Порядок проведения аттестационных испытаний по требованиям безопасности информации на примере объекта информатизации

Введение

Использование информационных систем в работе организаций предполагает необходимость использования множества программных систем, каждая из которых может обладать определенными уязвимостями в области информационной безопасности. Рост количества используемых программ снижает общий уровень защищенности системы. Анализ системы на наличие уязвимостей позволяет выявлять недостатки в системе защиты информации, своевременно устраняя их. Поиск уязвимостей проводится с использованием специальных программ-сканеров уязвимостей.
Протоколы, сформированные программой, позволят выявить узкие места в архитектуре информационной безопасности компании, определить пути совершенствования защиты информации через установку обновлений ПО, систем защиты от вредоносного программного обеспечения (ПО) и криптографических систем. Также полученные протоколы могут выступать в качестве источника информации о состоянии защищённости системы и ее изменениях в различных состояниях.
Использование экспертных систем в оценке системы защиты информации позволяет определить причину возникновения инцидентов и принять своевременные меры к их предотвращению.
Цель данной работы: разработка метода аттестации объектов защиты информации.
Для достижения поставленной цели необходимо решить следующие задачи:
1. Рассмотреть теоретические основы аттестации объектов защиты информации.
2. Провести анализ архитектуры защиты информации исследуемой компании.
3. Разработать методику аттестационных испытаний системы защиты информации компании
Объект исследования: технология аттестации объектов защиты информации.
Предмет исследования: разработка методики аттестации объектов защиты информации в условиях исследуемой компании.
 
1. Теоретические основы аттестации объектов защиты информации
1.1 Активный аудит информационной безопасности

Активный аудит информационной безопасности (ИБ) представляет собой периодическую проверку защиты информационной системы компании с использованием различного инструментального обеспечения и методик. Целью аудита является выявление уязвимостей, связанных с функционированием системы защиты информации.
Периодическое проведение активного аудита системы информационной безопасности (ИБ) – это одно из обязательных условий при эксплуатации
ИТ-инфраструктуры компании, в рамках стандартов жизненного цикла
ISO/IEC 27001:2005 [3].
Активный аудит также называется практическим или инструментальным. Проведение аудита связано с проведением экспертами тестовых атак на ИТ-ресурсы компании-заказчика. Далее проводится тестирование успешности отражения атак, оценивается степень надежности системы защиты информации в реальных условиях. При успешной компрометации информационной системы деструктивные действия не производятся, проводится фиксация факта компрометации и наличия уязвимостей, позволивших реализовать атаку [13].
При проведении активного аудита в подавляющем большинстве случаев аудиторами используются атаки различных видов. Возможно использование любых программных и аппаратных средств, которые доступны злоумышленникам. Также разрешается совершение попыток проникновения в помещения офиса компании, общение с персоналом организации, использование методов социальной инженерии и т. п. Таким образом, поведение экспертов должно соответствовать модели активности злоумышленников, поставившим цель несанкционированного получения доступа к защищаемым информационным ресурсам [12, 15].
Этапы активного аудита информационных систем включают [6]:
 планирование;
 выполнение;
 обработку результатов.
На этапе планирования проводится сбор необходимых данных: устанавливается список проверяемых информационных ресурсов, типов тестируемых угроз, определяется перечень используемых для защиты мер и средств. Также на стадии планирования проводятся разработки подходов к проведению активного аудита.
Основные цели стадии выполнения связаны с обнаружением уязвимостей и проведением их проверки. По завершению указанного этапа аудиторы получают более подробные данные о проверяемых системах, сетях и существующих в них уязвимостях.
На стадии обработки результатов аудиторы проводят анализ выявленных уязвимостей и причин их возникновения, проводится выработка предложений, связанных с устранением уязвимостей, а также составление финального отчёта [7].
Результаты активного аудита не только представляют ценность сами по себе, как объективная и независимая оценка защищенности информационной системы организации, но и необходимы для проведения анализа информационных рисков и, следовательно, эффективного управления ИБ компании [3].
В отчете о своей работе по тестированию корпоративной системы информационной безопасности аудиторы должны не только указать на существующие в ней уязвимости, но и предложить способы их устранения [1].
Активный аудит должен проводиться на регулярной основе. Выполнение активного аудита раз в год позволяет удостовериться, что уровень системы сетевой безопасности остается на прежнем уровне [2].
Активный аудит условно можно разделить на два вида: «внешний» активный аудит и «внутренний» активный аудит.
При «внешнем» активном аудите специалистами проводится построение модели действий «внешних» злоумышленников, что предполагает выполнение действий [26]:
 определения доступных узлов в сканируемой подсети;
 сканирования данных адресов с целью определения работающих сервисов и служб, определение назначения отсканированных хостов;
 определения версий сервисов и служб сканируемых хостов;
 изучения маршрутов прохождения трафика к хостам заказчика;
 сбор данных об ИС заказчика из открытых источников;
 анализ полученных данных с целью определения уязвимостей.
«Внутренний» активный аудит по составу работ аналогичен «внешнему», однако при его проведении с помощью специальных программных средств моделируются действия «внутреннего» злоумышленника [2].
Согласно общепринятой терминологии, под внешним активным аудитом понимают тест на проникновение (показательная демонстрация действий нарушителя), а под внутренним – «традиционный» аудит ИБ (анализ параметров конфигурации информационной системы и применение сканера уязвимостей).
Аудит ИТ-инфраструктуры подразумевает комплекс мероприятий, направленный на получение и оценку объективных данных о состоянии элементов информационной системы: соответствия потребностям бизнеса, современной конъюнктуре, технологиям, подходам к работе.
Аудит проводится [14]:
 в случае неработоспособности или недостаточной производительности
IT-инфраструктуры;
 при устаревании технического оснащения или программного обеспечения, а также при желании усовершенствовать инфраструктуру;
 в случае объединения нескольких ИТ-структур (обычно при слиянии компаний);
 когда создается новая инфраструктура;
 при больших расходах на поддержание и обслуживание ИТ-систем.
Объектами IT-аудита выступают:
 техническое оснащение (диагностика компьютерного оснащения и анализ состояния кабелей);
 ПО (аудит прикладных, серверных и пользовательских программ, поиск сбоев и ошибок);
 электронные коммуникации (телефония и интернет);
 информационная безопасность (анализ систем хранения и копирования файлов, антивирусная защита).
Регулярный аудит ИТ-инфраструктуры помогает понять ее актуальное состояние, выявить слабые места и недостатки, получить практические рекомендации касательно того, какие изменения возможно внести для повышения эффективности IT-системы. Аналитические работы помогут рационализировать и сократить расходы на ИТ-сферу, оценить информационные риски и повысить уровень управляемости предприятием. Своевременное обследование
ИТ-инфраструктуры наряду с абонентским обслуживанием обеспечит стабильное и бесперебойное функционирование организации. Аудит IT инфраструктуры – это комплекс мер по инвентаризации, обследованию, тестированию работы элементов IT-инфраструктуры, а также анализ соответствия её функционирования текущим и будущим требованиям бизнеса, включая рекомендации по её модернизации.
Экспертиза и аудит системы информационной безопасности осуществляется для определения недостатков и уязвимостей мест в системе защиты информации организации, а также для оценки результативности ее функционирования. Аудит системы информационной безопасности проводится с целью оценки соответствия установленным регламентам, аттестации или сертификации и представляет собой анализ системы информационной защиты предприятия, имеющей следующие
цели [25]:
 оценку соответствия системы установленным нормативным требованиям;
 определение степени обоснованности и правомерности локальных нормативных актов в области безопасности.
Оценка эффективности системы информационной безопасности может производиться как по инициативе организации в целях повышения уровня ее информационной защищенности, так и согласно регламентам проверок со стороны государственных органов. В том случае, если организации необходимо установить соответствие систем безопасности нормативным предписаниям, невозможно отказаться от проведения аудита, его проведение осуществляется в обязательном порядке. Таким образом, в случае выявления каких-либо отклонений от регламентирующих документов, организации грозят иные санкции, предусмотренные законодательством вплоть до приостановки деятельности.
Особенно важным проведение экспертизы и аудита информационной безопасности становится в ситуации, когда компания по роду своей деятельности работает с конфиденциальными данными ее пользователей или клиентов.

1.2. Уязвимости информационной безопасности
Понятие «уязвимость» используется при обозначении недостатков в системе, с использованием которых нарушители могут получить несанкционированный доступ к системе, нарушить ее функциональность. Источниками уязвимостей могут быть ошибки разработчиков программного обеспечения, недостатки, допущенные при создании проекта системы, нарушение требований к стойкости паролей, обеспечению антивирусной защиты и защиты от сетевых угроз.
К наиболее часто встречающимся уязвимостям относятся [24]:
 переполнение буфера – возникает, когда программы проводят запись данных за пределами выделенного в памяти буфера. При переполнении буфера возможна потеря данных, расположенных рядом с буфером;
 висячие указатели – указатели, не ссылающиеся на допустимые объекты определенного типа. Возникают при удалении или перемещении без изменения значений указателей на нулевые);
 SQL-инъекции – наиболее распространённый способ, используемый в технологии взлома сайтов и программного обеспечения, работающего с базами данных. Принцип работы основан на внедрении в запросы произвольных
SQL-кодов. Атаки указанного типа возможны при некорректной обработке входного потока данных при исполнении SQL-запросов. При внедрении SQL со стороны атакующего возможно выполнение произвольного запроса к базе данных (например, связанного с чтением содержимого любых таблиц, удаления, изменения или добавления данных), получения возможности доступа к локальным файлам и выполнения скриптов на атакуемых серверах.