Аудит информационной безопасности
Типовые этапы аудита ИБ:
1 Планирование, обычно включает:
1.1 Определение целей аудита
1.2 Определение границ аудита
2 Сбор информации, обычно включает:
2.1 Автоматизированный (инструментальный) сбор информации
3 Активная проверка средств защиты и выполнения регламентов
4 Анализ или оценка, может включать:
4.1 Анализ рисков
4.2 Оценку показателей безопасности
5 обработка рисков
6 подтверждение или сертификация
Наиболее интересные открытые методологии аудита информационной безопасности:
• Open Source Security Testing Methodology Manual, version 2 (OSSTMM v.2)
http://www.isecom.org/osstmm/
• Information Systems Security Assessment Framework
http://www.oissg.org/issaf/index.php
• Study: «A penetration testing model», BSI
http://www.bsi.de/english/publications/studies/penetration.pdf
• NIST Guideline on Network Security Testing;
http://csrc.nist.gov/publications/nistpubs/800-42/NIST-SP800-42.pdf
Наиболее интересные открытые методики:
• Методики Банка России (в том числе по Аудиту)
http://www.cbr.ru/credit/gubzi_docs/methodics.htm
Открытые стандарты информационной безопасности:
• Стандарты Банка России (в том числе по Аудиту)
http://www.cbr.ru/credit/gubzi_docs/standarts.htm
• Paymant Card Industry Data Security Standart (PCI DSS)
https://www.pcisecuritystandards.org/tech/pci_dss.htm
• Неофициальная публикация стандартов 17799 и 27001
http://virmaker-dos.narod.ru/iso/iso.html
Регламентирующие документы:
• Неофициальная публикация Специальные Требования И Рекомендации по технической защите конфиденциальной информации (СТР-К)
http://iz-news.ru/docs/1381/
Этап. Определение границ аудита
На данном этапе определяются субъекты аудита, возможные блоки аудита.
Этап. Оценка риска
(Пример специально для Kost-a)
Допустим целями организации является предотвращение рисков категорий средняя и высокая.
Опасность уязвимости предлагаю оценивать по методике
Common Vulnerability Scoring System (CVSS)
Чтобы ещё более упростить процесс оценки ведем категории уязвимостей
| категория | значение по методике CVSS |
| высокая | от 7 (включительно) до 10 |
| средняя | от 3.5 (включительно) до 7 |
| низкая | от 0 до 3.5 |
Теперь необходимо сгруппировать уязвимости по связанным с ними угрозам. Для перечня возможных угроз можно взять за основу
Германский стандарт IT-Grundschutz и дополнить своими.
Категорию опасности угрозы предлагаю определять как наибольшую категорию из связанных с ней уязвимостей.
получаем перечень опасности угроз специфичный именно для нашей организации, например:
| наименование угрозы | опасность угрозы |
| несанкционированный доступ к рабочей станции | средняя |
| несанкционированный доступ к базе данных | высокая |
Введем категории вероятности реализации угрозы (информацию можно брать из открытых исследований)
| категория | значение |
| высокая | может возникнуть как минимум несколько раз в год |
| средняя | может возникнуть как минимум раз в несколько лет |
| низкая | навряд ли возникнет в течении следующих 10 лет |
Введем категории ущерба, который может понести организация при реализации угрозы
| категория | денежные потери | влияние на сотрудников | влияние на репутацию |
| высокий | более 1 млн. | часть важных сотрудников покинет компанию | затронет всех текущих и потенциальных клиентов. публикации во всех СМИ. падение стоимости акций |
| средний | от 50 тыс. до 1 млн. | ухудшение репутации сотрудников с точки зрения других компаний. понижение мотивации сотрудников | затронет локальных клиентов. публикация в специализированных СМИ. падение репутации среди акционеров |
| низкий | менее 50 тыс. | недовольство определенных сотрудников | может привлечь внимание общественности или клиентов но существенно не затронет репутацию |
Получаем таблицу рисков организации (считать как среднее по столбцам)
| наименование угрозы | опасность угрозы | вероятность угрозы | ушерб от угрозы | риск |
| несанкционированный доступ к рабочей станции | средняя | высокая | средний | средний |
| несанкционированный доступ к базе данных | высокая | низкая | высокий | средний |
| утрата информации вследствие невыполнения регламентов резервного копирования информации | низкая | низкая | средняя | низкая |
Можно перейти от категорий (высокий, средний, низкий) к 10-бальной шкале и использовать любые математические формулы.
Можно использовать более сложные методики, такие как:
•
NIST Risk Management Guide for Information Technology Systems
•
Канадский стандарт A Guide to Risk Assessment and Safeguard Selection for Information Technology Systems
•
GAO Information Security Risk Assessment
