Аудит безопасности

Аудит безопасности понимается сегодня достаточно широко. За этим названием скрываются, по край­ней мере, четыре различных группы работ.

К первой группе относятся так называемые «тестовые взломы» систем информационной безопасно­сти. Об этом виде аудита обычно пишут как о наи­более серьезном тесте защищенности, что абсолют­но не оправдано. Причина малой эффективности «тестовых взломов» с точки зрения получения сведе­ний, насколько правильно защищена сеть, скрывает­ся в самой постановке задачи. В самом деле, основ­ной задачей «взломщика» является обнаружение одной-двух уязвимостей и их максимальная эксплуата­ция для доступа в систему. Если тест оказался ус­пешным, то, предотвратив потенциальное развитие возможных сценариев «взлома», работу надо начи­нать сначала и искать следующие. Неуспех «взлома» может означать в равной мере, как защищенность системы, так и недостаточность тестов. Вторая группа — экспресс-обследование. В рамках этой, обычно непродолжительной, работы оце­нивается общее состояние механизмов безопасно­сти в обследуемой системе на основе стандартизо­ванных проверок. Экспресс-обследование обычно проводится в случае, когда необходимо определить приоритетные направления, позволяющие обеспе­чить минимальный уровень защиты информацион­ных ресурсов. Основу для него составляют списки контрольных вопросов, заполняемые как в результа­те интервьюирования, так и в результате работы автоматизированных сканеров защищенности.

Третья группа работ по аудиту — аттестация систем на соответствие требованиям защищённости - ин­формационных ресурсов. При этом происходит фор­мальная проверка набора требований как организа­ционного, так и технического аспектов, рассматрива­ются полнота и достаточность реализации механиз­мов безопасности. Количество информационных си­стем, аттестуемых на соответствие требованиям защи­ты информации, постоянно растет, несмотря на то, что эти работы связаны со значительными затратами и существенной вовлеченностью в них сотрудников организации, в которой она производится.

Наконец, самый трудоемкий вариант аудита — предпроектное обследование. Такой аудит предпола­гает анализ организационной структуры предпри­ятия в приложении к информационным ресурсам, правила доступа сотрудников к тем или иным при­ложениям. Затем выполняется анализ самих прило­жений. После этого должны учитываться конкрет­ные службы доступа с одного уровня на другой, а также службы, требуемые для информационного об­мена. Затем картина дополняется встроенными ме­ханизмами безопасности, что в сочетании с оценками потерь в случае нарушения информационной безопасности дает основания для ранжирования ри­сков, существующих в информационной системе, и выработки адекватных контрмер. Успешное прове­дение предпроектного обследования и анализа рис­ков определяет, насколько принятые меры будут, с одной стороны, экономически оправданы, с другой — адекватны угрозам.