Аудит защищенности от НСД: ключевые моменты методологии

Игорь Буянов
Руководитель направления IT и аудита компании “Гринатом"

Для чего нужен аудит защищенности от НСД?

До рассмотрения непосредственно методологии аудита важно взвесить причины для его проведения, а также обозначить отличие между понятиями "конфиденциальность" и "защищенность от НСД".

Цель аудита защищенности о НСД - оценка состояния корпоративных мер безопасности в данной области на соответствие требованиям корпоративных политик и законодательства в области ИБ. Границы аудита, как правило, включают оценку процедур, выполняемых в течение типового жизненного цикла информации. Поскольку в настоящее время объем информации представляет из себя некий "рог изобилия", аудит защищенности от НСД отражает статус риска нарушения правил обращения с информацией, а также предлагает рекомендации, которые могут уменьшить репутационный риск корпоративного уровня.

Отличие конфиденциальности и защищенности

Очень часто понятия "конфиденциальность" и "защищенность" используются как взаимозаменяемые. Но в контексте данной статьи конфиденциальность следует рассматривать как защиту информации от распространения без разрешения на то ее владельца. Защищенность же от НСД (иногда используется термин "приватность") должна рассматриваться как некая независимость от вмешательства в закрытые для посторонних области деятельности. К примеру, работающие над IТ-проектом вашей компании внешние консультанты или подрядчики могут иметь доступ к информации закрытого характера (персональные данные работников, базы данных клиентов и т.п.), но они не вправе распространять ее среди третьих лиц, соблюдая требования по конфиденциальности.

Что же касается защищенности от НСД, то законодательство большинства государств, включая Россию, гарантирует неприкосновенность частной деятельности, а на персональном уровне любому жителю нашей планеты, в соответствии со ст. 12 "Всеобщей декларации прав человека", гарантируется право на защиту закона от вмешательства или посягательства в его личную жизнь, включая информацию, с которой он обращается.

Исходя из вышесказанного, описанная в нескольких словах "концепция" защищенности от вмешательства в частную жизнь может быть расширена и трансформирована на корпоративный уровень.

Методология аудита защищенности от НСД

В рамках данной статьи мы рассмотрим высокоуровневые этапы методологии, которые могут быть адаптированы специалистами в области аудитов IТ и ИБ при проведении контрольных мероприятий.

Рассмотрим основные этапы более подробно.

Формирование контекста
Ключевой проблемой любой дискуссии, связанной с областью защищенности от НСД, является субъективный подход ее участников по причине того, что нет четкого определения термина "защищенность". Интерпретация этого понятия может варьироваться от страны к стране, от одной организации к другой. К примеру, во многих организациях сотрудников при выполнении процедуры входа в корпоративную IТ-среду предупреждают о мониторинге их активности и сборе информации различного рода. На эту тему мы видели много дебатов. Сторонники сбора информации о действиях сотрудников с использованием ресурсов компании (компьютеры, Интернет) в рабочее время не считают это вторжением в частную жизнь, даже в том случае, если компания продает эти сведения третьей стороне. Противники же, напротив, обвиняют компании в нарушении права на неприкосновенность личной жизни. Ответ на вопрос, кто же является владельцем этих данных (компания, которая их "коллекционирует", или сотрудник, который их "генерирует"), может дать четкое понимание для аудиторов, в каких границах должен быть проведен аудит. Крайне важно при этом убедиться, что высшее руководство единогласно разделяет критерии, которые будут использованы при проведении аудита, а также предполагаемый эффект от предлагаемого аудита.

Идентификация рисков
Провести идентификацию рисков можно с использованием обычно применяемых аудиторами методов, инструментов и технологий. В рамках данной статьи мы не станем приводить все возможные риски в изучаемой нами области ИБ, затронем лишь некоторые из них, которые желательно включить в границы аудита:

• Операционная модель. В данном случае мы имеем в виду облачные сервисы. Аудиторы должны объективно подойти к изучению рисков, связанных с облачными вычислениями и хранением данных в облаке. Риски должны быть ранжированы соответственно вероятности их реализации и степени ущерба от их проявления. В конечном счете, следует понимать, что безопасность данных зависит от мер обеспечения их безопасности, а не от расположения самих данных, будь то файл – сервер организации или внешнее облако.
• Социальные медиа. Безусловно, социальные сети являются прекрасным инструментом для общения с клиентами и поддержания их лояльности. Однако существует риск, что информация, агрегированная из разных источников и объединенная на какой-нибудь персональной страничке в соцсетях, в целом будет представлять из себя персональные данные или коммерческую тайну.
• Мобильные устройства. Тема использования личных мобильных устройств в IТ-периметре компании неоднократно поднималась на страницах "Information Security", так что мы не станем на ней подробно останавливаться. Но при лавинообразном росте количества персональных девайсов на "службе" в контексте защищенности от НСД обратим внимание на такие контрольные точки, как данные геопозиционирования, идентификаторы мобильных устройств, программы и игры на мобильных устройствах, которые получают доступ к персональной информации без информирования владельца девайса.
• Big Data, или большие данные. Технологии в области аналитики позволяют держать огромные объемы данных в произвольной форме, что незначительно снижает риск получения злоумышленниками чувствительной информации. Однако витрины данных, создаваемые компаниями для проведения анализа, с одной стороны, значительно облегчают жизнь бизнес-аналитикам, но с другой, повышают риск непреднамеренной утечки конфиденциальной информации.

Анализ рисков
В подавляющем большинстве случаев анализ рисков состоит из двух основных шагов:

1. Приведение рисков, присущих процессу или системе, в соответствие со степенью влияния.
2. Оценка встроенных контролей.

Риски, присущие или унаследованные, ранжируются в стандартной таблице по степени влияния и вероятности их реализации.

Эффективность встроенных контролей должна быть оценена с точки зрения минимизации рисков. Ниже приведен ряд контролей в области ИБ, которые могут быть использованы компаниями:

• Политики в области ИБ, включая политики и процедуры защиты от НСД. Политики, процедуры, стандарты в области ИБ должны быть задокументированы, утверждены руководством, а их содержание должно быть доведено до сотрудников. Кроме того, нормативная база организации в области ИБ должна регулярно обновляться и соответствовать требованиям законодательства.
• Контроли (контрольные процедуры) в области ИБ. Данная область не ограничивает компании по внедрению контрольных процедур или встроенных в IТ-системы контролей. Наиболее важно обеспечить эффективность контролей, для чего необходимо проведение их тестирования на регулярной основе специалистами в области аудита IТ и ИБ.

Оценка рисков
На данном этапе производится "вычисление" остаточного риска на основе данных о присущем риске и эффективности имеющихся контролей. Остаточный риск – это уровень риска, который остается от уровня присущего или унаследованного риска после применения к нему всех подходящих контролей из имеющегося набора.

Управление рисками
Преимущественно владельцем этого этапа является руководство компании, и роль аудитора обычно сводится к подтверждению адекватности мер, принятых для минимизации рисков. В качестве базиса для оценки мероприятий по минимизации рисков допустимо использовать величину остаточных рисков. Собственно мероприятия могут включать в себя повышение эффективности действующих контролей, а также разработку и внедрение новых, относящихся непосредственно к области защищенности от НСД. Существует несколько подходов к управлению рисками: снижение до приемлемого уровня, передача рисков или их избежание. Выбираемый компанией подход зависит как от уровня ее риск-аппетита, так и от эффективности соотношения затрат к результату.