Методы оценки информационной безопасности АС
Похожие статьи вашей тематики
Аудит информационной безопасности – процесс сбора и анализа информации об АС, необходимой для последующего проведения качественной или количественной оценки уровня защиты от атак злоумышленников.
В число задач, решаемых при проведении аудита информационной безопасности АС, входят:
· Сбор и анализ исходных данных об организационной и функциональной структуре АС, необходимых для оценки состояния информационной безопасности.
· Анализ существующей политики обеспечения информационной безопасности на предмет полноты и эффективности.
· Построение модели нарушителей информационной безопасности.
· Построение модели угроз информационной безопасности по отношению к ресурсам АС, а также уязвимостей в существующей системе защиты, делающих возможным реализацию угроз информационной безопасности в АС.
· Анализ информационных и технологических рисков связанных с осуществлением угроз информационной безопасности.
· Осуществление тестовых попыток несанкционированного доступа к критически важным узлам ИС и определение уязвимостей в установках защиты данных узлов.
· Формирование рекомендаций по разработке (или доработке) Политики обеспечения информационной безопасности на основании анализа существующего режима информационной безопасности.
· Формирование предложений по использованию существующих и установке дополнительных средств защиты информации для повышения уровня надежности и информационной безопасности АС.
Проведение независимого аудита позволяет своевременно выявить существующие бреши и объективно оценить соответствие параметров, характеризующих режим информационной безопасности (ИБ), необходимому уровню. Для решения этих задач создаются специальные организации аудиторов в области информационной безопасности. Они ставят своей целью проведение экспертизы соответствия системы информационной безопасности определенным требованиям, оценки системы управления безопасностью, повышения квалификации специалистов в области информационной безопасности. Такие организации могут быть как государственными, так и иметь статус независимых, негосударственных.
Аудит позволяет оценить текущую безопасность функционирования информационной системы, оценить и прогнозировать риски, управлять их влиянием на бизнес-процессы фирмы, корректно и обоснованно подойти к вопросу обеспечения безопасности ее информационных активов, стратегических планов развития, маркетинговых программ, финансовых и бухгалтерских ведомостей, содержимого корпоративных баз данных. В конечном счете, грамотно проведенный аудит безопасности информационной системы позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание системы безопасности фирмы.
Основными направлениями деятельности в области аудита безопасности информации являются
1 Аттестация объектов информатизации по требованиям безопасности информации
a. аттестация автоматизированных систем, средств связи, обработки и передачи информации,
b. аттестация помещений, предназначенных для ве-дения конфиденциальных переговоров,
c. аттестация технических средств, установленных в выделенных помещениях
2 Контроль защищенности информации ограниченного доступа
a. выявление технических каналов утечки инфор-мации и способов несанкционированного доступа к ней,
b. контроль эффективности применяемых средств защиты информации
3 Специальные исследования технических средств на наличие побочных электромагнитных излучений и наводок (ПЭМИН)
a. персональные ЭВМ, средства связи и обработки информации;
b. локальные вычислительные системы;
c. оформления результатов исследований в соот-ветствии с требованиями Гостехкомиссии России.
4 Проектирование объектов в защищенном исполнении.
a. разработка концепции информационной безо-пасности (первая глава учебника);
b. проектирование автоматизированных систем, средств связи, обработки и передачи информации в защищенном исполнении;
c. проектирование помещений, предназначенных для ведения конфиденциальных переговоров.
Методы аудита информационной безопасности:
- Экспертно-аналитические методы - проверка соответствия обследуемого объекта установленным требованиям по безопасности информации на основании экспертной оценки полноты и достаточности представленных документов по обеспечению необходимых мер ЗИ, а также соответствия реальных условий эксплуатации оборудования предъявляемым требованиям по размещению, монтажу и эксплуатации технических и программных средств.
- Экспертно-инструментальные методы - проведение проверки функций или комплекса функций ЗИ с помощью специального инструментария (тестирующих средств) и средств мониторинга, а также путем пробного запуска средств ЗИ и наблюдения реакции за их выполнением.
- Моделирование действий злоумышленника («дружественный взлом» системы ЗИ) применяются после анализа результатов, полученных в ходе использования первых двух групп методов, - они необходимы как для контроля данных результатов, а также для подтверждения реальных возможностей потенциальных злоумышленников (как внутренних, легально допущенных к работе с тем или иным уровнем привилегий в ИС, так и внешних – в случае подключения ИС к глобальным информационным сетям).
Каждый из вышеперечисленных методов аудита может проводиться по отдельности или в комплексе в зависимости от тех задач, которые необходимо решить. В качестве объекта аудита может выступать как АС в целом, так и её отдельные сегменты, в которых проводится обработка информации, подлежащей защите.
Аудит безопасности состоит из четырёх основных этапов, каждый из которых предусматривает выполнение определённого круга задач:
1. Разработка регламента проведения аудита
2. сбор исходных данных
3. анализ исходных данных с целью оценки текущего уровня безопасности
4. разработка рекомендаций по повышению уровня защиты АС.
|
