Структура отчета по результатам аудита безопасности ИС и анализу рисков
1. Вводная часть
· 1.1 Введение
· 1.2 Цели и задачи проведения аудита
· 1.3 Описание ИС
· 1.3.1 Назначение и основные функции системы
· 1.3.2 Группы задач, решаемых в системе
· 1.3.3 Классификация пользователей ИС
· 1.3.4 Организационная структура обслуживающего персонала ИС
· 1.3.5 Структура и состав комплекса программно-технических средств ИС
· 1.3.6 Виды информационных ресурсов, хранимых и обрабатываемых в системе
· 1.3.7 Структура информационных потоков
· 1.3.8 Характеристика каналов взаимодействия с другими системами и точек входа
· 1.4 Границы проведения аудита
· 1.4.1 Компоненты и подсистемы ИС, попадающие в границы проведения аудита
· 1.4.2 Размещение комплекса программно-технических средств ИС по площадкам (помещениям)
· 1.4.3 Основные классы угроз безопасности, рассматриваемых в ходе проведения аудита
· 1.5 Методика проведения аудита
· 1.5.1 Методика анализа рисков
· 1.5.2 Исходные данные
· 1.5.3 Этапность работ
· 1.6 Структура документ
2. Оценка критичности ресурсов ИС
· 2.1 Критерии оценки величины возможного ущерба, связанного с осуществлением угроз безопасности
· 2.2 Оценка критичности информационных ресурсов
· 2.2.1 Классификация информационных ресурсов
· 2.2.2 Оценка критичности по группам информационных ресурсов
· 2.3 Оценка критичности технических средств
· 2.4 Оценка критичности программных средств
· 2.5 Модель ресурсов ИС, описывающая распределение ресурсов по группам задач
3. Анализ рисков, связанных с осуществлением угроз безопасности в отношении ресурсов ИС
· 3.1 Модель нарушителя информационной безопасности
· 3.1.1 Модель внутреннего нарушителя
· 3.1.2 Модель внешнего нарушителя
· 3.2 Модель угроз безопасности и уязвимостей информационных ресурсов
· 3.2.1 Угрозы безопасности, направленные против информационных ресурсов
· 3.2.1.1 Угрозы несанкционированного доступа к информации при помощи программных средств
· 3.2.1.2 Угрозы, осуществляемые с использованием штатных технических средств
· 3.2.1.3 Угрозы, связанные с утечкой информации по техническим каналам
· 3.2.2 Угрозы безопасности, направленные против программных средств
· 3.2.3 Угрозы безопасности направленные против технических средств
· 3.3 Оценка серьезности угроз безопасности и величины уязвимостей
· 3.3.1 Критерии оценки серьезности угроз безопасности и величины уязвимостей
· 3.3.2 Оценка серьезности угроз
· 3.3.3 Оценка величины уязвимостей
· 3.4 Оценка рисков для каждого класса угроз и группы ресурсов
4. Выводы по результатам обследования
5. Рекомендации
· 5.1 Рекомендуемые контрмеры организационного уровня
· 5.2 Рекомендуемые контрмеры программно-технического уровня
Обзор программных продуктов, предназначенных для анализа и управления рисками
В настоящее время имеется большое разнообразие как методов анализа и управления рисками, так и реализующих их программных средств. Приведем примеры некоторых, по мнению автора, наиболее распространенных.
CRAMM
Метод CRAMM (the UK Goverment Risk Analysis and Managment Method) был разработан Службой Безопасности Великобритании (UK Security Service) по заданию Британского правительства и взят на вооружение в качестве государственного стандарта. Он используется, начиная с 1985 г. правительственными и коммерческими организациями Великобритании. За это время CRAMM приобрел популярность во всем мире. Фирма Insight Consulting Limited занимается разработкой и сопровождением одноименного программного продукта, реализующего метод CRAMM.
Метод CRAMM выбран нами для более детального рассмотрения и это не случайно. В настоящее время CRAMM – это довольно мощный и универсальный инструмент, позволяющий, помимо анализа рисков, решать также и ряд других аудиторских задач, включая:
· Проведение обследования ИС и выпуск сопроводительной документации на всех этапах его проведения;
· Проведение аудита в соответствии с требованиями Британского правительства, а также стандарта BS 7799:1995 — Code of Practice for Information Security Management BS7799;
· Разработка политики безопасности и плана обеспечения непрерывности бизнеса.
В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетая количественные и качественные методы анализа. Метод является универсальным и подходит как для больших, так и для мелких организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (profiles). Для коммерческих организаций имеется Коммерческий профиль (Commercial Profile), для правительственных организаций – Правительственный профиль (Government profile). Правительственный вариант профиля, также позволяет проводить аудит на соответствие требованиям американского стандарта ITSEC («Оранжевая книга»).
Грамотное использование метода CRAMM позволяет получать очень хорошие результаты, наиболее важным из которых, пожалуй, является возможность экономического обоснования расходов организации на обеспечение информационной безопасности и непрерывности бизнеса. Экономически обоснованная стратегия управления рисками позволяет, в конечном итоге, экономить средства, избегая неоправданных расходов.
CRAMM предполагает разделение всей процедуры на три последовательных этапа. Задачей первого этапа является ответ на вопрос: «Достаточно ли для защиты системы применения средств базового уровня, реализующих традиционные функции безопасности, или необходимо проведение более детального анализа?» На втором этапе производится идентификация рисков и оценивается их величина. На третьем этапе решается вопрос о выборе адекватных контрмер.
Методика CRAMM для каждого этапа определяет набор исходных данных, последовательность мероприятий, анкеты для проведения интервью, списки проверки и набор отчетных документов.
Если по результатам проведения первого этапа, установлено, что уровень критичности ресурсов является очень низким и существующие риски заведомо не превысят некоторого базового уровня, то к системе предъявляются минимальный набор требований безопасности. В этом случае большая часть мероприятий второго этапа не выполняется, а осуществляется переход к третьему этапу, на котором генерируется стандартный список контрмер для обеспечения соответствия базовому набору требований безопасности.
На втором этапе производится анализ угроз безопасности и уязвимостей. Исходные данные для оценки угроз и уязвимостей аудитор получает от уполномоченных представителей организации в ходе соответствующих интервью. Для проведения интервью используются специализированные опросники.
На третьем этапе решается задача управления рисками, состоящая в выборе адекватных контрмер.
Решение о внедрении в систему новых механизмов безопасности и модификация старых принимает руководство организации, учитывая связанные с этим расходы, их приемлемость и конечную выгоду для бизнеса. Задачей аудитора является обоснование рекомендуемых контрмер для руководства организации.
В случае принятия решения о внедрении новых контрмер и модификации старых, на аудитора может быть возложена задача подготовки плана внедрения новых контрмер и оценки эффективности их использования. Решение этих задач выходит за рамки метода CRAMM.
Концептуальная схема проведения обследования по методу CRAMM показана на рисунке.