Контакты
Подписка
МЕНЮ
Контакты
Подписка

Особенности проведения аудитаинформационной безопасности объектов КИИ

Особенности проведения аудитаинформационной безопасности объектов КИИ

В рубрику "В фокусе" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Особенности проведения аудитаинформационной безопасности объектов КИИ

Проблемным для организаций, попавших в сферу действия Федерального закона от 26.07.2017 № 187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации", является вопрос о том, какие из имеющихся мер по защите информации будут достаточными в свете новых требований, а какие требуют дополнения. Первым шагом для ответа на указанный вопрос служит аудит информационной безопасности. Что такое аудит ИБ, какой он бывает и какими особенностями обладает в части объектов критической информационной инфраструктуры (КИИ), рассказывает автор данной статьи.
Константин Саматов
Руководитель направления в Аналитическом центре Уральского центра систем безопасности,
член Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин
информационной безопасности в УрГЭУ и УРТК им. А.С. Попова.

Что такое аудит ИБ и для чего он нужен?

Нормативного определения аудита ИБ в настоящее время нет. Действующий в сфере ИБ ГОСТ Р ИСО/МЭК 27007–2014 "Информационная технология.

Нормативного определения аудита ИБ в настоящее время нет. Действующий в сфере ИБ ГОСТ Р ИСО/МЭК 27007–2014 "Информационная технология. Методы и средства обеспечения безопасности. Руководства по аудиту систем менеджмента информационной безопасности" также не содержит определения понятия "аудит", однако содержит отсылку к ГОСТ Р ИСО 19011–2012 "Руководящие указания по аудиту систем менеджмента", где под аудитом понимается систематический, независимый и документируемый процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита.

Методы и средства обеспечения безопасности. Руководства по аудиту систем менеджмента информационной безопасности" также не содержит определения понятия "аудит", однако содержит отсылку к ГОСТ Р ИСО 19011–2012 "Руководящие указания по аудиту систем менеджмента", где под аудитом понимается систематический, независимый и документируемый процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита.

Аудит ИБ является первоначальным этапом для создания или модернизации системы защиты информации. По сути, основная цель проведения аудита ИБ – определить, какое положение дел в области обеспечения ИБ существует сейчас и какие дальнейшие действия необходимо предпринять для создания либо улучшения системы защиты информации.

Под свидетельствами аудита понимаются записи, изложение фактов или другая информация, то, что связано с критериями аудита и может быть проверено.

В свою очередь, критерии аудита – это совокупность политик, процедур или требований, используемых в качестве эталона, в соотношении с которым сопоставляют свидетельства аудита, полученные при проведении аудита.

Таким образом, можно говорить о том, что под аудитом ИБ следует понимать форму независимой оценки состояния информационной безопасности объекта аудита (информационная система, автоматизированная система, организация как объект защиты в целом и т.п.) на соответствие заданным критериям (например, требованиям действующего законодательства или принятых корпоративных стандартов, отсутствию уязвимостей, содержащихся в банке данных угроз безопасности информации и т.п.).

Аудит ИБ является первоначальным этапом для создания или модернизации системы защиты информации. По сути, основная цель проведения аудита ИБ – определить, какое положение дел в области обеспечения ИБ существует сейчас и какие дальнейшие действия необходимо предпринять для создания либо улучшения системы защиты информации.

Основные этапы проведения аудита ИБ

Схематично этапы проведения аудита ИБ можно представить в следующем виде (рис. 1).


Данная последовательность действий выработана на основе ГОСТ Р ИСО 19011–2012 и опыта автора. Указанные на рис. 1 этапы характерны для практически любого аудита ИБ, в том числе и аудита объектов КИИ.

Особенности проведения аудита ИБ объектов КИИ

При проведении аудита ИБ объектов КИИ необходимо обратить внимание на то, что фактически существует два вида объектов КИИ:

  • значимые – объекты КИИ, которым в процессе категорирования присвоена категория значимости;
  • незначимые – объекты КИИ, при категорировании которых принято решение об отсутствии необходимости присвоения им одной из категорий значимости, либо объекты КИИ, не участвующие в автоматизации критических процессов и, соответственно, не подлежащие категорированию.
В ходе проведения контроля проверяется выполнение требований нормативных правовых актов в области обеспечения безопасности КИИ, а также проверяются организационно-распорядительные документы по безопасности значимых объектов КИИ, иными словами, проводится так называемый комплаенс-аудит.

Понимание описанной выше типологии объектов КИИ необходимо для определения критериев аудита ИБ. Так, например, если в рамки аудита попадают незначимые объекты КИИ, то при их оценке аудитор может не учитывать выполнение требований нормативно-правовых актов по обеспечению безопасности значимых объектов КИИ, но обязан оценить, насколько полно выполняются субъектом КИИ обязанности, возложенные на него ч. 2 ст. 9 Федерального закона от 26.07.2017 № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".

По решению субъекта КИИ для обеспечения безопасности незначимого объекта КИИ также может быть создана система безопасности, базирующаяся на требованиях для значимых объектов КИИ. В этом случае в критерии аудита уже включаются все требования, характерные для безопасности значимых объектов КИИ.

При организации и проведении аудита ИБ значимых объектов КИИ необходимо обратить внимание на моменты, указанные ниже.

Обязательность проведения аудита ИБ

Согласно п. 35 и п. 36 Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования (утв. приказом ФСТЭК России от 21 декабря 2017 г. № 235) в рамках контроля состояния безопасности значимых объектов КИИ должен осуществляться внутренний контроль организации работ по обеспечению их безопасности и эффективности принимаемых организационных и технических мер.

В ходе проведения контроля проверяется выполнение требований нормативных правовых актов в области обеспечения безопасности КИИ, а также проверяются организационно-распорядительные документы по безопасности значимых объектов КИИ, иными словами, проводится так называемый комплаенс-аудит.

В ходе проведения контроля проверяется выполнение требований нормативных правовых актов в области обеспечения безопасности КИИ, а также проверяются организационно-распорядительные документы по безопасности значимых объектов КИИ, иными словами, проводится так называемый комплаенс-аудит.

Для оценки эффективности принятых организационных и технических мер по обеспечению безопасности значимых объектов КИИ могут применяться средства контроля (анализа) защищенности, так называемый инструментальный аудит (анализ защищенности).

Контрольные мероприятия проводятся ежегодно комиссией, назначаемой субъектом КИИ. В случае проведения по решению руководителя субъекта КИИ внешней оценки (внешнего аудита) состояния безопасности значимых объектов КИИ внутренний контроль может не проводиться.

Недостатки, выявленные по результатам внутреннего контроля или внешней оценки (внешнего аудита), подлежат устранению в порядке и сроки, установленные руководителем субъекта КИИ (уполномоченным лицом).

Таким образом, законодательно предусмотрена обязательность проведения аудита ИБ значимых объектов КИИ в форме внутреннего аудита, проводимого силами работников субъекта КИИ, либо внешнего аудита, проводимого специализированной организацией.

Диагностический аудит

После проведения процедуры категорирования и определения категории объекта КИИ, перед проектированием системы безопасности необходимо проведение так называемого диагностического аудита (в общей теории менеджмента более известного как GAP-анализ), целью которого является определение тех мер по защите информации, которые уже приняты в отношении данного объекта КИИ, и тех, которые необходимо будет реализовать в процессе создания системы безопасности.

Анализ уязвимостей значимого объекта КИИ является обязательным как на этапе создания (до ввода объекта КИИ в эксплуатацию), так и в ходе его эксплуатации (п. 12.6., п. 13, п. 13.2., п. 13.8 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утв. приказом ФСТЭК России от 25 декабря 2017 г. № 239).

Для проведения указанного аудита ИБ необходимо взять весь перечень объектов КИИ, имеющих категорию значимости, и сопоставить уже принятые меры по обеспечению безопасности каждого из объектов КИИ с мерами, перечисленными в составе мер по обеспечению безопасности для значимого объекта соответствующей категории значимости (утв. приказом ФСТЭК России от 25 декабря 2017 г. № 239): первоначально определить, какие меры выполняются, а какие нет (по принципу "да/нет"), затем понять, как и насколько полно они выполняются.

Анализ уязвимостей проводится для всех программных и программно-аппаратных средств, в том числе средств защиты информации значимого объекта КИИ.

Результатом проведения диагностического аудита будет являться понимание того, какая часть обязательных мер по обеспечению безопасности значимого объекта КИИ уже реализована, а какая требует реализации в процессе создания системы безопасности, какая часть мер может быть закрыта встроенными средствами защиты, а для какой потребуется применение наложенных.

Проведение диагностического аудита возможно собственными силами работников субъекта КИИ, задействованных в обеспечении безопасности объектов КИИ. Однако автор рекомендует использовать независимую внешнюю оценку для получения более объективной и полной картины текущего состояния дел.

Инструментальный аудит

Уверенность в том, что объект КИИ действительно хорошо защищен и вероятность возникновения компьютерного инцидента мала, может обеспечить только проведение инструментального аудита (анализ уязвимостей), включающего тестирование на проникновение (Penetration Test).

Результатом проведения диагностического аудита будет являться понимание того, какая часть обязательных мер по обеспечению безопасности значимого объекта КИИ уже реализована, а какая требует реализации в процессе создания системы безопасности, какая часть мер может быть закрыта встроенными средствами защиты, а для какой потребуется применение наложенных.

Анализ уязвимостей значимого объекта КИИ является обязательным как на этапе создания (до ввода объекта КИИ в эксплуатацию), так и в ходе его эксплуатации (п. 12.6., п. 13, п. 13.2., п. 13.8 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утв. приказом ФСТЭК России от 25 декабря 2017 г. № 239).

Анализ уязвимостей значимого объекта проводится в целях выявления недостатков (слабостей) в подсистеме безопасности значимого объекта и оценки возможности их использования для реализации угроз безопасности информации.

При этом важно обратить внимание на то, что, согласно вышеупомянутым требованиям, анализу подлежат уязвимости кода, конфигурации и архитектуры значимого объекта.

Анализ уязвимостей проводится для всех программных и программно-аппаратных средств, в том числе средств защиты информации значимого объекта КИИ.

По результатам анализа уязвимостей должно быть подтверждено, что в значимом объекте отсутствуют уязвимости, как минимум содержащиеся в банке данных угроз безопасности информации ФСТЭК России, или выявленные уязвимости не приводят к возникновению угроз безопасности информации (критерии аудита), а в идеале тестирование на проникновение должно подтвердить отсутствие возможности успешного проведения компьютерной атаки со стороны потенциального злоумышленника.

При проведении анализа уязвимостей применяются следующие способы их выявления:

  • анализ проектной, рабочей (эксплуатационной) документации и организационно-распорядительных документов по безопасности;
  • анализ настроек программных и программно-аппаратных средств, в том числе средств защиты информации;
  • выявление известных уязвимостей программных и программно-аппаратных средств, в том числе средств защиты информации, посредством анализа состава установленного программного обеспечения и обновлений безопасности с применением средств контроля (анализа) защищенности и (или) иных средств защиты информации;
  • выявление известных уязвимостей программных и программно-аппаратных средств, в том числе средств защиты информации, сетевых служб, доступных для сетевого взаимодействия, с применением средств контроля (анализа) защищенности;
  • тестирование на проникновение в условиях, соответствующих возможностям нарушителей, определенных в модели угроз безопасности информации1.

Применение способов и средств выявления уязвимостей осуществляется с учетом особенностей функционирования значимого объекта КИИ.

Таким образом, проведение аудита ИБ является базовой мерой обеспечения безопасности для значимых объектов КИИ, влияющей на принятие решения о создании системы безопасности либо о необходимости доработки (модернизации) его подсистемы безопасности. Результаты аудита, как правило, составляют основу для формирования технического задания и технического проектирования необходимых систем защиты. Результаты инструментального анализа с тестированием на проникновение могут быть использованы как доказательство принятия субъектом КИИ необходимых мер по обеспечению безопасности объектов КИИ.

___________________________________________
1 Подробнее см. Саматов К.М. Penetration Test: что и зачем? // Information Security/ Информационная безопасность. – 2018. – № 2. – С. 12–13.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2019
Посещений: 633

Приобрести этот номер или подписаться
  Автор

Константин Саматов

Константин Саматов

Руководитель направления в Аналитическом центре Уральского центра систем безопасности, член Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова

Всего статей:  23

В рубрику "В фокусе" | К списку рубрик  |  К списку авторов  |  К списку публикаций