Публикация научных статей.
Вход на сайт
E-mail:
Пароль:
Запомнить
Регистрация/
Забыли пароль?

Научные направления

Поделиться:
Статья опубликована в №18 (февраль) 2015
Разделы: Информационные технологии
Размещена 04.02.2015. Последняя правка: 03.02.2015.
Просмотров - 4152

ПОДХОД К ВЫБОРУ МЕТОДА ВНУТРЕННЕГО АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ

Оладько Владлена Сергеевна

кандидат технических наук

ФГАОУ ВПО "Волгоградский государственный университет"

доцент

Датская Л.В., кафедра информационной безопасности


Аннотация:
В статье затрагивается проблема проведения аудита информационной безопасности на предприятии. Авторами предлагается подход к выбору наиболее рационального метода проведения аудита, учитывающий специфику и требования конкретного предприятия. Данный подход автоматизирован и представлен в виде программы.


Abstract:
The article addresses the issue of information security audit in the enterprise. The authors propose an approach to the selection of the most efficient method of auditing. This method takes into account the needs and requirements of a particular company. This automated approach and represented as a program.


Ключевые слова:
информационная безопасность; аудит; система защиты; угроза

Keywords:
information security;audit; threat; protection system


УДК 004.056

Введение

В настоящее время основу работы любого современного предприятия, вне зависимости от формы собственности, составляет  информация, представленная как в электронном виде, так и на бумажных носителях. При этом информация может быть как открытого доступа, так и ограниченного, включая различные формы конфиденциальной информации (коммерческая тайна, персональные данные и т.п.) и государственной тайны. Поэтому в соответствии с ФЗ №149 [1] различные категории информации ограниченного доступа подлежат защите. Кроме того для каждого типа информации существуют свои классы защищенности и наборы минимальных средств и механизмов которые необходимо применять в рамках своего класса. А эффективность и соответствие  применяемых средств и механизмов защиты возможно оценить только посредством регулярного контроля за состоянием информационной безопасности на предприятии. Данный контроль осуществляется в рамках аудита информационной безопасности на предприятии, который, в соответствии с [2] определяется как: «… периодический и документированный процесс получения свидетельств аудита и объективной их оценки с целью установления степени выполнения в организациях установленных требований по обеспечению информационной безопасности».

Актуальность

В практике проведения аудита информационной безопасности (ИБ) различают внешний и внутренний аудит. Внешний аудит, как правило, разовое мероприятие, проводимое по инициативе руководства предприятия. В качестве внешних аудиторов выступают организации, аккредитованные ФСТЭК России для проведения таких работ. Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется подразделениями службы безопасности и защиты информации предприятия или другим подразделением по указанию руководителя организации. При проведении аудита ИБ на предприятии необходимо учитывать тип предприятия, виды обрабатываемой информации, актуальные для предприятия угрозы, используемые средства защиты и требования регулирующих органов.

Анализ методов и средств проведения аудита ИБ на предприятии [3] позволил выделить следующие основные виды аудита: экспертный аудит безопасности; активный аудит; оценка соответствия рекомендациям международного стандарта ISO 17799, а также требованиям руководящих документов ФСТЭК; инструментальный анализ защищённости; комплексный аудит. Каждый из вышеперечисленных видов аудита может проводиться по отдельности или в комплексе в зависимости от тех задач, которые необходимо решить предприятию. В качестве объекта аудита может выступать как ИС предприятия в целом, так и её отдельные сегменты, в которых проводится обработка информации, подлежащей защите. Следовательно, актуальным является решение задачи выбора наиболее рационального для предприятия метода проведения внутреннего аудита ИБ.

Исследование

Анализ покзывает, что в общем случае аудит ИБ вне зависимости от формы его проведения  состоит из четырёх основных последовательных этапов:

1.Разработка регламента проведения аудита.
2.Сбор исходных данных необходимых для проведения аудита ИБ.
3.Анализ полученных данных аудитором, в ручном режиме или с помощью специализированных инструментальных средств.

4.Разработка рекомендаций по повышению уровня защищеннности информации, обрабатываемой на предприятии.

На первом этапе аудита ИБ должен быть разработан и согласован регламент, который определяет состав и порядок проведения аудиторских работ. Основная задача регламента заключается в определении границ, в рамках которых будет проведено обследование состояния безопасности предприятия. Регламент должен быть тем  документом, который позволяет избежать взаимных претензий по завершении аудита, поскольку чётко определяет обязанности сторон, что особенно важно при проведении внешнего аудита, когда предприятие выступает в качестве заказчика, а исполнителем является сторонняя организация.

На втором этапе аудита ИБ, на основании утвержденного и согласованного всеми сторонами регламента, осуществляется сбор исходной информации. Данные необходимые для аудита собираются несколькими способами, включая анкетирование и  интервьюирование сотрудников предприятия, заполнение опросных листов, анализа политики безопасности и другой организационной и технической документации, мониторинга состояния различных компонентов и информационных процессов в ИС и т.п.

Третий этап работ по аудиту ИБ заключается в  проведении анализа собранной информации с целью оценки текущего уровня защищённости ИС предприятия, с учетом типа обрабатываемой на предприятии информации и требований регуляторов.

На четвёртом этапе проводится разработка рекомендаций по повышению уровня защищённости ИС от актуальных для предприятия угроз ИБ.

Таким образом для того чтобы выбрать наиболее подходящий для конкретного предприятия метод проведения аудита, нужно решить следующие задачи:

1) выделить критерии оценки метода аудита, которые бы позволили отразить требования и специфику предприятия;
2) разработать и формализовать процедуру выбора рационального метода аудита, учитывающего специфику конкретного предприятия;
3) автоматизировать процедуру выбора метода аудита.
В рамках первой задачи авторами для оценки методов аудита и формирования требований предприятия предлагается использовать следующие качественно – количественные группы критериев, представленные в таблице 1.

Таблица 1. Критерии оценки методов аудита

Название критерия

Частные показатели критерия

Численное значение

Тип обрабатываемой информации (K1)

-  Информация открытого доступа (K11)

-  ДСП (K12)

- Коммерческая тайна (K13)

- Персональные данные (K14)

- Государственная тайна (K15)

0,1

0,15

0,2

0,2

0,35

Тип предприятия (K2)

- Частное (K21)

 - Государственное (K22)

0,4

0,6

Учет актуальных угроз (K3)

- Учитывает (K31)

- Не учитывает (K32)

1

0

Вид проводимого аудита (K4)

 - Внутренний (K41)

 - Внешний (K42)

0,5

0,5

Учет используемых средств и методов защиты (K5)

 - Учитывает (K51)

 - Не учитывает (K52)

1

0

Периодический аудит (K6)

 - Да (K61)

 - Нет (K62)

1

0

Аудит в режиме реального времени (K7)

- Да (K71)

 - Нет (K72)

1

0

 

Формализовано процедуру выбора методов проведения аудита ИБ на предприятии можно представить в виде следующего картежа:

PEA={MA, TO, KO}                                       (1)

где   МА - множество методов аудита;  РЕА - процедура выбора;  ТО – требования организации; КО - критерии оценки.

Множество критериев оценки (формула 2) состоит из множеств групп критериев, то есть

` ` KO={Ki}, i=1..7                                       (2)

где Ki -  это количество групп критериев, Ki `in` [0,1], где  «1» - критерий выполняется, «0» - критерий не выполняется.

Чтобы выбрать наиболее рациональный метод аудита ИБ необходимо построить матрицу отношений между критериями оценки и методами аудита, представленную в виде таблицы 2

Таблица 2. Матрица отношений.

V

MA1

MA2

MA5

K1

V11

V12

V15

K7

V71

V72

V75

где V11, …, V57 – экспертная оценка выполнения критерия для каждого метода аудита.

На основании требований организации составляется эталонный вектор предпочтений (формула 3)

TOP={TOi}, i=1..7 .                                               (3)

Наиболее рациональный метод аудита выбирается на основании сопоставления эталонного вектора предпочтений TOP с векторами оценки методов аудита MAj, сформированных на основании матрицы отношений. Вектор метода аудита, вектор оценки которого имеет наименьшее отклонение от эталонного вектора предпочтений, считается наиболее рациональным для данного предприятия (формула 4).

 `E(MAj, TOP)-> min `

в качестве метрики оценки близости векторов используется Евклидовое расстояние (формула 5)

`E(MAj, TOP)=sqrt(sum(MAji-TOP i)^2)` (5)

Таким образом,  процедура выбора метода аудита выглядит следующим образом:
  1. Определение требований организации к методу аудита;
  2. Формирование вектора предпочтений предприятия на основании множества требований;
  3. Выставление экспертных оценок для  каждого метода по всем частным критериям из каждой группы;
  4. Формирование матрицы оценки;
  5. Расчет близости между векторами оценок каждого метода аудита и вектором предпочтений;
  6. Выбор метода аудита c наименьшим отклонением от вектора предпочтений.

Данная процедура для удобства работы и возможно применения ее на практике была автоматизирована в виде программы с графическим пользовательским интерфейсом, архитектура представлена на рисунке 1.




Рисунок 1 - Архитектура программы выбора методов аудита

Пользовательский интерфейс, в соответствии с разработанной архитектурой, имеет следующую форму (рисунок 2):
1)  Надстройку для формирования требований организации.
2)  Надстройку для формирования матрицы отношений на основе экспертных оценок.
3)  Вывод выбранного метода аудита.


Рисунок 2 - Пользовательский интерфейс

Вывод
Разработанная программа позволяет автоматизировать процедуру выбора наиболее рационального метода аудита ИБ для предприятия, выполняет следующие функции:
  1. Формирование списка требований организации к методу аудита;
  2. Расчет эталонного вектора предпочтений к методам аудита;
  3. Выставление экспертных оценок по показателям для каждого из пяти доступных методов аудита:  экспертного, активного, оценки соответствия с рекомендациями, инструментального анализа защищённости АС и комплексного аудитов;
  4. Формирование векторов оценок для каждого из векторов методов аудита;
  5. Сопоставление эталонного вектора с вектором оценок каждого из методов аудита, построение гистограммы отклонений;
  6. Нахождение вектора оценки метода аудита с минимальным отклонением;
  7. Нахождение наиболее подходящего для данной организации метода аудита на основе анализа отклонения.
Может использоваться в рамках учебного процесса при подготовки студентов в области информационной безопасности в рамках лабораторного практикума и на практике предприятием с целью выбора метода внутреннего аудита ИБ.



Библиографический список:

1. ФЗ РФ "Об информации, информационных технологиях и о защите информации" от 27.07.2006г. №149-ФЗ [Электронный ресурс]/ Консультант Плюс – Режим доступа:
http://www.consultant.ru/document/cons_doc_LAW_165971/ (дата обращения 15.12.2014)
2. Макаренко И.С. Информационная безопасность: учеб. пособие. С. [Текст]: СФ МГГУ им. М. А. Шолохова, 2009. - 368с.(стр. 62-109)
3. Виды аудита информационной безопасности [Электронный ресурс] / ISO27000.ru – Режим доступа:
http://www.iso27000.ru/chitalnyi-zai/audit-informacionnoi-bezopasnosti/vidy-audita-informacionnoi-bezopasnosti (дата обращения 15.12.2014)




Рецензии:

27.04.2015, 23:50 Каменев Александр Юрьевич
Рецензия: Актуально и практически ценно. Рекомендуется к печати.



Комментарии пользователей:

Оставить комментарий


 
 

Вверх