«Петренко С. А. ...»

Каждая компания, решившая провести аудит информационной безопасности в соответствии с требованиями стандарта BS 7799 (ISO/IEC 17799), должна осуществить подготовительные мероприятия, которые включают приведение в надлежащий вид нормативно-методической документации компании по организации информационной безопасности и внутреннюю проверку соответствия системы обеспечения информационной безопасности компании требованиям стандарта. Только после этого компания приглашает аудитора.

Процедура аудита информационной безопасности компании начинается с составления детальных и подробных планов проведения аудита. Планы должны быть представлены соответствующим лицам компании до начала процесса аудита. При этом важно, чтобы аудиторы были ознакомлены с тем, каким законодательно-правовым нормам и требованиям отраслевых и ведомственных стандартов следует проверяемая организация или компания. Далее начинается проверка нормативно-методической документации компании, которая может происходить как внутри компании, так и за ее пределами. К проверяемой документации может относиться концепция и политика безопасности, описание границ защищаемой системы (карта корпоративной системы, в том числе описание состава и структуры ;пользуемого в компании прикладного и системного программного обеспечения), должностные инструкции корпоративных пользователей, положения о департаменте информационной безопасности, описания методик оценки и управления информационными рисками, оценки состояния информационной безопасности компании, правил и норм эксплуатации программно-технических средств обеспечения информационной безопасности и пр. Если компания уже проходила процедуру аудита, то также предъявляется отчет о предыдущей проверке и данные обо всех выявленных ранее несоответствиях. Кроме того, должна быть составлена ведомость соответствия (Statement of Applicability) - документ, в котором оценивается соответствие поставленных целей и средств управления информационной безопасностью требованиям стандарта.

Сущность процедуры аудита безопасности на соответствие системы управления информационной безопасностью компании требованиям стандарта заключается проверке выполнения всех положений стандарта. По каждому такому положению проверяющие должны ответить, выполняется ли данное требование и, если нет, каковы причины невыполнения. На базе ответов составляется ведомость соответствия, основная цель которой - аргументированное обоснование имеющихся отклонений от требований стандарта. По завершении аудита безопасности выявленные несоответствия при необходимости могут быть устранены. Другими словами, в ходе аудита всей компании специалист должен собрать доказательства того, что организация отвечает всем требованиям стандарта BS 7799. Это делается по результатам анализа документов, бесед с экспертами, а если потребуется - проведения соответствующих организационных проверок режима безопасности и инструментальных проверок компонентов корпоративной системы Internet/Intranet. В итоге должны быть проверены организация информационной безопасности компании, обязанности по обеспечению информационной безопасности сотрудников, наличие документированной политики и стратегии информационной безопасности для компании и, в частности, документированной стратегии и общих положений подхода к оцениванию рисков и управлению ими. При этом обращается внимание на наличие документированных, применимых на практике методик оценивания рисков и управления ими, а также обоснования правильности выбора средств защиты для информационной системы компании. Выявляется, имеются ли документированные процедуры оценки остаточного риска, проверки режима информационной безопасности и журналов, в которых фиксируются результаты проверки. У аудитора должна быть полная ясность относительно того, утверждены ли правила обслуживания и администрирования информационной системы, есть ли распоряжения должностных лиц о проведении периодических проверок оценивания рисков и управления ими, документация по системе управления информационной безопасностью и реестр необходимых средств.

Специалист, отвечающий за аудит информационной безопасности компании, обязан выполнить, по меньшей мере, выборочные проверки выводов, сделанных при оценке рисков. В каждом случае нужно убедиться, что вся информация, подвергавшаяся проверке, подтверждена документально в должном объеме, риски оценивались в соответствии с корректными методиками, а результаты достоверны и могут быть использованы в дальнейшем. Кроме того, следует удостоверить факт соответствия рассматриваемым рискам средств обеспечения информационной безопасности, выбранных на основе рекомендаций BS ISO/IEC, их правильного применения и прохождения ими тестирования, а также знание сотрудниками политики информационной безопасности компании. Принятую систему управления информационной безопасностью необходимо надлежащим образом документировать и составить ведомость соответствия, в которой описать риски, используемые законодательные и нормативные требования, указать выбранные средства обеспечения информационной безопасности и обосновать их выбор. По итогам работы аудитор обязательно оформляет заключение.

 Варианты аудита безопасности

Возможны два варианта аудита информационной безопасности: аудит компании в целом и аудит только информационной системы.

В первом случае компания должна подготовить для проверки:

• документы, подтверждающие внедрение в организации выработанной политики информационной безопасности и, в частности, наличие документированного подхода к оцениванию рисков и управлению ими в рамках всей компании;
• описание организационной инфраструктуры информационной безопасности на местах - распределение обязанностей сотрудников по обеспечению безопасности;
• обоснование выбора средств защиты для рассматриваемой системы;
• документацию на процессы обслуживания и администрирования информационной системы;
• документацию с описанием подходов к оцениванию рисков и управлению ими;
• документацию по подготовке периодических проверок, касающихся оценивания рисков, и управлению ими;
• описание процедуры принятия уровня остаточного риска с документированным выводом о реализации необходимых средств обеспечения информационной безопасности, степени их тестирования и корректности работы с ними;
• документацию по системе управления информационной безопасностью и реестр средств управления безопасностью в ведомости соответствия;
• результаты оценивания рисков по информационной системе;
• описание мер для противодействия выявленным рискам.

Все перечисленные проверки выполняются в соответствии с принятыми в компании подходами к оценке рисков и управлению ими.

В случае аудита только информационной системы компания должна подготовить для проверки:

• описание политики информационной безопасности, документацию по системе управления информационной безопасностью и ведомость соответствия, отражающую реальное состояние оцениваемой системы;
• документацию по проведенному оцениванию рисков;
• документацию по средствам управления информационной безопасностью;
• доказательства эффективности принятых контрмер и результаты их тестирования.

Кроме того, при аудите только информационной системы аудитор обязан удостоверить документированность вопросов, рассматриваемых в ходе проведения периодических проверок системы управления информационной безопасностью, а также корректность оценки рисков, выполненных посторонними или рекомендуемыми стандартом методами. Ему надлежит подтвердить, что результаты оценивания рисков достоверны, приемлемы и документированы должным образом. Познакомившись со средствами обеспечения информационной безопасности, аудитор должен убедиться, что необходимые средства обеспечения информационной безопасности были установлены корректно, прошли тестирование и правильно используются, сотрудники знакомы с политикой информационной безопасности, система управления информационной безопасностью должным образом документирована и подготовлена ведомость соответствия. В итоге проводящему аудит сотруднику необходимо стандартным образом оформить заключение.

По результатам успешно выполненного аудита компании или ее информационной системы и подсистемы информационной безопасности выдаются сертификаты на соответствие стандарту BS 7799, которые считаются действительными в течение трех лет.

В процессе аудита подсистемы информационной безопасности компании на соответствие этому стандарту аудиторам приходится анализировать наиболее важные аспекты информационной безопасности с учетом объема подлежащей защите информации, ее специфики и ценности для проверяемой компании. Поскольку подобная деятельность аудитора в настоящее время с большим трудом поддается формальному описанию, требует знаний системного анализа и значительной практики аналогичной работы, опыт и компетентность аудитора являются важными условиями квалифицированного выполнения аудита безопасности корпоративной информационной системы.

По результатам аудита создается список замечаний, выявленных несоответствий требованиям стандарта и рекомендаций по их исправлению. При этом аудиторы должны гарантировать выполнение всех требований процедуры аудита. Поскольку и аудиторам, и проверяемой компании необходимо знать, насколько серьезны обнаруженные недостатки и каковы способы их исправления, в стандарте рассматриваются следующие категории несоответствия.

Существенное несоответствие: не выполняется одно или несколько базовых требований стандарта либо принимаются неадекватные меры по обеспечению конфиденциальности, целостности или доступности критически важной информации компании, приводящие к недопустимому информационному риску.

Несущественное несоответствие: не соблюдаются некоторые второстепенные требования, что несколько повышает информационные риски компании или снижает эффективность мер обеспечения ее информационной безопасности.

Каждое выявленное несоответствие непременно должно иметь ссылку на требование стандарта BS 7799. При обнаружении в процессе проверки значительного числа несущественных несоответствий аудитор обязан исследовать возможность возникновения серьезного несоответствия. После выявления несоответствий аудитору и представителям компании надлежит наметить пути их устранения. По результатам проверки аудитор может сформулировать в отчетных документах замечание, если он допускает возможность усовершенствования подсистемы информационной безопасности компьютерной информационной системы. Реакция компании на замечания аудитора бывает различной, поскольку компании сами в добровольном порядке определяют свои действия по их устранению. Замечания фиксируются и при последующих проверках. Аудиторам следует выяснить действия компании по устранению недостатков.

Аудитор анализирует представленные компанией ранее описанные документы. В случае повторного аудита компании или ее подсистемы информационной безопасности заполняется ведомость соответствия - документ, составленный аудитором при предыдущей проверке.

 Организация проведения аудита

Работы по аудиту безопасности должны начинаться с официального вступительного собрания. На собрании до сведения сотрудников, занимающихся вопросами безопасности, и руководства среднего и верхнего звена (ТОР-менеджеров компании) доводится следующее:

• предоставляется план проведения аудита с описанием, что и когда планируется проверять;
• поясняются методы оценки рисков, намеченные для использования в процессе проверки;
• объясняется процедура определения несоответствий, их квалификация и действия по их устранению;
• разъясняются причины, по которым в результате проверки могут быть сделаны замечания, и возможная реакция на них;
• перечисляются руководящие документы аудитора и компании и правила доступа к ним;
• выясняется, какие трудности могут возникнуть в процессе работы (к примеру, отсутствие ведущих специалистов и т.д.);
• обговаривается организация работы с конфиденциальными сведениями компании, необходимыми для выполнения аудита, включая отчет о проведении аудита и замечания о несоответствиях.

Администрация компании должна быть готова к тому, что аудитору потребуется обратиться к потенциально уязвимым участкам компьютерной информационной системы и конфиденциальной информации компании, например к спискам паролей и учетных записей корпоративных пользователей, личным делам сотрудников, результатам проверки лояльности сотрудников и пр. По завершении аудита проводится заключительное собрание с руководителями верхнего звена, на которое выносится:

• подтверждение заявленных перед проверкой объема проверок и рамок аудита;
• краткое изложение найденных несоответствий и согласованных изменений;
• ознакомление присутствующих с замечаниями и предложениями по их устранению;
• общие замечания по ходу аудита и комментарии к отчету;
• оглашение выводов - положительное заключение, отказ в сертификации или продолжение аудита;
• подтверждение взятых обязательств по сохранению конфиденциальности сведений, полученных в ходе аудита.

Участники вступительного и заключительного собраний должны быть официально зарегистрированы. Главным результатом аудита является официальный отчет, в котором:

• отражена степень соответствия проверяемой компьютерной информационной системы стандарту BS 7799 и собственным требованиям компании в области информационной безопасности согласно плану проведения аудита и ведомости соответствия;
• приведена подробная ссылка на основные документы предприятия, включая политику безопасности, ведомость соответствия, описания процедур обеспечения информационной безопасности, дополнительные обязательные и необязательные стандарты и нормы, применяемые к данной компании;
• представлены общие замечания по выводам проведения аудита;
• указаны количество и категории полученных несоответствий и замечаний;
• обоснована необходимость дополнительных действий по аудиту (если таковая имеется) и составлен их общий план;
• приведен список сотрудников, принимавших участие в тестировании.

Этот отчет является официальным документом проведения аудита. Оригинал отчета должен быть доступен сертифицирующему органу. В документе необходимо определить установленные проверяемой организацией и стандартами BS (ISO/ IEC) аспекты обеспечения безопасности, которые будут рассматриваться при любой проверке. Отчет будет обновляться при каждом аудите.

Отметим, что в случае сертификации компании по стандартам ISO 9001 или ISO 9002 стандарт BS 7799 разрешает совместить сертификацию системы информационной безопасности с сертификацией на соответствие стандартам ISO 9001 или 9002 как на первоначальном этапе, так и при контрольных проверках. Для этого необходимо выполнить условие участия в совмещенной сертификации зарегистрированного аудитора по стандарту BS 7799. При этом в планах совместного тестирования надлежит четко указать процедуры проверки системы информационной безопасности, а сертифицирующие органы обязаны гарантировать тщательность проверки информационной безопасности.

 Аудит информационной системы: рекомендации COBIT 3rd Edition

К настоящему времени аудиторскими компаниями образованы различные государственные и негосударственные ассоциации, объединяющие профессионалов в области аудита информационных систем, которые занимаются созданием и сопровождением, как правило, закрытых и тщательно охраняемых от посторонних глаз стандартов аудиторской деятельности в области информационных технологий (табл. 5.1).

Таблица 5.1. Сравнение некоторых стандартов и концепций аудита информационных технологий

	COBIT	SAC	COSO	SAS 55/78
Целевая аудитория	ТОР-менеджеры, пользователи, аудиторы информационных систем	Внутренние аудиторы компании	ТОР-менеджеры	Внешние аудиторы
Понятие аудита	Системный процесс проверки на соответствие декларируемым целям политики безопасности, организации обработки данных, норм эксплуатации	Системный процесс проверки на соответствие декларируемым целям бизнес-процессов, политики безопасности и кадровой политики	Системный процесс проверки на соответствие декларируемым целям бизнес-процессов, а также политики безопасности компании	Системный процесс проверки на соответствие декларируемым целям бизнес-процессов, а также политики безопасности компании
Цели аудита	Развитие бизнеса, повышение его эффективности и рентабельности, следование нормативно-правовой базе	Развитие бизнеса, финансовый контроль, следование нормативно-правовой базе	Развитие бизнеса, финансовый контроль, следование нормативно-правовой базе	Развитие бизнеса, финансовый контроль, следование нормативно-правовой базе
Область применения	Планирование и организация, постановка задач и выполнение, эксплуатация и сопровождение, мониторинг	Управление производством, эксплуатация автоматизированных и автоматических систем управления	Управление производством, риск-менеджмент, управление информационными системами, мониторинг корпоративных информационных систем	Управление производством, управление рисками, мониторинг и управление корпоративными информационными системами
Акцент	Менеджмент информационных технологий	Менеджмент информационных технологий	Менеджмент	Финансовый менеджмент
Срок действия сертификата аудита	Интервал времени	Время проверки	Интервал времени	Интервал времени
Заинтересован-ные лица	ТОР-менеджеры компании	ТОР-менеджеры компании	ТОР-менеджеры компании	ТОР-менеджеры компании
Объем документов, регламентирую-щих проведение аудита	4 документа общим объемом 187 страниц	12 частей общим объемом 1193 страницы	4 тома общим объемом 353 страницы	2 документа общим объемом 63 страницы

Ассоциация аудиторов (Information Systems Audit and Control Association - ISACA), в отличие от других организаций, занимается открытым аудитом информационных систем. Она основана в 1969 г. и в настоящее время объединяет свыше 23 000 членов из более 100 стран, в том числе из России. Ассоциация ISACA координирует деятельность более чем 26 000 аудиторов информационных систем (CICA - Certified Information System Auditor), имеет свою систему стандартов в этой области, ведет исследовательские работы, готовит кадры, проводит конференции.

Ассоциация ISACA под аудитом информационной безопасности в информационной системе понимает процесс сбора сведений, позволяющих установить, обеспечиваются ли безопасность ресурсов компании, необходимые параметры целостности и доступности данных, достигаются ли цели предприятии в части эффективности информационных технологий.

По заявлениям руководящих органов ISACA основная цель ассоциации - исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами информационных систем. В интересах профессиональных аудиторов, руководителей информационных систем, администраторов и всех заинтересованных лиц ассоциация развивает свою концепцию управления информационными технологиями в соответствии с требованиями информационной безопасности. На основе этой концепции описываются элементы информационной технологии, даются рекомендации по системе управления и обеспечению режима информационной безопасности. Концепция изложена в документе под названием COBIT 3rd Edition - Control Objectives for Information and related Technology (контрольные объекты информационной технологии), который состоит из четырех частей.

Часть 1: Краткое описание концепции (Executive Summary).

Часть 2: Определения и основные понятия (Framework). Помимо требований и основных понятий в этой части сформулированы требования к ним.

Часть 3: Спецификации управляющих процессов и возможный инструментарий (Control Objectives).

Часть 4: Рекомендации по выполнению аудита компьютерных информационных систем (Audit Guidelines).

Третья часть этого документа в некотором смысле аналогична международному стандарту BS ISO/IEC 7799 (BS 7799). Примерно так же подробно изложены практические рекомендации по управлению информационной безопасностью, но модели систем управления в сравниваемых стандартах сильно различаются. Стандарт COBIT - пакет открытых документов, первое издание которого было опубликовано в 1996 г. Он описывает универсальную модель управления информационной технологией, представленную на рис. 5.1 [351].

Основная идея данного стандарта выражается следующим образом: все ресурсы информационной системы должны управляться набором естественно сгруппированных процессов для обеспечения компании необходимой и надежной информацией. В модели COBIT присутствуют ресурсы информационных технологий,

Рис. 5.1. Модель управления информационной технологией

являющиеся источником информации, которая используется в бизнес-процессе. Информационная технология должна удовлетворять требованиям бизнес-процесса. Эти требования сгруппированы следующим образом.

Во-первых, требования к качеству технологии составляют показатели качества и стоимости обработки информации, характеристики ее доставки получателю. Показатели качества подробно описывают возможные негативные аспекты, которые в обобщенном виде входят в понятия целостности и доступности. Кроме того, в эту группу включаются показатели, относящиеся к субъективным аспектам обработки информации, например стиль и удобство интерфейсов. Характеристики доставки информации получателю - это показатели, в обобщенном виде входящие в показатели доступности и частично в показатели конфиденциальности и целостности. Рассмотренная система показателей используется при управлении рисками и оценке эффективности информационной технологии.

Во-вторых, доверие к технологии - группа показателей, описывающих соответствие компьютерной информационной системы принятым стандартам и требованиям, достоверность обрабатываемой в системе информации, ее действенность.

В-третьих, показатели информационной безопасности - конфиденциальность, целостность и доступность обрабатываемой в системе информации.

 Этапы проведения аудита

В стандарте COBIT выделены следующие этапы проведения аудита.

На этапе подписания договорной и исходно-разрешительной документации назначаются ответственные лица со стороны предприятия и аудиторской компании, устанавливаются рамки проведения аудита, указываются контролируемые элементы информационной системы, составляется и согласовывается необходимая документация. По результатам предварительного аудита всей информационной системы проводится углубленная проверка подозрительных с позиции проводимого аудита компонентов системы.

Далее следует этап сбора информации с применением стандарта COBIT, который в данном случае регламентирует состав объектов контроля исследуемой системы. Степень детализации описания объектов контроля определяется на этапе разработки исходно-разрешительной документации. При этом стараются добиться оптимального соотношения между временными, стоимостными и прочими затратами на получение исходных данных и их важностью для целей исследования. Диапазон представления исходных данных меняется от бинарных ответов типа ДА/НЕТ до развернутых отчетов. Ассоциация ISACA выдвинула ряд требований к представлению информации при проведении аудита, которые были реализованы в стандарте COBIT. Основное требование к информации - это требование полезности, то есть информация должна быть понятной, уместной (относящейся к делу) и достоверной (надежной), причем понятной для грамотного пользователя, что не исключает рассмотрения сложной информации, если она действительно необходима. Информация уместна, если она влияет на решения пользователей и помогает им оценивать прошлые, настоящие или будущие события или подтверждать и исправлять прошлые оценки. Уместность информации зависит от ее содержания, существенности и своевременности. Информация называется существенной, если ее отсутствие или неправильная оценка могут повлиять на решение пользователя. Иногда полагают, что аналогом уместности информации является полнота освещения операций за отчетный период. Информация достоверна, если она не содержит существенных ошибок или пристрастных оценок и правдиво отражает производственную деятельность. Чтобы быть достоверной, информации надлежит быть правдивой, нейтральной и достаточной для принятия решений.

При анализе учитываются только достоверные исходные данные. Требования к проведению анализа определяются на этапе сбора исходных данных. Стандарт COВ1Т рекомендует применять описанные в нем методики анализа данных, но при необходимости допускается использование разрешенных ISACA разработок других членов ассоциации. На этапе анализа возможен возврат к этапу сбора информации для получения недостающих исходных данных.

Следующий этап - выработка рекомендаций. Полученные в результате проведенного анализа рекомендации после предварительного согласования с руководством компании следует обязательно проверить на выполнимость и актуальность с учетом рисков внедрения. Стандарт COBIT советует оформлять рекомендации в виде отчета о текущем состоянии информационных систем, технического задания на внесение изменений, отчета о проведенном аудите. Результаты проведения аудита можно разделить на три условные группы: организационные, технические и методологические. Каждая из названных групп связана с улучшением организационного, технического или методологического обеспечения информационной системы.

К организационной группе относятся оценки стратегического планирования, общего управления и инвестиций в информационную систему, рекомендации, способствующие повышению конкурентоспособности компании и уменьшению затрат на обслуживание информационной системы, результаты проверки соответствия информационной системы решаемым бизнес-задачам, мероприятия по снижению стоимости эксплуатации информационной системы, управление рисками, проектами, выполняемыми в рамках информационных систем, и др. Техническая группа результатов позволяет лучше понять проблемы информационных систем и разработать пути их решения с минимальными затратами, оценить технологические решения, реализовать весь потенциал новых технологий, системно решить вопросы безопасности, осуществить профессиональный прогноз функционирования и необходимости модернизации информационных систем, повысить эффективность функционирования информационной системы, определить уровень обслуживания информационных систем. Методологические результаты дают возможность предоставить апробированные подходы к стратегическому планированию и прогнозированию, оптимизации документооборота, повышению трудовой дисциплины, обучению администраторов и пользователей информационных систем, получению своевременной и объективной информации о текущем состоянии информационной системы компании.

Контроль за выполнением рекомендаций подразумевает постоянное отслеживание аудиторской фирмой выполнения компанией рекомендаций.

Затем следует подписание отчетных актов приемки работы с графиком проведения последующих проверок, разработкой такой дополнительной документации, как долгосрочные и краткосрочные планы развития информационной системы, план восстановления информационной системы в чрезвычайных ситуациях, порядок действий при нарушении защиты, концепция политики безопасности. Постоянное проведение аудита гарантирует работоспособность системы, поэтому составление графика дальнейших проверок является одним из условий выполнения профессионального аудита. На этапе разработки дополнительной документации создаются документы, отсутствие которых (или недочеты в них) могут вызвать сбои в работе информационной системы.

Любая работающая информационная технология в модели COBIT проходит ряд стадий жизненного цикла.

Планирование и организация работы. На этой стадии определяется стратегия и тактика развития информационных технологий в интересах достижения основных целей бизнеса, а затем рассматриваются вопросы реализации: построение архитектуры системы, решение технологических и организационных задач, обеспечение финансирования и т.д. Всего на этой стадии выделяется 11 основных задач.

Приобретение и ввод в действие. Выбранные на этой стадии решения должны быть документально оформлены и спланированы. Выделяется шесть основных задач, решаемых на данной стадии.

Поставка и поддержка. Выделяется 13 основных задач данной стадии, предназначенных поддерживать эксплуатацию информационной технологии.

Мониторинг. За процессами информационной технологии необходимо наблюдать и контролировать соответствие их параметров выдвинутым требованиям. Выделяется четыре основные задачи, решаемые на данной стадии.

Всего в стандарте COBIT выделяется 34 задачи верхнего уровня обработки информации.

Кроме традиционных свойств информации (конфиденциальности, целостности и доступности) в модели дополнительно используются еще четыре свойства -действенность, эффективность, соответствие формальным требованиям и достоверность. Эти свойства не являются независимыми, поскольку частично связаны с первыми тремя. Но их введение объясняется соображениями удобства интерпретации результатов.

В соответствии с решаемыми компанией бизнес-задачами стандарт COBIT предлагает (с учетом заданных критериев оценки и имеющихся в распоряжении ресурсов) описание основных работ по планированию и разработке информационных систем, их комплектации и внедрению, мониторингу, управлению и обслуживанию. В стандарте четыре базовые группы (домена) разбиты на 34 подгруппы, состоящие из 318 объектов контроля, каждый из которых поставляет аудитору достоверную актуальную информацию о текущем состоянии информационной системы.

Системно скоординировав все лучшее в области аудита безопасности информационных систем, стандарт предоставляет аудиторам пакет руководящих документов. Документы стандарта на современном уровне описывают концептуальную последовательность действий аудитора по сбору данных об исследуемых информационных системах и выдаче рекомендаций относительно их совершенствования. Стандарт COBIT базируется на стандартах ISA ISACF и других международных стандартах и таких нормативных документах, как технические стандарты, кодексы, критерии оценки информационных систем, профессиональные стандарты, требования к банковским услугам, системам электронной торговли, производству и т.д. Стандарт написан и проанализирован сотрудниками ведущих консалтинговых компаний, и они работают с ним наряду с другими документами. Несмотря на сравнительно малый объем, стандарт отвечает потребностям практики, сохраняя независимость от конкретных производителей, технологий и платформ. При разработке стандарта была заложена возможность его использования как для проведения аудита информационной системы компании, так и для проектирования информационной системы. В первом случае он позволяет определить степень соответствия исследуемой системы лучшим образцам, а во втором - спроектировать систему, почти идеальную по своим характеристикам.

Стандарт COBIT выгодно отличается от многочисленных аналогичных разработок. К достоинствам стандарта следует отнести его достаточность, сравнительно несложную адаптацию к специфике решаемой задачи, допустимость масштабирования и наращивания возможностей исследуемых информационных систем. Он применим к любым программно-аппаратным решениям без изменения собственной структуры и заложенных в нем принципов. Стандарт характеризуется широким диапазоном решаемых задач - от стратегического планирования до анализа работы отдельных элементов информационной системы путем перекрестного контроля критически важных объектов.

Ассоциация ISACA уделяет большое внимание регламентации различных аспектов деятельности аудитора. Разумная система регламентации в сочетании с высокой квалификацией аудиторов обеспечивает профессиональность аудита информационной безопасности. Основным регламентирующим документом является мандат аудитора. Каждый сертифицированный аудитор CICA имеет мандат на проведение аудита, в котором содержится следующая информация:

• ответственность (Responsibility) и обязанности аудитора - официальное разрешение на проведение работ с указанием целей, рамок деятельности аудитора, объекта, на котором проводится аудит, гарантии независимой проверки аудитором информационной системы, специальных требований к выполнению аудита, критически важных факторов, обеспечивающих успех проводимых работ, и отчетных материалов (показатели работы аудитора);
• полномочия (Authority) аудитора - комплекс мероприятий по оценке оговоренных рисков, право доступа к необходимым для проведения аудита сотрудникам и информации, выбор подлежащих аудиту подсистем компьютерной информационной системы;
• подотчетность (Accountability) аудитора - порядок представления отчета руководству компании, перечень доводимых до персонала основных результатов аудита, процедуры независимой оценки результатов аудита, правила информирования проверяемых о действиях аудитора. Кроме того, процедура аудита должна соответствовать стандартам и предварительному плану, а сам аудитор отвечает за качество проверки, соблюдение сроков и сметной стоимости и может быть подвергнут штрафу.

Современные методы управления информационной безопасностью позволяют решать любые корректно поставленные задачи в области информационной безопасности. Уровень безопасности любой технологии может быть сколь угодно высоким. Однако не исключено, что затраты на поддержание высокого уровня безопасности окажутся чрезвычайно большими. Выбор приемлемого уровня безопасности при допустимых затратах является обязательным условием постановки задачи обеспечения информационной безопасности. Постановка задачи нахождения компромисса между эффективностью подсистемы безопасности и ее стоимостью предполагает наличие системы показателей эффективности этой подсистемы, методики их измерения, должностных лиц, уполномоченных принимать решение о допустимости определенного уровня остаточного риска, и системы мониторинга для отслеживания текущих параметров подсистемы безопасности. Сложность этой задачи заключается в необходимости найти подобный компромисс.

Умение правильно оценить угрозы ИБ в конкретной ситуации, выбрать систему контрмер, обладающих приемлемым соотношением стоимость-эффективность, является одним из необходимых качеств аудитора.

В ISACA существуют учебные программы, помогающие овладеть необходимыми для этого навыками. В качестве примера рассмотрим интерактивную обучающую программу под названием ТАКО, доступную по адресу: http://www.isaca.org/ takо.htm.

 Пример аудита системы расчета зарплаты

Корпорация, имеющая около 5000 сотрудников, территориально расположена в центральном офисе и восьми филиалах, находящихся в других городах.

Расчет зарплаты производится в центральном офисе.

Требуется оценить угрозы ИБ и предложить адекватную систему контрмер.

План проведения аудита ИБ предусматривает рассмотрение следующих технологических стадий (рис. 5.2) решения этой задачи:

• учет фактически отработанного сотрудниками времени;
• передача данных для расчета в центральный офис;
• работа с массивом персональных данных, которые требуются при начислении зарплаты;
• расчет зарплаты;
• передача платежных ведомостей в банк;
• формирование отчетов и справок по зарплате;
• работа с управляющей информацией подсистемы (временные зоны, ставки по категориям, фиксированная часть премиальных и т.д.).

Рис. 5.2. Стадии проведения аудита ИБ подсистемы расчета и выдачи зарплаты

Для каждой стадии составляется список факторов риска, эксперту предлагается выбрать наиболее значимый фактор и ранжировать остальные. Затем рассматриваются возможные контрмеры, характеризуемые стоимостью и эффективностью. Требуется подобрать набор мер с оптимальным (по мнению аудитора) соотношением стоимость-эффективность.

Опишем, например, технологическую стадию - работу с массивом персональных данных, используемых при начислении зарплаты (рис. 5.3).

Рассматривался следующий набор угроз:

• Т1 - данные вводит неавторизованный пользователь (оператор);
• Т2 - данные, нужные для выдачи зарплаты, посылаются в банк с неверными банковскими реквизитами;
• ТЗ - оператором вводятся фиктивные данные на несуществующих людей (мошенничества с получением денег за несуществующих сотрудников);

Рис. 5.3. Угрозы безопасности при работе с массивом персональных данных

• Т4 - несанкционированный доступ (для чтения) к платежным документам получает внешний нарушитель;
• Т5 - в бухгалтерию поступают фальсифицированные платежные ведомости;
• Т6 - информация в базе меняется в результате телефонного разговора, данные оказываются некорректными;
• Т7 - частично отсутствуют необходимые для начисления зарплаты данные.
• Т8 - описки в количестве нулей - по ошибке оператора размер зарплаты сотрудника увеличивается в 10 раз;
• Т9 - банковские реквизиты в базе данных некорректны;
• Т10 - информация, на основе которой начисляется зарплата, изменяется без уведомления ответственного за это лица.

Аудитору предлагается выбрать наиболее значимую (вероятную) угрозу. Правильный ответ: ошибки оператора (Т8), остальные угрозы могут быть ранжированы, как показано на рис. 5.4.

Затем выбирается подходящий набор контрмер из следующего списка (рис. 5.5);

• доступ к базе данных по расчету зарплаты разрешен только имеющему к этому отношение персоналу;
• другие пользователи должны одобрить вносимые изменения;
• при внесении изменений обязателен двойной ввод;
• отсутствует возможность изменения данных, касающихся себя самого, любым сотрудником;

Рис. 5.4. Ранжирование угроз безопасности

Рис. 5.5. Набор контрмер

• запрос на изменение данных делается в письменном виде;
• составляется ежегодный отчет о выданной зарплате по получателям;
• администратором ведется журнал изменений базы данных бухгалтерии;
• журнал изменений направляется контролеру;
• об изменениях базы данных сообщается получателю зарплаты;
• информация об изменениях вносится в распечатку расчета зарплаты;
• журнал изменений сохраняется в файле.

Каждая из контрмер требует некоторых затрат и уменьшает вероятность реализации нескольких угроз. Аудитор выбирает набор контрмер, обладающий подходящим соотношением стоимость-эффективность.

Например, сравнительно дешевая контрмера - просмотр журнала изменений контролером - является достаточно эффективной: она уменьшает вероятности реализации практически всех угроз (рис. 5.6), а более дорогая контрмера - двойной ввод при внесении изменений - в этом смысле менее эффективна (рис. 5.7).

Подходящий по соотношению стоимость-эффективность набор контрмер может выглядеть, как на рис 5.8. Здесь указан дополнительный эффект применения контрмеры: доступ к базе данных по расчету зарплаты может получить только персонал, имеющий к этому отношение.

Рис. 5.6. Эффективность просмотра журнала изменений

Рис. 5.7. Эффективность дублирования ввода при внесении изменений

Рис. 5.8. Суммарная эффективность набора контрмер

Глава  
Анализ защищенности информационной системы

В настоящее время не существует каких-либо стандартизированных методик анализа защищенности автоматизированной системы (АС), поэтому в конкретных ситуациях алгоритмы действий аудиторов могут серьезно различаться. Однако типовую методику анализа защищенности корпоративной сети предложить все-таки можно. И хотя данная методика не претендует на всеобщность, ее эффективность многократно проверена на практике.

Типовая методика включает использование следующих методов:

• изучение исходных данных по АС;
• оценка рисков, связанных с осуществлением угроз безопасности в отношении ресурсов АС;
• анализ механизмов безопасности организационного уровня, политики безопасности организации и организационно-распорядительной документации по обеспечению режима информационной безопасности и оценка их соответствия требованиям существующих нормативных документов, а также их адекватности имеющимся рискам;
• анализ конфигурационных файлов маршрутизаторов, межсетевых экранов (МЭ) и proxy-серверов, осуществляющих управление межсетевыми взаимодействиями, почтовых и DNS-серверов, а также других критических элементов сетевой инфраструктуры;
• сканирование внешних сетевых адресов локальной вычислительной сети (ЛВС) из сети Internet;
• сканирование ресурсов ЛВС изнутри;
• анализ конфигурации серверов и рабочих станций ЛВС при помощи специализированных программных средств.

Перечисленные методы исследования предусматривают проведение как активного, так и пассивного тестирования системы защиты. Активное тестирование системы защиты заключается в эмуляции действий потенциального злоумышленника для преодоления механизмов защиты. Пассивное тестирование предполагает анализ конфигурации ОС и приложений по шаблонам с привлечением списков проверки. Тестирование может выполняться вручную либо посредством специализированных программных средств.

 Исходные данные

В соответствии с требованиями РД Гостехкомиссии при проведении работ по аттестации безопасности АС, включающих предварительное обследование и анализ защищенности объекта информатизации, заказчиком должны быть предоставлены следующие исходные данные:

• полное и точное наименование объекта информатизации и его назначение;
• характер информации (научно-техническая, экономическая, производственная, финансовая, военная, политическая) и уровень ее секретности (конфиденциальности), в соответствии с какими перечнями (государственным, отраслевым, ведомственным, предприятия) он определен;
• организационная структура объекта информатизации;
• перечень помещений, состав комплекса технических средств (основных и вспомогательных), входящих в объект информатизации, в которых (на которых) обрабатывается указанная информация;
• особенности и схема расположения объекта информатизации с указанием границ контролируемой зоны;
• структура программного обеспечения (общесистемного и прикладного), установленного на аттестуемом объекте и предназначенного для обработки защищаемой информации, принятые протоколы обмена информацией;
• общая функциональная схема объекта информатизации, включая схему информационных потоков и режимы обработки защищаемой информации;
• наличие и характер взаимодействия с другими объектами информатизации;
• состав и структура системы защиты информации на аттестуемом объекте;
• перечень технических и программных средств в защищенном исполнении, средств защиты и контроля, внедренных на аттестуемом объекте и имеющих соответствующий сертификат, предписание на эксплуатацию;
• сведения о разработчиках системы защиты информации, наличие у сторонних (по отношению к предприятию, на котором расположен аттестуемый объект) разработчиков лицензий на проведение подобных работ;
• присутствие на объекте (на предприятии, на котором расположен этот объект) службы безопасности информации, службы администратора (автоматизированной системы, сети, баз данных);
• существование и основные характеристики физической защиты объекта информатизации (помещений, где обрабатывается защищаемая информация и хранятся информационные носители);
• наличие и готовность проектной и эксплуатационной документации и другие исходные данные по аттестуемому объекту, определяющие безопасность информации.

Опыт показывает, что перечисленных исходных данных явно недостаточно для анализа защищенности АС, и приведенный в РД Гостехкомиссии список нуждается в расширении и конкретизации. Последний пункт этого списка предполагает предоставление других исходных данных по объекту информатизации, влияющих на безопасность информации. Как раз эти «дополнительные» данные и являются наиболее значимыми для оценки текущего положения дел с обеспечением безопасности АС. Ниже перечислены соответствующие документы.

Дополнительная документация:

• нормативно-распорядительные документы по проведению регламентных работ;
• нормативно-распорядительные документы по обеспечению политики безопасности;
• должностные инструкции для администраторов, инженеров технической поддержки и службы безопасности;
• процедуры и планы предотвращения попыток НСД к информационным ресурсам и реагирования на них;
• схема топологии корпоративной сети с указанием IP-адресов и структурная схема;
• данные по структуре информационных ресурсов с указанием степени критичности или конфиденциальности каждого ресурса;
• размещение информационных ресурсов в корпоративной сети;
• схема организационной структуры пользователей;
• схема организационной структуры обслуживающих подразделений;
• схемы размещения линий передачи данных;
• схемы и характеристики систем электропитания и заземления объектов АС;
• данные об эксплуатируемых системах сетевого управления и мониторинга.

Проектная документация:

• функциональные схемы;
• описание автоматизированных функций;
• описание основных технических решений.

Эксплуатационная документация: руководства для пользователей и администраторов применяемых программных и технических средств защиты информации (СЗИ) в случае необходимости.

 Анализ конфигурации средств защиты внешнего периметра ЛВС

При анализе конфигурации средств защиты внешнего периметра ЛВС и управления межсетевыми взаимодействиями особое внимание обращается на следующие аспекты, определяемые их конфигурацией:

• настройка правил разграничения доступа (правил фильтрации сетевых пакетов) на МЭ и маршрутизаторах;
• принятые схемы и настройка параметров аутентификации;
• настройка параметров системы регистрации событий;
• применение механизмов, обеспечивающих сокрытие топологии защищаемой сети и включающих трансляцию сетевых адресов (NAT), и привлечение системы защиты службы доменных имен split DNS;
• настройка механизмов оповещения об атаках и реагирования на них;
• наличие и работоспособность средств контроля целостности;
• версии установленного ПО и наличие пакетов программных коррекций.

 Методы тестирования системы защиты

Тестирование системы защиты АС проводится с целью проверки эффективности имеющихся в ней механизмов защиты, их устойчивости в отношении возможных атак, а также с целью поиска уязвимостей в защите. Традиционно используются два основных метода тестирования:

• метод «черного ящика»;
• метод «белого ящика».

Тестирование по методу «черного ящика» предполагает отсутствие у тестирующей стороны каких-либо специальных знаний о конфигурации и внутренней структуре объекта испытаний. При этом против объекта испытаний реализуются все известные типы атак и проверяется устойчивость системы защиты в отношении этих атак. Такие методы тестирования эмулируют действия потенциальных злоумышленников, пытающихся взломать систему защиты. Основным средством тестирования являются сетевые сканеры, располагающие базами данных известных уязвимостей.

Метод «белого ящика» предусматривает составление программы тестирования на основании знаний о структуре и конфигурации объекта испытаний. В ходе тестирования проверяются наличие и работоспособность механизмов безопасности, соответствие состава и конфигурации системы защиты требованиям безопасности и существующим рисками. Выводы о наличии уязвимостей делаются на основании анализа конфигурации внедренных средств защиты и системного ПО, а затем проверяются на практике. Основной инструмент анализа - программные агенты средств анализа защищенности системного уровня, рассматриваемые ниже.

 Средства анализа защищенности

Арсенал программных средств, посредством которых анализируется защищенность АС, достаточно широк. При этом во многих случаях свободно распространяемые программные продукты ничем не уступают коммерческим. Достаточно сравнить некоммерческий сканер NESSUS с его коммерческими аналогами.

Удобным и мощным средством анализа защищенности ОС является описанный далее, свободно распространяемый программный продукт CIS Windows 2000 Level 1 Scoring Tool, а также аналогичные средства разработчиков ОС, предоставляемые бесплатно, такие как ASET для ОС Solaris или MBSA (Microsoft Security Baseline Analyzer) для ОС Windows 2000.

Один из методов автоматизации процессов анализа и контроля защищенности распределенных компьютерных систем состоит в использовании технологии интеллектуальных программных агентов. Система защиты строится на архитектуре консоль/менеджер/агент. На каждую из контролируемых систем устанавливается программный агент, который выполняет соответствующие настройки ПО и проверяет их правильность, контролирует целостность файлов, своевременность установки пакетов программных коррекций, а также выполняет другие полезные задачи контроля защищенности АС. (Управление агентами реализуется по сети программой-менеджером.) Менеджеры являются центральными компонентами подобных систем. Они посылают управляющие команды всем агентам контролируемого ими домена и сохраняют все данные, полученные от агентов в центральной базе данных. Администратор управляет менеджерами при помощи графической консоли, позволяющей выбирать, настраивать и создавать политики безопасности, анализировать изменения состояния системы, ранжировать уязвимости и т.п. Все взаимодействия между агентами, менеджерами и управляющей консолью осуществляются по защищенному клиент-серверному протоколу. Такой подход был применен при построении комплексной системы управления безопасностью организации Symantec ESM.

Другим широко распространенным методом анализа защищенности является активное тестирование механизмов защиты путем эмуляции действий злоумышленника, предпринимающего попытки сетевого вторжения в АС. Для этих целей служат сетевые сканеры, эмулирующие действия потенциальных нарушителей. В основе работы сетевых сканеров лежит база данных, содержащая описание известных уязвимостей ОС, МЭ, маршрутизаторов и сетевых сервисов, а также алгоритмов попыток вторжения (сценариев атак). Рассматриваемые далее сетевые сканеры Nessus и Symantec NetRecon достойно представляют данный класс программных средств анализа защищенности. Таким образом, эти программные средства условно можно разделить на два класса. Первый класс, к которому принадлежат сетевые сканеры, иногда называют средствами анализа защищенности сетевого уровня. Второй класс, к которому относятся все остальные рассмотренные здесь средства, иногда называют средствами анализа защищенности системного уровня. Данные классы средств имеют свои достоинства и недостатки, а на практике взаимно дополняют друг друга.

Для функционирования сетевого сканера необходим только один компьютер, имеющий сетевой доступ к анализируемым системам, поэтому в отличие от продуктов, построенных на технологии программных агентов, нет необходимости устанавливать в каждой анализируемой системе своего (для каждой ОС) агента.

К недостаткам сетевых сканеров можно отнести большие временные затраты, необходимые для сканирования всех сетевых компьютеров из одной системы, и создание большой нагрузки на сеть. Кроме того, в общем случае трудно отличить сеанс сканирования от действительных попыток атак. Сетевыми сканерами также с успехом пользуются злоумышленники.

Системы анализа защищенности, построенные на интеллектуальных программных агентах, - потенциально более мощные средства, чем сетевые сканеры. Однако, несмотря на все их достоинства, обращение к программным агентам не может заменить сетевого сканирования, так что эти средства лучше применять совместно. Кроме того, сканеры представляют собой более простое, доступное, дешевое и во многих случаях более эффективное средство анализа защищенности.

 Спецификации Security Benchmarks

Уровень защищенности компьютерных систем от угроз безопасности зависит от многих факторов. При этом одним из определяющих факторов является адекватность конфигурации системного и прикладного ПО, средств защиты информации и активного сетевого оборудования существующим рискам. Перечисленные компоненты АС имеют сотни параметров, значения которых влияют на защищенность системы, что делает их анализ трудновыполнимой задачей. Поэтому в современных АС для анализа конфигурационных параметров системного и прикладного ПО, технических средств и средств защиты информации обычно используются специализированные программные средства.

Анализ параметров защиты осуществляется по шаблонам, содержащим списки параметров и их значений, которые должны быть установлены для обеспечения необходимого уровня защищенности. Различные шаблоны задают конфигурации для разных программно-технических средств.

Относительно коммерческих корпоративных сетей, подключенных к сети Internet, можно говорить о базовом уровне защищенности, который в большинстве случаев допустимо признать достаточным. Спецификации (шаблоны) для конфигурации наиболее распространенных системных программных средств, позволяющих поддерживать базовый уровень защищенности, в настоящее время разрабатываются представителями международного сообщества в лице организаций и частных лиц, профессионально занимающихся вопросами ИБ и аудита АС, под эгидой международной организации, которая называется Центр безопасности Интернет (Center of Internet Security). На данный момент закончены либо находятся в процессе подготовки следующие спецификации (Security Benchmarks):

• Solaris (Level-1);
• Windows 2000 (Level-1);
• CISCO IOS Router (Level-l/Level-2);
• Linux (Level-1);
• HP-UX (Level-1);
• AIX (Level-1);
• Check Point FW-l/VPN-1 (Level-2);
• Apache Web Server (Level-2);
• Windows NT (Level-1);
• Windows 2000 Bastion Host (Level-2);
• Windows 2000 Workstation (Level-2);
• Windows IIS5 Web Server (Level-2).

В приведенном списке спецификации первого уровня (Level-1) соответствуют базовому (минимальному) уровню защиты, требуемому для большинства систем с подключениями к Internet. Спецификации второго уровня (Level-2) соответствуют продвинутому уровню защиты, необходимому для систем, в которых предъявляются повышенные требования по безопасности.

Перечисленные спецификации являются результатом обобщения мирового опыта в области информационной безопасности.

Для анализа конфигурации компонентов АС на соответствие этим спецификациям предназначены специализированные тестовые программные средства (CIS-certified scoring tools).

В качестве примера рассмотрим спецификацию базового уровня защиты ОС MS Windows 2000 и соответствующий программный инструментарий для анализа конфигурации ОС.

 Спецификация Windows 2000 Security Benchmark

CIS Windows 2000 Security Benchmark - это программа для проверки соответствия настроек ОС MS Windows 2000 минимальному набору требований безопасности, определяющих базовый уровень защищенности, который в общем случае является достаточным для коммерческих систем. Требования к базовому уровню защищенности ОС Windows 2000 были выработаны в результате обобщения практического опыта (рис. 6.1). Свой вклад в разработку этих спецификаций внесли такие организации, как SANS Institute, Center for Internet Security, US NSA и US DoD.

В состав инструментария CIS Windows 2000 Security Benchmark входит шаблон политики безопасности (cis.inf), позволяющий сравнивать текущие настройки ОС с эталонными и автоматически переконфигурировать ОС для обеспечения соответствия базовому уровню защищенности, задаваемому данным шаблоном.

CIS Windows 2000 Security Benchmark дает возможность количественно оценивать текущий уровень защищенности анализируемой ОС по 10-балльной шкале. Уровень 0 соответствует минимальному уровню защищенности (после установки ОС ее уровень защищенности как раз будет равен 0). Уровень 10 является максимальным и означает полное соответствие анализируемой системы требованиям базового уровня защищенности для коммерческих систем.

Все проверки, выполняемые при анализе системы, делятся на три категории:

• Service Packs and Hotfixes (пакеты обновлений и программные коррекции);
• Account and Audit Policies (политика управления пользовательскими бюджетами и политика аудита безопасности);
• Security Options (опции безопасности).

Рис. 6.1. Windows 2000 Level 1 Security Scoring Too!

Первая категория включает проверку установки последних пакетов обновлений (Service Packs) и текущих программных коррекций (Hotfixes) от Microsoft.

Вторая категория включает проверки параметров политики безопасности по управлению пользовательскими бюджетами (включая политику управления паролями) и осуществлению аудита безопасности.

Третья категория включает проверки всех остальных параметров безопасности ОС, не относящиеся к первым двум категориям, в том числе запрет анонимных сессий (NULL sessions), правила выделения внешних устройств, параметры защиты протокола TCP/IP, установки прав доступа к системным объектам и т.п.

Для проверки наличия установленных текущих программных коррекций используется утилита MS Network Security Hotfix Checker (HFNetCheck), которая автоматически скачивается с сайта Microsoft и устанавливается во время осуществления проверок. Подробную информацию об этой утилите можно получить по адресу: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/ hfnetchk.asp.

Используя список недостающих программных коррекций (Hotfixes), сгенерированный утилитой HFNetCheck, следует осуществить поиск и установку этих коррекций. Для этого используется Microsoft Security Bulletin Search (http:// www.microsoft.com/technet/treeview/default.asp?url=/technet/security/Default.asp),

Для осуществления мониторинга установки необходимых программных коррекций, помимо утилит Microsoft, можно использовать более мощные средства

Рис. 6.2. Список недостающих программных коррекций

третьих фирм, например программу UpdateExpert, разработки St. Bernard Software (www.stbernard.comV

Для настройки ОС с использованием шаблона CIS.INF служит Security Configuration and Analysis Snap-In - стандартное средство ОС Windows 2000 для анализа и установки параметров безопасности ОС.

Порядок подключения данного средства к ММС (Microsoft Management Console), загрузки шаблона, его использования для анализа и изменения конфигурации ОС описывается в руководстве «CIS Win2K Level 1 Implementation Guide», входящем в комплект программной документации, которая содержит также подробное описание всех производимых проверок и соответствующих параметров настройки ОС.

 Возможности сетевых сканеров

Основным фактором, определяющим защищенность АС от угроз безопасности, является наличие в АС уязвимостей защиты. Уязвимости защиты могут быть обусловлены как ошибками в конфигурации компонентов АС, так и другими причинами, к числу которых относятся ошибки и программные закладки в коде ПО, отсутствие механизмов безопасности, их неправильное использование либо их неадекватность существующим рискам, а также уязвимости, обусловленные человеческим фактором. Наличие уязвимостей в системе защиты АС в конечном счете приводит к успешному осуществлению атак, использующих эти уязвимости.

Сетевые сканеры являются, пожалуй, наиболее доступными и широко используемыми средствами анализа защищенности. Основной принцип их функционирования заключается в эмуляции действий потенциального злоумышленника по осуществлению сетевых атак. Поиск уязвимостей путем имитации возможных атак является одним из наиболее эффективных способов анализа защищенности АС, который дополняет результаты анализа конфигурации по шаблонам, выполняемого локально с использованием списков проверки. Сканер является необходимым инструментом в арсенале любого администратора либо аудитора безопасности АС.

Современные сканеры способны обнаруживать сотни уязвимостей сетевых ресурсов, предоставляющих те или иные виды сетевых сервисов. Их предшественниками считаются сканеры телефонных номеров (war dialers), использовавшиеся с начала 80-х годов прошлого века и не потерявшие актуальности по сей день. Первые сетевые сканеры представляли собой простейшие сценарии на языке Shell, сканировавшие различные TCP-порты. Сегодня они превратились в зрелые программные продукты, реализующие множество различных сценариев сканирования.

Современный сетевой сканер выполняет четыре основные задачи:

• идентификацию доступных сетевых ресурсов;
• идентификацию доступных сетевых сервисов;
• идентификацию имеющихся уязвимостей сетевых сервисов;
• выдачу рекомендаций по устранению уязвимостей.

В функциональность сетевого сканера не входит выдача рекомендаций по использованию найденных уязвимостей для реализации атак на сетевые ресурсы. Возможности сканера по анализу уязвимостей ограничены той информацией, которую могут предоставить ему доступные сетевые сервисы.

Принцип работы сканера заключается в моделировании действий злоумышленника, производящего анализ сети при помощи стандартных сетевых утилит, таких как host, showmount, traceout, rusers, finger, ping и т.п. При этом используются известные уязвимости сетевых сервисов, сетевых протоколов и ОС для реализации удаленных атак на системные ресурсы и осуществляется документирование удачных попыток.

В настоящее время существует большое количество коммерческих и свободно распространяемых сканеров, как универсальных, так и специализированных, предназначенных для выявления только определенного класса уязвимостей. Многие из них можно найти в Internet. Число уязвимостей в базах данных современных сканеров медленно, но уверенно приближается к 1000.

Одним из наиболее «продвинутых» коммерческих продуктов этого класса является сетевой сканер NetRecon компании Symantec, база данных которого содержит около 800 уязвимостей систем UNIX, Windows и NetWare и постоянно обновляется через Web. Рассмотрение его свойств позволит составить представление о всех продуктах этого класса.

 Сканер Symantec NetRecon

Сетевой сканер NetRecon является инструментом администратора безопасности, предназначенным для исследования структуры сетей и сетевых сервисов и анализа защищенности сетевых сред. NetRecon позволяет осуществлять поиск уязвимостей в сетевых сервисах, ОС, МЭ, маршрутизаторах и других сетевых компонентах. Например, NetRecon помогает находить уязвимости в таких сетевых сервисах, как ftp, telnet, DNS, электронная почта, Web-сервер и др. При этом проверяются версии и конфигурации сервисов, их защищенность от сетевых угроз и устойчивость к попыткам проникновения. Для поиска уязвимостей используются как стандартные средства тестирования и сбора информации о конфигурации

Рис. 6.3. Сетевой сканер NetRecon

Рис. 6.4. Суммарное количество уязвимостей, обнаруженных сканером NetRecon

и функционировании сети, так и специальные средства, которые реализуют алгоритмы, эмулирующие действия злоумышленника по осуществлению сетевых атак.

Программа работает в среде ОС Windows и имеет удобный графический интерфейс, позволяющий определять параметры сканирования, наблюдать за ходом сканирования, генерировать и просматривать отчеты о результатах сканирования. Результаты отображаются в графической и табличной форме в реальном масштабе времени.

Создаваемые NetRecon отчеты содержат подробную информацию о найденных уязвимостях, включая слабость паролей пользователей, подверженность определенных сервисов угрозам отказа в обслуживании, уязвимые для сетевых атак конфигурации ОС и др. Наряду с сообщениями о найденных уязвимостях и их описаниями приводятся рекомендации по их устранению. Отчет о результатах сканирования позволяет наметить план мероприятий по устранению выявленных недостатков.

Для генерации отчетов в NetRecon используется ПО Crystal Report, предоставляющее удобные средства для просмотра отчетов и их экспорта во все популярные форматы представления данных. Найденные уязвимости ранжируются, при этом каждой из них присваивается числовой рейтинг, что позволяет отсортировать их по степени критичности для облегчения последующего анализа результатов сканирования.

Пример описания уязвимости в отчете, сгенерированном сканером NetRecon, приведен на рис. 6.5. В NetRecon используется следующий формат описания уязвимости (который, однако, является общим для всех остальных сетевых сканеров):

• Vulnerability Name (название уязвимости);
• Risk (уровень риска);
• Description (описание уязвимости);
• Solution (способы ликвидации уязвимости);
• Additional Information (дополнительная информация);
• Links (ссылки на источники информации о данной уязвимости);
• of Network Resources (количество сетевых ресурсов, подверженных данной уязвимости);
• • Network Resource (список сетевых ресурсов).

Рис. 6.5. Описание уязвимости в отчете, сгенерированном сканером NetRecon

NetRecon самостоятельно определяет конфигурацию сети и позволяет выбрать сетевые ресурсы для сканирования. Может осуществляться параллельное сканирование всех сетевых ресурсов, сканирование по диапазону сетевых адресов, сканирование отдельных систем или подсетей. Сеанс сканирования может включать все виды проверок либо отдельные проверки по выбору пользователя. Глубина сканирования определяется продолжительностью сеанса сканирования, которая задается пользователем. Например, проверки, связанные с подбором пользовательских паролей по словарю, сопряжены с существенными временными затратами и не могут быть завершены в течение короткого сеанса сканирования.

Для поиска сетевых уязвимостей в NetRecon используется запатентованная технология UltraScan. Производимые NetRecon проверки тесно взаимосвязаны, и результаты одной проверки используются для выполнения другой. Как и в случае реальных атак, в технологии UltraScan информация об обнаруженных уязвимостях нужна для выявления других связанных с ними уязвимостей. Например, если

NetRecon удалось получить доступ к файлу, содержащему пароли пользователей, и расшифровать несколько паролей, то эти пароли будут применены для имитации атак на другие системы, входящие в состав сети.

NetRecon дает возможность пользователю отслеживать путь поиска уязвимости, представляющий собой последовательность проверок, производимых NetRecon, которая привела к выявлению данной уязвимости. Путь поиска уязвимости позволяет проследить действия возможного нарушителя, осуществляющего атаку на сетевые ресурсы.

Используемая NetRecon база данных содержит описание известных уязвимостей и сценариев атак. Она регулярно пополняется новыми данными. Обновление этой базы данных производится через Web-узел компании Symantec автоматически, при помощи механизма LiveUpdate.

 Сканер NESSUS

Сетевой сканер Nessus может рассматриваться в качестве достойной альтернативы коммерческим сканерам. Nessus является свободно распространяемым и постоянно обновляемым программным продуктом. Удобный графический интерфейс позволяет определять параметры сеанса сканирования, наблюдать за ходом сканирования, создавать и просматривать отчеты.

По своим функциональным возможностям сканер Nessus находится в одном ряду, а по некоторым параметрам превосходит такие широко известные коммерческие сканеры, как NetRecon компании Symantec, Internet Scanner компании ISS и CyberCop Scanner компании NAI.

Версия 0.99 серверной части сканера Nessus была сертифицирована в Гостехкомиссии России (сертификат № 361 от 18 сентября 2000 г.).

Сценарии атак реализованы в NESSUS в качестве подключаемых модулей (plugins). Количество подключаемых модулей постоянно увеличивается, в настоящее время насчитывается более 700. Новые внешние модули, эмулирующие атаки, можно инсталлировать, скопировав файлы, содержащие их исходные тексты, с Web-сервера разработчиков (www.nessus.org).

Nessus предоставляет очень широкие возможности по поиску уязвимостей корпоративных сетей и исследованию структуры сетевых сервисов. Помимо использования стандартных способов сканирования портов TCP и UDP, Nessus позволяет осуществлять поиск уязвимостей в реализациях протоколов управления сетью IСМР и SNMP. Кроме того, поддерживаются различные стелс-режимы сканирования, реализуемые популярным некоммерческим стелс-сканером nmap, который можно рассматривать в качестве одного из компонентов сканера Nessus. Другой популярный некоммерческий сканер queso используется в составе Nessus для определения типа и номера версии сканируемой ОС.

Высокая скорость сканирования достигается за счет использования при реализации сканера Nessus многопотоковой архитектуры программирования, позволяющей осуществлять одновременное параллельное сканирование сетевых хостов.

Для сканирования каждого хоста сервером nessusd создается отдельный поток выполнения.

Подробное описание используемых методов сканирования портов TCP/UDP можно найти в документации на сканер nmap. К ним относятся:

• TCP connect scan;
• TCP SYN scan;
• TCP FIN scan;
• TCP Xmas Tree scan;
• TCP Null scan;
• UDP scan.

При реализации Nessus использована нетипичная для сетевых сканеров клиент-серверная архитектура. Взаимодействие между клиентом и сервером осуществляется по защищенному клиент-серверному протоколу, предусматривающему использование надежной схемы аутентификации и шифрование передаваемых данных. Сервер nessusd работает только в среде UNIX и предназначен для выполнения сценариев сканирования. Механизмы собственной безопасности, реализованные в сервере nessusd, позволяют осуществлять аутентификацию пользователей сканера, ограничивать полномочия пользователей по выполнению сканирования и регистрировать все действия пользователей в журнале регистрации событий на сервере.

Клиентская часть Nessus работает в среде UNIX и Windows и реализует графический интерфейс пользователя для управления сервером nessusd. Пользователь сканера перед запуском сеанса сканирования определяет параметры сканирования, указывая диапазон сканируемых IP-адресов и TCP/UDP-портов, максимальное количество потоков сканирования (число одновременно сканируемых хостов), методы и сценарии сканирования (plugins), которые будут использоваться.

Все сценарии сканирования разделены на группы по типам реализуемых ими сетевых атак (рис. 6.6), обнаруживаемых уязвимостей, а также по видам тестируемых сетевых сервисов. Так, имеются специальные группы сценариев:

• Backdoors - для обнаружения «троянских» программ;
• Gain Shell Remotely - для реализации атак на получение пользовательских полномочий на удаленной UNIX-системе;
• Firewalls - для тестирования МЭ;
• FTP - для тестирования FTP-серверов;
• Windows - для поиска уязвимостей Windows-систем и т.п.

Особую группу сценариев сканирования составляют атаки «отказ в обслуживании» (Denail of Service - DoS). Единственный способ убедиться в том, что сканируемая система подвержена той или иной DoS, - выполнить эту атаку и посмотреть на реакцию системы. Данная группа сценариев, однако, является потенциально опасной, так как их запуск может привести к непредсказуемым последствиям для сканируемой сети, включая сбои в работе серверов и рабочих станций, потерю данных

Рис. 6.6. Выбор сценариев сканирования в сканере Nessus

и «полный паралич» корпоративной сети. Поэтому большинство DoS в данной группе по умолчанию отключено (рис. 6.6).

Для написания сценариев атак служит специализированный С-подобный язык программирования высокого уровня NASL (Nessus Attack Scripting Language). Существует также интерфейс прикладного программирования (API) для разработки подключаемых модулей со сценариями атак на языке С, однако предпочтительнее использовать NASL.

NASL является интерпретируемым языком программирования, что обеспечиваег его независимость от платформы. Он предоставляет мощные средства для реализации любых сценариев сетевого взаимодействия, требующих формирования IР-пакетов произвольного вида.

Результаты работы сканера Nessus представлены на рис. 6.7. Данные об обнаруженных уязвимостях отсортированы по IP-адресам просканированных хостов. Найденные уязвимости проранжированы. Наиболее критичные (security holes) выделены красным цветом, менее критичные (security warning) - желтым. По каждой уязвимости приводится ее описание, оценка ассоциированного с ней риска Risk Factor) и рекомендации по ее ликвидации (Solution).

Рис. 6.7. Результаты сканирования в сканере Nessus

 Средства контроля защищенности системного уровня

Pages:     | 1 |   ...   | 3 | 4 |

5

| 6 | 7 |   ...   | 12 |