В рубрику "В фокусе" | К списку рубрик | К списку авторов | К списку публикаций
Нормативного определения аудита ИБ в настоящее время нет. Действующий в сфере ИБ ГОСТ Р ИСО/МЭК 27007–2014 "Информационная технология.
Методы и средства обеспечения безопасности. Руководства по аудиту систем менеджмента информационной безопасности" также не содержит определения понятия "аудит", однако содержит отсылку к ГОСТ Р ИСО 19011–2012 "Руководящие указания по аудиту систем менеджмента", где под аудитом понимается систематический, независимый и документируемый процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита.
Под свидетельствами аудита понимаются записи, изложение фактов или другая информация, то, что связано с критериями аудита и может быть проверено.
В свою очередь, критерии аудита – это совокупность политик, процедур или требований, используемых в качестве эталона, в соотношении с которым сопоставляют свидетельства аудита, полученные при проведении аудита.
Таким образом, можно говорить о том, что под аудитом ИБ следует понимать форму независимой оценки состояния информационной безопасности объекта аудита (информационная система, автоматизированная система, организация как объект защиты в целом и т.п.) на соответствие заданным критериям (например, требованиям действующего законодательства или принятых корпоративных стандартов, отсутствию уязвимостей, содержащихся в банке данных угроз безопасности информации и т.п.).
Аудит ИБ является первоначальным этапом для создания или модернизации системы защиты информации. По сути, основная цель проведения аудита ИБ – определить, какое положение дел в области обеспечения ИБ существует сейчас и какие дальнейшие действия необходимо предпринять для создания либо улучшения системы защиты информации.
Схематично этапы проведения аудита ИБ можно представить в следующем виде (рис. 1).
Данная последовательность действий выработана на основе ГОСТ Р ИСО 19011–2012 и опыта автора. Указанные на рис. 1 этапы характерны для практически любого аудита ИБ, в том числе и аудита объектов КИИ.
При проведении аудита ИБ объектов КИИ необходимо обратить внимание на то, что фактически существует два вида объектов КИИ:
Понимание описанной выше типологии объектов КИИ необходимо для определения критериев аудита ИБ. Так, например, если в рамки аудита попадают незначимые объекты КИИ, то при их оценке аудитор может не учитывать выполнение требований нормативно-правовых актов по обеспечению безопасности значимых объектов КИИ, но обязан оценить, насколько полно выполняются субъектом КИИ обязанности, возложенные на него ч. 2 ст. 9 Федерального закона от 26.07.2017 № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".
По решению субъекта КИИ для обеспечения безопасности незначимого объекта КИИ также может быть создана система безопасности, базирующаяся на требованиях для значимых объектов КИИ. В этом случае в критерии аудита уже включаются все требования, характерные для безопасности значимых объектов КИИ.
При организации и проведении аудита ИБ значимых объектов КИИ необходимо обратить внимание на моменты, указанные ниже.
Согласно п. 35 и п. 36 Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования (утв. приказом ФСТЭК России от 21 декабря 2017 г. № 235) в рамках контроля состояния безопасности значимых объектов КИИ должен осуществляться внутренний контроль организации работ по обеспечению их безопасности и эффективности принимаемых организационных и технических мер.
В ходе проведения контроля проверяется выполнение требований нормативных правовых актов в области обеспечения безопасности КИИ, а также проверяются организационно-распорядительные документы по безопасности значимых объектов КИИ, иными словами, проводится так называемый комплаенс-аудит.
Для оценки эффективности принятых организационных и технических мер по обеспечению безопасности значимых объектов КИИ могут применяться средства контроля (анализа) защищенности, так называемый инструментальный аудит (анализ защищенности).
Контрольные мероприятия проводятся ежегодно комиссией, назначаемой субъектом КИИ. В случае проведения по решению руководителя субъекта КИИ внешней оценки (внешнего аудита) состояния безопасности значимых объектов КИИ внутренний контроль может не проводиться.
Недостатки, выявленные по результатам внутреннего контроля или внешней оценки (внешнего аудита), подлежат устранению в порядке и сроки, установленные руководителем субъекта КИИ (уполномоченным лицом).
Таким образом, законодательно предусмотрена обязательность проведения аудита ИБ значимых объектов КИИ в форме внутреннего аудита, проводимого силами работников субъекта КИИ, либо внешнего аудита, проводимого специализированной организацией.
После проведения процедуры категорирования и определения категории объекта КИИ, перед проектированием системы безопасности необходимо проведение так называемого диагностического аудита (в общей теории менеджмента более известного как GAP-анализ), целью которого является определение тех мер по защите информации, которые уже приняты в отношении данного объекта КИИ, и тех, которые необходимо будет реализовать в процессе создания системы безопасности.
Для проведения указанного аудита ИБ необходимо взять весь перечень объектов КИИ, имеющих категорию значимости, и сопоставить уже принятые меры по обеспечению безопасности каждого из объектов КИИ с мерами, перечисленными в составе мер по обеспечению безопасности для значимого объекта соответствующей категории значимости (утв. приказом ФСТЭК России от 25 декабря 2017 г. № 239): первоначально определить, какие меры выполняются, а какие нет (по принципу "да/нет"), затем понять, как и насколько полно они выполняются.
Результатом проведения диагностического аудита будет являться понимание того, какая часть обязательных мер по обеспечению безопасности значимого объекта КИИ уже реализована, а какая требует реализации в процессе создания системы безопасности, какая часть мер может быть закрыта встроенными средствами защиты, а для какой потребуется применение наложенных.
Проведение диагностического аудита возможно собственными силами работников субъекта КИИ, задействованных в обеспечении безопасности объектов КИИ. Однако автор рекомендует использовать независимую внешнюю оценку для получения более объективной и полной картины текущего состояния дел.
Уверенность в том, что объект КИИ действительно хорошо защищен и вероятность возникновения компьютерного инцидента мала, может обеспечить только проведение инструментального аудита (анализ уязвимостей), включающего тестирование на проникновение (Penetration Test).
Анализ уязвимостей значимого объекта КИИ является обязательным как на этапе создания (до ввода объекта КИИ в эксплуатацию), так и в ходе его эксплуатации (п. 12.6., п. 13, п. 13.2., п. 13.8 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утв. приказом ФСТЭК России от 25 декабря 2017 г. № 239).
Анализ уязвимостей значимого объекта проводится в целях выявления недостатков (слабостей) в подсистеме безопасности значимого объекта и оценки возможности их использования для реализации угроз безопасности информации.
При этом важно обратить внимание на то, что, согласно вышеупомянутым требованиям, анализу подлежат уязвимости кода, конфигурации и архитектуры значимого объекта.
Анализ уязвимостей проводится для всех программных и программно-аппаратных средств, в том числе средств защиты информации значимого объекта КИИ.
По результатам анализа уязвимостей должно быть подтверждено, что в значимом объекте отсутствуют уязвимости, как минимум содержащиеся в банке данных угроз безопасности информации ФСТЭК России, или выявленные уязвимости не приводят к возникновению угроз безопасности информации (критерии аудита), а в идеале тестирование на проникновение должно подтвердить отсутствие возможности успешного проведения компьютерной атаки со стороны потенциального злоумышленника.
При проведении анализа уязвимостей применяются следующие способы их выявления:
Применение способов и средств выявления уязвимостей осуществляется с учетом особенностей функционирования значимого объекта КИИ.
Таким образом, проведение аудита ИБ является базовой мерой обеспечения безопасности для значимых объектов КИИ, влияющей на принятие решения о создании системы безопасности либо о необходимости доработки (модернизации) его подсистемы безопасности. Результаты аудита, как правило, составляют основу для формирования технического задания и технического проектирования необходимых систем защиты. Результаты инструментального анализа с тестированием на проникновение могут быть использованы как доказательство принятия субъектом КИИ необходимых мер по обеспечению безопасности объектов КИИ.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2019