Класифікація методів аудиту інформаційної безпеки

Поняття аудиту використовується у багатьох галузях людської діяльності. Розглянемо загальні відомості про процес аудиту, згодом виділивши характерні особливості для процесу аудиту систем управління інформаційною безпекою.

Цілями проведення аудиту можуть бути [1]:

• * Визначення ступеня відповідності системи менеджменту об'єкту до критеріїв аудиту.
• • Визначення ступенів відповідності видів робіт та процесів методикам системи керування.
• • Визначення відповідності нормативним документам та нормам системи керування.
• • Визначення ефективності системи керування.
• • Визначення шляхів поліпшення системи керування.

Окрім цілей, аудити можливо поділити за сторонами-ініціаторами проведення аудиту. Згідно з міжнародним стандартом ISO 19 011:2011 [2] їх три:

• • Аудит першої сторони — ініціатором проведення аудиту є сама організація.
• • Аудит другої сторони — ініціатором проведення є партнери організації або зацікавлені у діяльності організації інші організації.
• • Аудит третьої сторони — ініціатором проведення виступають треті сторони, не задіяні у функціонуванні організації, наприклад, регулюючі органи або органи сертифікації.

У [2] надається визначення: аудит — це систематичний, незалежний та документований процес отримання доказів (свідоцтв) аудиту та об'єктивного їх оцінювання, для визначення ступеня їх відповідності критеріям аудиту. Також у [2] визначаються деякі додаткові терміни, необхідні, на думку авторів, для розуміння цього процесу, а саме:

• • Критерії аудиту — сукупність політик, методик або вимог, що використовуються як еталон, який порівнюється з свідоцтвами (доказами) аудиту.
• • Свідоцтва аудиту — протоколи, факти або інша інформація, яка стосується критеріїв аудиту і може бути перевірена.
• • Дані аудиту — результати оцінки свідоцтв аудиту за критеріями аудиту.
• • Висновок аудиту — результат аудиту, після розгляду всіх даних аудиту з врахуванням його цілей.

Визначення, що дані у [2] є дуже гнучкими і можуть бути інтерпретовані та адаптовані для тої галузі, де буде організоване проведення аудиту.

Більш специфічні для галузі захисту інформації у комп’ютерних мережах та системах визначення даються у [3]. Тут дається наступне визначення процесу оцінки інформаційної безпеки — це процес визначення того, наскільки ефективно сутність, що оцінюється, відповідає певним вимогам захищеності. І виділяється три типи методів такої оцінки — тестування, експертиза та інтерв'ю.

• • Тестування — це процес виконання одного або декількох оціночних завдань за певних умов для порівняння очікуваної (заявленої) поведінки оцінюваної сутності з реальною.
• • Експертиза — це процес перевірки, інспектування, розгляду, спостереження, вивчення або аналізу одного або більше об'єктів оцінки для полегшення розуміння, отримання роз’яснень та доказів.
• • Інтерв 'ю — це процес проведення співбесід задля отримання роз’яснень та відомостей про можливе розташування доказів (свідоцтв) з персоналом або окремими особами організації.

Легко помітити спільне у визначеннях, і хоча [2] використовує термін аудит, а [3] оцінка інформаційної безпеки, суть процесів полягає у оцінці відповідності об'єкту перевірки до вимог або критеріїв, що визначаються стосовно цього об'єкту. Така ж спільна риса у визначенні присутня і у [4]. Окрім цього [4] визначає п’ять цілей аудиту стосовно безпеки комп’ютерної системи: інформаційний безпека аудит.

• 1. Забезпечити огляд моделей доступу до окремих об'єктів, історії доступу конкретних процесів і окремих осіб, використання різних механізмів захисту, які підтримуються системою, їх ефективності.
• 2. Механізм аудиту повинен дозволити виявити спроби обходу механізмів захисту, як зі сторони внутрішніх користувачів системи, так і з боку зовнішніх.
• 3. Механізм аудиту повинен надавати можливість виявлення підвищення привілеїв користувача.
• 4. Механізм аудиту повинен діяти як стримуючий фактор проти спроб обійти механізм захисту системи.
• 5. Механізм аудиту має забезпечувати можливість фіксації діяльності правопорушника.

Окрім вищезгаданого існує серія стандартів ISO27k [5] [6], яка посилається на [2], і є, по-суті, системою управління інформаційною безпекою (СУІБ). В результаті співпраці міжнародного співтовариства, що активно використовує сімейство стандартів ISO27k — була створена директива [7]. У цій директиві, окрім, згаданих визначень з [2], надається визначення аудиту системи управління інформаційною безпекою, як аудиту, що орієнтується на системи керування інформаційною безпекою організації. А також виділяються три принципи аудиту, що характерні саме для аудиту СУІБ:

• 1. Загальні принципи аудиту залишаються важливими як, наприклад, незалежна оцінка відповідно до узгоджених критеріїв, а також більш специфічні принципи, що орієнтовані на аудит СУІБ.
• 2. Функція аудиту СУІБ не повинна залежати від області її застосування.
• 3. У розпорядженні аудитора СУІБ повинні бути актуальні дані стосовно організації (штатів, бізнес процесів, технологічних процесів), а також стосовно галузі інформаційної безпеки (наприклад, останні знайдені вразливості ПЗ).

То що ж є методами аудиту СУІБ? В [3] виділяється три методи аудиту — тестування, експертиза та інтерв'ю. В [4], окрім того, що визначається п’ять цілей, також визначаються критерії аудиту до систем класів С2, B2, B3, A1, до яких згідно з [8] повинен застосовуватись процес аудиту за критеріями [4]. Важливо те, що кожен з блоків вимог до кожної з систем поділяється на три розділи:

• • події, що повинні бути об'єктами аудиту;
• • інформація, яка піддається аудиту;
• • підстави, за якими можуть бути обрані події для аудиту.

Це перекликається з методами, вказаними у [3], оскільки завданням тестування є спроба викликати певну подію або певну їх кількість для подальшого вивчення поведінки системи, а у першому розділі вимог вказується, які саме події повинні бути досліджені. Експертиза передбачає дослідження інформації, яка зібрана із системи, що визначається у другому пункті вимог до критеріїв аудиту у [4]. У третьому розділі вказуються підстави, за якими певна подія може бути додана до розгляду в рамках аудиту, а інтерв'ю є методом пошуку додаткових свідоцтв аудиту. У [7] виділяють шість фаз аудиту:

• 1. Оцінка — аудитори визначають основну площину аудиту та його області на основі інтерв'ю з ініціатором аудиту та експертизи документів.
• 2. Планування — загальний обсяг критеріїв аудиту розбивається на більш докладні частини, створюється план аудиту.
• 3. Робота на місці - збір аудиторських свідоцтв шляхом інтерв'ю з персоналом, експертизою документів та проведенням тестів.
• 4. Аналіз — вивчаються свідоцтва, що були зібрані під час роботи на місцях, визначаються можливі прогалини у плані аудиту.
• 5. Звітування — важлива фаза аудиту. Формується звіт, в якому відображається вся необхідна інформація.
• 6. Завершення аудиту — якщо аудит був ініційований третьою стороною, то СУІБ отримує необхідні дозволи та сертифікати. Окрім цього готуються документи з помітками для наступних аудитів.

Отже, як видно з описів кожної з фаз, інструменти, якими оперують аудитори незмінні: методи тестування; методи експертизи; методи інтерв'ю.

Розглянемо детально зазначені методи аудиту СУІБ та способи їх реалізації.