[1] Комаров В. Обеспечение информационной безопасности на объектах города Москвы в период подготовки к проведению чемпионата мира по футболу FIFA 2018. Часть 1. – Information Security. – № 4. – 2018. – С. 4–5.