Ш1 Ernst &Young
Quality In Everything We Do
s,cav^f ocr. by NztZLor TtatM,
Mtzor.org
duiM.-py-.ru
ioblt.ru.
Москва
Издательская группа «БДЦ-пресс» 2006
Курило А.П., Зефиров СЛ., Голованов В.Б. и др.
Аудит информационной безопасности. — М.: Издательская группа
«БДЦ-пресс», 2006. — 304 е., с вкл.
ISBN 5-93306-100-Х
В книге рассмотрены принципы и методы аудита информационной безопасности организаций на основе процессного подхода. Показаны методы оценивания информационной безопасности и подходы к исследованию полученных оценок информационной безопасности. Приведены практические примеры аудита информационной безопасности. Изложены принципы и подходы к формированию доверия к информационной безопасности. Представлены обзор и анализ международных, национальных и отечественных стандартов, руководств и нормативных документов по основам и практике аудита информационной безопасности.
ББК 65.01 К 88 |
Книга адресована высшим менеджерам организаций, руководителям служб информационной безопасности и информационных технологий, а также специалистам и аудиторам в области информационной безопасности. Издание также представляет практический интерес для студентов старших курсов, обучающихся по специальностям, составляющим группу специальностей 090100 «Информационная безопасность».
1SIN 593306100-X © Курило A.n. и др., 2006 © Издательская группа «БДЦ-пресс», 2006 |
ББК 65.01 К 88
Книга выпущена при поддержке корпорации IBM.
Содержание
Предисловие........................................................................................ 6
1. Аудит информационной безопасности — необходимый инструмент обеспечения информационной безопасности в современных условиях........................................ 10
2. Процессы и системы................................................................... 18
2.1. Структура vi свойства процессов и систем.......................................... 18
2.1.1. «Процессный подход»...................................................................... 24
2.1.2. Процессный подход и информационная безопасность......................... 31
2.2. От линейной модели управления качеством процессов и систем к замкнутой циклической модели менеджмента качества процессов и систем................................................................................. 37
2.3. Способы контроля и проверки процессов и систем.
Цели контроля и проверки процессов и систем............................. 43
2.3.1. Оценка процессов — основа контроля и проверки процессов
и систем..................................................................................................... 43
2.3.2. Определение входных данных оценки............................................... 45
2.3.3. Роли и обязанности по проведению оценивания................................. 47
2.3.4. Модель оценки процесса................................................................. 48
2.3.5. Мероприятия процесса оценивания и выходные данные оценивания.... 49
2.3.6. Факторы успешной оценки процесса.................................................. 52
2.3.7. Внутренний и внешний аудит............................................................ 53
Обзор моделей безопасности бизнеса. Вводная информация
о моделях безопасности бизнеса. Аналитический материал IBM...... 54
3. Аудит информационной безопасности организаций
и систем.......................................................................................... 103
3.1. Правовые и методологические основы аудита информационной
безопасности...................................................................................... 103
3.1.1. Международные правовые аспекты, стандарты и руководства
по основам аудита информационной безопасности...................................... 103
КПМГ: мы помогаем компаниям в достижении стоящих
перед ними целей......................................................................................... 122
3.1.2. Национальные стандарты и руководства по основам аудита информационной безопасности 125
3.1.3. Отечественные законы и стандарты по основам аудита.................... 155
3.2. Осознание и менеджмент аудита информационной безопасности 167
3.2.1. Система обеспечения информационной безопасности — совокупность процессов осознания и менеджмента информационной безопасности.................................................................................................... 167
3.2.2. Осознание аудита информационной безопасности............................ 174
Комплексное обследование (аудит) информационной безопасности. Подход компании «ЭЛВИС-ПЛЮС» 178
3.2.3. Планирование программы аудита информационной безопасности.... 183
3.2.4. Реализация программы аудита информационной безопасности.......... 190
3.2.5. Контроль и совершенствование программы аудита информационной безопасности 199
3.3. Методы оценивания информационной безопасности................... 203
3.3.1. Оценивание информационной безопасности на основе показателей информационной безопасности 203
3.3.2. Оценивание информационной безопасности на основе моделей зрелости процессов обеспечения информационной безопасности.... 212
4. Исследование полученных оценок информационной
безопасности.................................................................................. 245
4.1. Оценивание результатов аудита и самооценки информационной безопасности 245
4.2. Оценивание процессов проведения аудита и самооценки информационной безопасности 249
4.3. Риск-ориентированная интерпретация полученных оценок информационной безопасности 250
5. Практика аудита информационной безопасности
организаций и систем.................................................................. 256
5.1. Особенности аудита информационной безопасности
организаций банковской системы Российской Федерации....... 256
5.1.1. Особенности развития средств и систем автоматизации................... 256
5.1.2. Направления обеспечения и оценки информационной безопасности.. 261
5.1.3. Размерность и значимость объектов оценки при проведении
аудита информационной безопасности........................................................ 264
5.1.4. Работы по созданию системы оценки ИБ организаций
банковской системы Российской Федерации................................................ 267
5.2. Аудит управления непрерывностью бизнеса и восстановления после сбоев 269
5.2.1. Предпосылки................................................................................. 269
5.2.2. Немного о терминах........................................................................ 270
5.2.3. Методологии, стандарты и нормативные требования в области управления непрерывностью бизнеса 271
5.2.4. Основные цели аудита.................................................................... 274
5.2.5. Основные вопросы, рассматриваемые при аудите............................ 275
5.2.6. Реализация аудита........................................................................ 276
5.2.7. Заключительные процедуры аудита................................................. 282
5.3. Особенности аудита информационной безопасности организаций, использующих аутсорсинг 282
6. Аудит и доверие информационной безопасности................. 290
Список использованных источников.......................................... 299
Участники проекта «Аудит информационной безопасности»............................................... 303
Предисловие
При построении системы обеспечения информационной безопасности (ИБ) организации наряду с процессами оценки рисков ИБ, реализации и эксплуатации защитных мер, обучения персонала информационной безопасности и другими важными процессами во многом определяющими для менеджмента являются процессы контроля и проверки ИБ организации. Своевременность, точность и полнота оценок ИБ, полученных в результате контроля и проверки ИБ, дают возможность идентифицировать уязвимости системы обеспечения ИБ организации, выявить неоцененные риски, определить корректирующие и, может быть, превентивные меры, направленные на совершенствование процессов обеспечения ИБ организации.
Среди процессов контроля и проверки ИБ особое положение занимает аудит ИБ, основным назначением которого является формирование независимой оценки ИБ организации, независимой от деятельности, которая проверяется. Как проводить аудит ИБ, какие процедуры использовать, к каким результатам может привести аудит ИБ, кто имеет право проводить такую проверку, как оценить результаты аудита? На эти и другие вопросы авторы постарались ответить в предлагаемой читателям книге.
Материал представлен с позиций «процессного подхода», что позволяет увидеть все многообразие процедур, мероприятий и атрибутов, применяемых и столь необходимых для осуществления аудита ИБ, а также для его улучшения.
Книга имеет б разделов. В первом разделе рассматриваются методологические аспекты оценки сложных систем в историческом контексте (ракурсе). Показывается изменение подходов к оценке по мере развития систем и общества.
Во втором разделе рассматриваются основы системного и процессного подхода, их применение в обеспечении информационной безопасности, показываются направления практической реализации системного и процессного подходов. Раскрываются основы моделей менеджмента и непрерывного совершенствования, базирующихся на непрерывной модели совершенствования, более известной как модель Деминга— Шухарта. Показываются цели контроля и проверки систем и процессов, способы независимой оценки. Излагаются принципы аудита. Рассматривается процесс оценивания, анализируются его элементы.
В третьем разделе излагаются международные правовые аспекты и анализируются национальные руководства по аудиту И Б, а также отечественные законы и стандарты по основам аудита. Вводится понятие осознания ИБ. Рассматривается обеспечение ИБ организации как совокупность взаимодействующих процессов осознания ИБ и процессов менеджмента ИБ. Показывается процесс осознания аудита ИБ, анализируются его основные элементы. Описываются структура, содержание программы аудита ИБ и процессы менеджмента программы аудита ИБ. Подробно рассматриваются основные элементы процесса проведения аудита ИБ. Предлагается модель оценки процессов обеспечения И Б на основе показателей ИБ. Рассматриваются модель оценки для измерения правильности процессов системы обеспечения ИБ организации с целью оценки соответствия ИБ установленным критериям и модель для оценки эффективности процессов системы обеспечения ИБ, основывающейся на оценке зрелости данных процессов. Приводятся примеры формальных методов (стандартов) оценки зрелости процессов жизненного цикла систем, процессов информационных технологий, процессов инжиниринга безопасности, процессов информатизации в банковском бизнесе.
В четвертом разделе рассматриваются подходы к исследованию оценок ИБ. Описываются критерии оценивания результатов аудита и самооценки ИБ и критерии оценивания процессов проведения аудита и самооценки И Б. Рассматривается способ интерпретации полученных оценок ИБ.
В пятом разделе показывается практическое применение аудита ИБ и организациях банковской системы Российской Федерации, направления и структура оценки И Б, описываются работы по созданию системы оценки ИБ. Рассматриваются с точки зрения практики основные вопросы аудита управления непрерывностью бизнеса и восстановления после сбоев. Приводится практический пример реализации аудита управления непрерывностью бизнеса (включая этапы его проведения), отражающий многолетнюю практику проведения данных работ. В разделе также раскрываются особенности аудита информационной безопасности организаций, использующих аутсорсинг, который все более широко внедряется в практическую деятельность организаций.
В шестом разделе рассматриваются вопросы аудита и доверия информационной безопасности. Показывается, что на практике в силу специфики области информационной безопасности фундаментальную роль и место имеет мнение (субъективное ощущение) человека. Опасность, до момента ее наступления, и безопасность, как противоположность опасности, являются категориями умозрительными, например вероятностными, причем вероятности здесь также условны в силу отсутствия, как правило, статистики по многим аспектам, уникальным в каждом отдельном случае. Показывается, что аудит ИБ, наряду с другими методами доверия может быть значимым инструментом обеспечения уверенности в информационной безопасности.
По разделам и главам авторский вклад распределен следующим образом:
раздел 1 «Аудит информационной безопасности — необходимый инструмент обеспечения информационной безопасности в современных условиях» — Курило А.П., к.т.н. (Банк России, заместитель начальника Главного управления безопасности и защиты информации);
глава 2.1. «Структурам свойства процессов и систем», глава 2.2 «От линейной модели управления качеством процессов и систем к замкнутой циклической модели менеджмента качества процессов и систем» — Голованов В.Б. (НПФ «Кристалл», Пенза, заместитель научного директора);
глава 2.3. «Способы контроля и проверки процессов и систем. Цели контроля и проверки процессов и систем» — Зефиров СЛ., к.т.н. (НПФ «Кристалл», Пенза, заместитель научного директора);
глава 3.1.1. «Международные правовые аспекты, стандарты и руководства по основам аудита информационной безопасности» — Кристофер Гулд (директор аудиторской фирмы КПМГ) совместно с Дроздовым A.B. (старший менеджер аудиторской фирмы КПМГ);
глава 3.1.2. «Национальные стандарты и руководства по основам аудита информационной безопасности» — Зефиров С.Л.;
глава 3.1.3. «Отечественные законы и стандарты по основам аудита» — Алексеев В.М. (НПФ «Кристалл», Пенза, начальник отдела);
глава 3.2.1. «Система обеспечения информационной безопасности — совокупность процессов осознания и менеджмента информационной безопасности»; глава 3.2.2. «Осознание аудита информационной безопасности» — Зефиров С.Л.;
глава 3.2.3. «Планирование программы аудита информационной безопасности» — Зефиров С.Л. совместно с Самодаевым H.A.;
глава 3.2.4. «Реализация программы аудита информационной безопасности»; глава 3.2.5. «Контроль и совершенствование программы аудита информационной безопасности»; глава 3.3.1. «Оценивание информационной безопасности на основе показателей информационной безопасности» — Зефиров С.Л.;
глава 3.3.2. «Оценивание информационной безопасности на основе моделей зрелости процессов обеспечения информационной безопасности» — Голованов В.Б.;
глава 4.1. «Оценивание результатов аудита и самооценки информационной безопасности»; глава 4.2. «Оценивание процессов проведения аудита и самооценки информационной безопасности» — Зефиров С.Л.;
глава 4.3. «Риск-ориентированная интерпретация полученных оценок информационной безопасности» — Андрианов В.В., к.т.н. (НПФ «Кристалл», Пенза, научный директор) совместно с Зефировым СЛ.;
глава 5.1. «Особенности аудита информационной безопасности организаций банковской системы Российской Федерации» — Зефиров С.Л. совместно с Головановым В.Б.;
глава 5.2. «Аудит управления непрерывностью бизнеса и восстановления после сбоев»; глава 5.3. «Особенности аудита информационной безопасности организаций, использующих аутсорсинг» — Са- модаев H.A. (старший менеджер аудиторской фирмы Эрнст энд Янг);
глава б «Аудит и доверие информационной безопасности» — Алексеев В.М. совместно с Головановым В.Б.
1. Аудит информационной безопасности — необходимый инструмент обеспечения информационной безопасности в современных условиях
Проблема доверия к мерам информационной безопасности или, как часто говорили некоторое время назад к способам и методам защиты информации, реализованным на объекте защиты, возникла одновременно с осознанием необходимости применения таких мер.
Всегда следовало убедиться в том, что предпринятые меры защиты эффективны.
Проявленные в ходе оценки эффективности мер безопасности ошибки, самоуверенность, пренебрежение или безграмотность неизменно приводили к ложным выводам.
Всегда ложные выводы дорого обходились. История полна драматических примеров, подтверждающих этот факт.
Справедливости ради следует отметить, что проблема доверия к мерам информационной безопасности является частным случаем гораздо более общей проблемы получения свидетельств доверия к изделию, процессу, субъекту, сообществу, коллективу, которая, в свою очередь, представляется неотъемлемой частью отношений высокоорганизованных существ, а не только homo sapiens.
В исторически обозримое время можно проследить появление двух различных методологических подходов к решению этой проблемы. Что самое удивительное, эти подходы просуществовали вплоть до настоящего времени. Под влиянием изменения и усложнения организации общественных и государственных институтов, развития технологий производства продукции и обработки информации трансформируются только методические подходы к проблеме, не более.
Итак, всегда оценка сводилась:
• к получению свидетельств доверия к объекту путем его испытания, т.е. практического подтверждения убежденности в том, что объект обладает ожидаемыми свойствами;
• к получению свидетельств доверия (уверенности) в том, что некая деятельность, от которой зависит эффективность работы самого объекта, осуществляется правильно. Убедится в этом можно, только сравнив эту деятельность с заранее установленным стандартом или с лучшей практикой осуществления такой же деятельности в других местах. При этом считается, что выполнение стандартов деятельности (регламентов, инструкций, правил, руководящих указаний), разработанных на основании этих практик, гарантирует положительный результат этой деятельности и, как следствие, нормальную и эффективную работу самого объекта.
Первый подход, т.е. метод натурных испытаний, присущ, как уже отмечалось, в большей степени материальным (инженерным) объектам, начиная с каменных топоров и заканчивая океанскими суперлайнерами и космическими станциями. В ряде случаев, когда невозможно смоделировать реальные условия эксплуатации объекта или нельзя по каким-либо причинам проверить, как реально он работает, проводится моделирование, и по результатам испытаний модели делается вывод о реальном поведении объекта, его качестве или надежности функциронирования. Результаты испытаний фиксируются в виде специального документа (акта испытаний, сертификата), свидетельствующего только об одном — о том, что испытуемый объект соответствует предъявляемым к нему требованиям. Объект сопровождается эксплуатационной документацией, указывающей на то, в каких условиях он должен эксплуатироваться и как обслуживаться, для того чтобы свойства объекта не оказались утраченными.
В конце тридцатых годов прошлого века в Германии были выдвинуты идеи, суть которых сводилась к тому, что на качество выпускаемого изделия самым существенным образом влияет качество управления производством. В последующем эти идеи привели к возникновению новой философии управления качеством, положенной в основу получивших исключительное распространение во всем мире стандартов ISO серии 9000.
В последние годы возникли идеи ввести в систему управления качеством методы рыночного саморегулирования, что нашло от-
Второй подход возник по мере развития и совершенствования общественных и финансовых институтов сначала в древней Греции, а потом в Римской империи. Как пишет в своей книге «Практический аудит» П.И. Камышанов, еще примерно в 200 г. до н.э. квесторы (должностные лица, ведавшие финансовыми и судебными делами) Римской империи осуществляли контроль за государственными бухгалтерами на местах. Отчеты квесторов направлялись в Рим и выслушивались экзаменаторами. В результате такой практики и возник термин «аудитор» (от лот. «слушать»). Кроме того, в Римской империи была создана специальная налоговая полиция, сотрудники которой прибегали к пыткам женщин и детей для получения сведений об укрываемых от обложения доходах и имуществе.
Методологии аудита присущи многие специфические свойства, о которых пойдет речь в этой книге. Но в основе его лежат следующие фундаментальные принципы, корни которых прорастают из древнего Рима:
• открытость результатов аудита;
• публичность при принятии и обсуждении результатов.
Очень важно отметить, что в этом случае вывод о том, насколько успешно функционирует объект и насколько он соответствует предъявляемым к нему требованиям, делается на основании изучения качества выполнения персоналом этого объекта соответствующих функций, зафиксированных в технологических регламентах, созданных, в свою очередь, по заранее установленным стандартам.
По сути, этот метод является прогностическим, а выводы по результатам аудита принципиально носят вероятностно-прогностический характер. Принципиально отличаются и документы, возникающие по результатам аудита. Как правило, это оценочные отчеты, содержащие в то же время весьма конкретные и жесткие рекомендации по приведению внутренних процессов и регламентов в соответствие общепринятым стандартам или практикам.
В последнее время появился положительный опыт применения методологии аудита для оценки сложных систем, в первую очередь таких, работа которых неразрывно связана с деятельностью коллективов людей, отношения между которыми являются, как известно, определяющим фактором успешного функционирования этих систем.
Проблема оценки мер защиты в ее современном понимании возникла естественно, с появлением первой вычислительной машины. Сначала для оценки безопасности информации, которую обрабатывали эти устройства, вполне подходили радиотехнические методы измерений и оценки, что требовало представления ЭВМ как радиотехнического объекта. При использовании методологии испытаний изделий, о чем шла речь выше, удалось разработать эффективные критерии оценки уровня безопасности, а результаты испытаний оформить в виде понятных документов, например сертификатов. Естественно, после этого к объекту прикладывался хорошо отработанный набор технической документации, содержащей указания о требованиях, при которых свойства безопасности защищаемого объекта, т.е. ЭВМ, которая обрабатывала определенную информацию, сохраняются.
Методика в первое время была удобной. Однако в связи с бурным развитием элементной базы и появлением мощных и малогабаритных компьютеров, объединением их в системы и сети, а главное — превращением информационных технологий в инфраструктуру обеспечения всех без исключения сторон практической деятельности людей, организаций и государственных институтов возникли серьезные сложности при применении этого подхода. В немалой степени на это повлияло то обстоятельство, что в качестве приоритетных стали рассматриваться угрозы, связанные в первую очередь с доступом к информации вычислительными, а не радиотехническими способами. Это обстоятельство в середине 70-х гг. прошлого века привело к возникновению сначала в США и практически одновременно в Европе ряда исследовательских проектов, имевших целью разработку новых подходов к вопросу оценки уровня безопасности и выработки доверия к мерам защиты конкретных информационных ресурсов. В 1979 г. в США вышла знаменитая «Оранжевая книга», провозгласившая этот подход.
В конце XX в. на фоне растущей глобализации, глубокой интеграции и взаимного проникновения друг в друга ранее изолированных информационных, финансовых, транспортных и информационных систем, взрывного роста возможностей ПЭВМ и внедрения в нашу практическую жизнь сети Интернет наступило осознание того, что проблема информационной безопасности носит глобальный характер и прямо или косвенно затрагивает интересы практически всех людей, организаций, предприятий и государственных институтов. Это привело к пониманию необходимости стандартизации подходов к практике обеспечения информационной безопасности на международном уровне. В результате под эгидой международной организации по стандартизации были разработаны несколько основополагающих стандартов в сфере информационной безопасности продуктов информационных технологий (IS0/IEC 15408) и аудита информационной безопасности (ISO 17799 и BS 7799). В определенной степени эти вопросы нашли отражение и в стандартах аудита информационных систем (C0BIT).
Необходимо отметить, что в основу этих стандартов были положены методологически разные подходы, отражающие два взгляда на методологию получения свидетельств доверия, о чем уже шла речь выше. И только сейчас, осознав наличие методологического противоречия, мешающего в конечном итоге выработке ясных и непротиворечивых правил получения свидетельств доверия к уровню информационной безопасности организаций, представляющих собой сложные системы, международная организация по стандартизации начала работы по созданию соответствующих универсальных стандартов. Одновременно продолжаются работы на национальном уровне, в первую очередь в США, Великобритании, Италии, Франции и Германии.
Суть противоречий заключается в определении состава объекта защиты.
В первом случае это некая техническая (аппаратно-программная) система, обеспеченная необходимой технической и эксплуатационной документацией, и персонал, обслуживающий ее. В нашей стране персонал вообще не рассматривается в качестве элемента системы.
Во втором случае это сложная система, включающая техническую инфраструктуру со всей документацией и персонал, использующий эту инфраструктуру для достижения бизнес-целей организации, работающий в соответствии с соответствующими правилами и регламентами, написанными специально для него.
Сложность заключается в том, что оценить работу персонала можно только методами аудита, а технических систем — методом испытаний.
Начиная с конца 80-х гг. прошлого века с появлением британского стандарта 17799 ведущие мировые аудиторские фирмы стали успешно применять этот стандарт для оценки уровня информационной безопасности организаций в целом и получения свидетельств доверия для информационных систем. Это потребовало проведения фундаментального анализа сущности понятия «информационная система», использования методологии процессных подходов, совершенствования методологии управления на основе циклических моделей управления менеджментом, разработки критериев оценки, о чем также пойдет речь в данной книге.
Опыта такого же массового использования стандарта ISO 15408, за исключением сертификации ряда информационных продуктов, нет.
В нашей стране бытующий технократический взгляд на информационную систему как на комплекс технических средств, программного, математического и лингвистического обеспечения и информационных ресурсов, закрепленный в законодательстве в начале 90-х годов, предопределил развитие проблемы по первому сценарию, что привело ситуацию в определенный тупик и усложнило движение в сторону реализации лучших мировых практик в этой сфере деятельности. Пока это только начинает осознаваться.
Вместе с тем практическая жизнь гораздо разнообразнее, чем любая теория или схема. В результате этого время от времени возникают проблемы, требующие безотлагательного решения.
Так, например, при установлении партнерских отношений между банками существует правило проведения у партнеров финансового аудита международной аудиторской компанией по соответствующим стандартам. В последнее время к требованиям проведения финансового аудита прибавились требования проведения аудита информационной безопасности по стандартам ISO 17799 и BS 7799. Эти правила применяются и для отечественных банков, стремящихся выйти на международный уровень партнерства. Но в этом случае налицо возникновение противоречий между требованиями отечественной и международной нормативной базы. Банк находится перед трудным выбором, но интересы бизнеса заставят его сделать выбор. Следует тогда признать, что возникает и ширится нормативная неопределенность, а также растут противоречия в системах оценок информационной безопасности одного и того же объекта, проводимых по разной системе документов.
В чем успех методологии аудита и почему он так широко начал применяться во всем мире для оценки информационной безопасности не только информационных систем, но и организаций в целом?
Оценка эффективности деятельности или качества изделия в обязательном порядке требует:
• выбора ключевых показателей (индикаторов), характеризующих количественное или качественное состояние свойств объекта или какой-либо деятельности;
• выбора метода измерения выбранных ключевых показателей и оценки его точности;
• определения критериев оценки соответствия измеренных показателей установленным требованиям, характеризующим приемлемый с точки зрения владельца объекта уровень его качества или качества аудируемой деятельности;
• получения гарантий оценки.
Анализ объекта защиты как сложной системы неожиданно привел к выводу о том, что соотношение вклада в общий уровень безопасности различных составляющих распределяется строго в соответствии с универсальным законом неравенства (законом Парето) в соотношении 20/80, причем на 20% приходится вклад со стороны технических систем, а на 80% — со стороны людей (сотрудников), эксплуатирующих эти технические системы. Это подтверждает статистика по инцидентам в сфере информационной безопасности.