2.5.Вимоги до безпеки інформаційного забезпечення при проведені аудиторських перевірок

До апаратного забезпечення у безпечній системі вису­вається вимога забезпечити безперервну і безпомилкову роботу програмного забезпечення (continuity of operations). Вимоги до програмного забезпечення аналогічні — забезпечити безперервне і безпомилкове виконання перед­бачених функцій (збір даних, обробка, автоматичне об­числення показників, надання даних користувачу тощо). Обчислювальні потужності мають використовуватися тільки правомірно — для вирішення поставлених завдань.

Найбільш цінним ресурсом інформаційної системи є, безумовно, інформація. Тому до інформації, що міститься в системі, висувають такі специфічні вимоги:

• конфіденційність — забезпечення надання доступу до інформації тільки уповноваженим на це користувачам;

• цілісність — гарантування точності та повноти інфор­мації та методів обробки;

• доступність — забезпечення того, що уповноважені користувачі на свою вимогу отримають доступ до інфор­мації і пов'язаних з нею ресурсів.

іншого боку, інформаційну безпеку можна визначити як відсутність порушень в роботі інформаційної системи. Тому інколи вимоги до інформації визначаються як відсутність порушень в роботі системи:

• конфіденційність — властивість інформації бути за­хищеною від несанкціонованого ознайомлення;

• цілісність — властивість інформації бути захищеною від несанкціонованого спотворення, руйнування або зни­щення;

• доступність — властивість інформації бути захище­ною від несанкціонованого блокування.

Згідно з Законом України "Про захист інформації в ав­томатизованих системах", порушення роботи автоматизо­ваної [інформаційної] системи — дії або обставини, які призводять до спотворення процесу обробки інформації. Згідно з цим законом, до порушень роботи автоматизова­ної інформаційної системи зараховують такі загрози:

1. витік інформації — результат дій порушника, вна­слідок яких інформація стає відомою суб'єктам, що не мають права доступу до неї;

2. втрату інформації — дії, внаслідок яких інформація перестає існувати для фізичних або юридичних осіб, які мають право власності на неї в повному чи обмеженому обсязі;

3. підробку інформації — навмисні дії, що призводять до перекручення інформації, яка повинна оброблятися або зберігатися в автоматизованій системі;

4. блокування інформації — дії, наслідком яких є при­пинення доступу до інформації;

5. порушення роботи автоматизованої системи — дії або обставини, які призводять до спотворення процесу оброб­ки інформації.

Як бачимо, перша загроза порушує конфіденційність інформації, друга і третя — її цілісність, четверта — до­ступність. Натомість п'ятий клас загроз стосується не тільки інформації, а й апаратної і програмної частин системи, її інфраструктури.

В англомовній літературі, замість безпосередніх пору­шень роботи КІСП найчастіше розглядають можливі за­грози її роботі, намагаються протидіяти саме загрозам (а не порушенням, які вже відбулись і оцінюють ризики того, що загроза матиме місце в реальності.

Під загрозою (threat) розуміють певний вчинок або подію, що може призвести до збитків. Загрози прийнято поділя­ти на випадкові, або ненавмисні, і навмисні (табл. 2.1.).

Таблиця 2.1. Класи загроз безпеці інформації

Ненавмисні	Навмисні (deliberate)
(Accidental)	Пасивні	Активні
Помилки у вхі- дній інформації Порушення ін- фраструктури (коротке зами- кання, стихійні лиха, перепади струму)	Використання ресур- сів не за призначенням Несанкціонований перегляд інформації (підслуховування, шпигунство)	Крадіжка обладнання. Саботаж. Порушення апарат- ної або програмної інфраструктури (диверсія). Навмисний злом системи безпеки (підбір паролю). Порушення роботи веб-сайту (Denial of Service — DoS). Шкідливі програми (віруси, трояни, черв'яки)

Джерелом ненавмисних загроз (accidental threats) мо­жуть бути некваліфіковані дії або неуважність користу­вачів або адміністрації, вихід з ладу апаратних засобів, помилки в програмному забезпеченні, стихійні катакліз-ми, бруд, пил тощо. Навмисні загрози (deliberate threats), на відміну від випадкових, мають на меті завдання збитку користувачам інформаційної системи і, в свою чергу, по­діляються на активні й пасивні.

Пасивні загрози, як правило, спрямовані на несанкціо­новане використання інформаційних ресурсів системи, не порушуючи при цьому її функціонування. Пасивною за­грозою є, наприклад, спроба одержання інформації, що циркулює в каналах, за допомогою їх прослуховування. Джерелом пасивних загроз можуть бути як внутрішні ко­ристувачі системи, що можуть і не мати злого умислу, так і зловмисники ззовні, мета яких — не бути поміченими.

Активні загрози мають на меті порушення нормального процесу функціонування шляхом цілеспрямованого впли­ву на апаратні, програмні та інформаційні ресурси. До ак­тивних загроз належать, наприклад, руйнація або радіо­електронне придушення ліній зв'язку, виведення із ладу апаратних або програмних засобів системи, блокування об­числювальних потужностей (наприклад, мільйонами фаль­шивих запитів на надання інформації), внесення несанкці­онованих змін до процедур обробки інформації, спотворен­ня інформації тощо. Джерелами активних загроз можуть бути або безпосередньо зловмисники, або несумлінні чи об­ражені працівники, або комп'ютерні віруси та інші шкідливі програми (трояни, Інтернет - черв'яки тощо).

Для зменшення рівня загроз в комп'ютерній інфор­маційній системі підприємства впроваджують засоби за­безпечення безпеки інформаційної системи. Всі засоби без­пеки можна розділити на три групи: засоби попередження порушень безпеки, засоби виявлення порушень безпеки і засоби зменшення збитків і відновлення системи після інциденту (табл. 2.2).

Таблиця 2.2. Класифікація засобів інформаційної безпеки

Тип засобів захисту	Приклади
1	2
Профілактичні	• регулярні технічні огляди і профілактика апаратного забезпечення; • регулярне оновлення парку апаратних засобів; • придбання апаратних засобів у постачальника, що гарантує їх якість і технічне обслуговування; • фізичний захист від крадіжки — замок на дверях, сигналізація, прикріплення комп'ютера до столу тощо; • засоби протидії стихії або перепадам напруги: засоби пожежегасіння, гермети- чний, тугоплавкий або ударостійкий корпус, блок безперебійного живлення тощо. Програмне забезпечення: • встановлення останніх оновлень до операційних систем (servicepacks and hotfixes); • встановлення і підтримання в належному стані антивірусних програм; • підтримка ліцензійної чистоти програмного забезпечення. Обчислювальні потужності: • визначення відповідальності за використання обчислювальних потужностей не за призначенням. Інформація: • система розподілення доступу; • шифрування даних, особливо при переданні інформації; • програмний контроль інформації "на вході", відстеження помилок одразу при введенні; • "дружній" інтерфейс програмного за- безпечення, який підказує, як без поми- лок ввести дані;
1		2
		• призначення відповідальності за поми­лки у введених даних та за помилкове знищення даних.
Моніторингові		Апаратне забезпечення: • ведення журналів роботи обладнання; • ведення журналів технічних оглядів; • сигналізація; • автоматизація обробки надзвичайних ситуацій (виклик системного адміністра­тора, поліції). Програмне забезпечення: • ведення журналів операційних систем і прикладних програм; • регулярна перевірка цілісності про­грамного забезпечення за допомогою спе­ціалізованого програмного забезпечення. Обчислювальні потужності: • ведення журналів обліку використання обчислювальних потужностей. Інформація: • регулярна перевірка цілісності інфор­мації за допомогою спеціалізованого про­грамного забезпечення.
Коригувальні		Апаратне забезпечення: • страхування апаратного забезпечення; • передбачення додаткових потужностей на випадок виходу з ладу основних. Програмне забезпечення: • регулярне резервне копіювання системи; • детальне документування всіх змін ал­горитмів обробки даних. Обчислювальні потужності: • передбачення в інфраструктурі запасних вузлів на випадок виходу з ладу основних. Інформація: • регулярна архівація

Профілактичні засоби забезпечення безпеки призначені для зменшення ризику настання порушення безпеки інфор­маційної системи.

Моніторингові засоби призначені для виявлення фактів порушення системи безпеки. Сьогодні це є однією з най­більших проблем у забезпеченні інформаційної безпеки підприємства. Особливо складно відстежувати реалізацію пасивних загроз, які не порушують функціонування систе­ми. Зокрема, Міністерством оборони США було проведене дослідження, в якому намагалися "зламати" 38 000 влас­них комп'ютерів. У 65 відсотках спроб "зламу" до комп'ю­терів вдалось проникнути. При цьому було викрито лише 4 відсотки проникнень, а зафіксовано лише 1 відсоток⁷⁵. Гірше того, більшість порушень виявляють через тривалий час після самого факту порушення. А оскільки даними в інформаційних системах легко маніпулювати як до, так і після вчинення порушення, виникають складнощі з отри­манням доказів того, що порушення справді відбулось.

Впорядкувати засоби захисту і полегшити управління системою інформаційної безпеки підприємства покликані аудит інформаційних систем та політика інформаційної безпеки підприємства. Зупинимось більш детально на політиці безпеки.

Політика безпеки є підґрунтям програми інформацій­ної безпеки і засобом документування та розповсюдження важливих рішень, які стосуються безпеки. У Міжнародних стандартах аудиту⁷⁹ наводиться багато в чому анало­гічне поняття "середовище контролю" (control environment). Поняття політики безпеки є неоднозначним, і дуже часто під цим розуміють тільки документацію, яка містить по­ложення щодо безпеки певної організації. На нашу думку, політика безпеки — це набір правил і норм поведінки, що визначають, як організація обробляє, захищає і поширює інформацію. Зокрема, правила встановлюють, в яких ви­падках користувач має право працювати з визначеними наборами даних. Чим надійніша система, тим більш суво­рою, детальною та всеохоплюючою має бути політика без­пеки. Залежно від сформульованої політики можна обира­ти конкретні механізми, що забезпечують безпеку систе­ми. Політика безпеки — це активний компонент захисту, що включає в себе аналіз можливих погроз і вибір заходів протидії.

До політики безпеки входять:

• планування непередбачуваних ситуацій та стихійних лих — ненавмисних порушень безпеки (contingency plan­ning);

• опрацювання інцидентів — навмисних порушень без­пеки (incident handling);

• встановлення відповідальності за безпеку інформа­ційної системи.

Планування непередбачуваних ситуацій призначене для ліквідації наслідків стихійних лих; підтримання функціо­нування критичних процесів організації у випадку краху. Планування непередбачуваних ситуацій виконується по­етапно (рис. 2.7.).

Основні етапи планування непередбачуваних ситуацій

Допоміжні цілі планування непередбачуваних ситуацій

Ресурси, критичні для безпеки системи

Рис. 2.7. Планування непередбачуваних ситуацій

Як бачимо, при плануванні непередбачуваних ситуацій досягається низка побічних цілей. При передбаченні випадковостей і стихійних лих збирають і обробляють інфор­мацію, яка стосується безпеки інформаційної системи.

Опрацювання інцидентів має за мету ліквідувати та проаналізувати наслідки інциденту, а також попереджен­ня майбутніх інцидентів. Згідно з довідником Національ­ного інституту стандартів і технологій США (National Institute of Standards and Technology — NIST), успішна система опрацювання інцидентів має задовольняти такі вимоги: чітко визначені групи людей, які вживають за­ходів з опрацювання інцидентів; всі члени груп обізнані з порядком дій при виникненні інциденту; наявні засоби централізованого повідомлення про інцидент; організовані експертиза та відповідні служби з опрацювання інциден­ту; налагоджений зв'язок з іншими групами, які можуть допомогти у випадку виникнення інциденту.

Важливим кроком у формуванні політики безпеки є визначення відповідальності за безпеку системи. Розріз­няють чотири рівні відповідальності. Найвищий рівень відповідальності у керівника підприємства. Він визначає загальні положення безпеки інформаційної системи, а та­кож розробляє нормативні документи з політики безпеки на підприємстві.

Менеджер з безпеки та функціональні менеджери перебувають на другому рівні відповідальності. Перший відповідає за щоденне безпечне функціонування інформаційної системи, за впровадження на підприємстві політики безпеки; другі відповідають за безпеку системи під час виконання поточних проектів. Постачальники тех­нологій та супровідні організації відповідають за забезпе­чення технологічної, інформаційної або іншої підтримки інформаційної системи. І нарешті, користувачі системи і користувачі інформації системи мають найнижчий рівень відповідальності і відповідають тільки за наслідки своїх дій при роботі з інформаційною системою.