Аудит критичної інформаційної інфраструктури: цілі, завдання, особливості, етапи, схема проведення
Бурхливий розвиток інформаційно-комунікаційних технологій формує глобальний кіберпростір, що створює нові кіберзагрози та нові форми міжнародних конфліктів, включаючи кібервійни, мережеві протиборства, кібератаки на критичну інфраструктуру тощо. Лідерство в кіберсфері також стало одним з основних способів досягнення національних пріоритетів у процесі реалізації державних стратегій розвитку зарубіжних країн.
Кібероперації можуть використовуватися як засіб впливу на об'єкти цивільної інфраструктури, що призводить до виводу їх з ладу або до збоїв в їх роботі. При цьому кіберзагрози постійно еволюціонують, шкідливе програмне забезпечення створюється набагато швидше, ніж відповідні інструменти захисту, і розрив між ними постійно збільшується. Щоб будь-які дії були ефективними, необхідно зрозуміти, хто наш ворог у кіберпросторі та що являє собою ландшафт кіберзагроз сьогодні. Для України, яка перебуває у стані гібридної війни з потужним агресором – росією, і в реальності неодноразово ставала об'єктом атак у кіберпросторі, ця проблематика є особливо актуальною. Цілком реальні загрози, пов'язані з кібернетичною безпекою країни в цілому і безпекою об’єктів її критичної інфраструктури зокрема, потребують глибокого осмислення, тверезої оцінки і адекватного реагування.
Одним зі складових процесу всебічного забезпечення інформаційної безпеки критичної інформаційної інфраструктури є аудит інформаційних систем. Саме аудит критичної інформаційної інфраструктури дозволяє оцінити правильність і адекватність заходів, що вживаються для захисту цієї інфраструктури, впровадження нових способів і засобів забезпечення інформаційної безпеки, і в підсумку – дати остаточну оцінку рівню захищеності цієї інфраструктури.
Компанія Сідкон пропонує послугу - проведення аудиту системи інформаційної безпеки та розробку системи інформаційної безпеки, а також розробку відповідних коригувальних та запобіжних рішень з метою поліпшення стану інформаційної безпеки і кіберзахисту для ключових об'єктів інфраструктури.
Аудит є найбільш загальною формою оцінки стану інформаційної безпеки об’єкта аудиту. Аудит проводиться на відповідність будь-яким вимогам, сформульованим як зацікавленими особами, так і нормативними документами. Аудит може передбачати проведення різних способів тестування підсистем і процесів об’єкта аудиту, аналіз документації та інших інформаційних джерел, інтерв’ювання фахівців тощо. Під час аудиту інформаційної безпеки певного об’єкта критичної інформаційної інфраструктури зазвичай здійснюють таку послідовність заходів:
1) етап – підготовчий:
• вибір об’єкта аудиту;
• вибір критеріїв і методів аудиту;
• вибір засобів і способів аудиту;
• формування команди аудиторів;
• визначення обсягу й масштабу аудиту, встановлення його термінів;
2) етап – основний:
•аналіз стану інформаційної безпеки об’єкта аудиту;
•реєстрація, збір і перевірка статистичних даних і результатів інструментальних вимірювань вразливостей і загроз;
•оцінка результатів перевірки;
•формування звіту про результати перевірки за окремими елементами об’єкта аудиту та різними аспектами інформаційної безпеки;
3) етап – заключний:
•складання підсумкового звіту;
•формування рекомендацій з комплексу заходів, спрямованих на підвищення ефективності існуючої системи захисту;
•розробка плану заходів щодо усунення вразливостей і недоліків у забезпеченні інформаційної безпеки об’єкта аудиту.
Найбільш ефективним є комбінований аудит з використанням як аналізу ризиків, так і стандартів інформаційної безпеки. Базовий набір вимог безпеки, що пред’являються до досліджуваних інформаційних систем, визначається стандартами інформаційної безпеки. Додаткові вимоги, які максимально враховують особливості функціонування конкретної системи, формуються на основі аналізу ризиків.
Аудит на основі експериментальних досліджень системи або її прототипу проводиться із застосуванням проти системи засобів або способів інформаційно-технічних або інформаційно-психологічних впливів з метою практичної перевірки ефективності технічних або організаційних заходів захисту, а також виявлення нових вразливостей системи. Цей підхід за ступенем спрямованості на технічну або організаційно-психологічну сферу можна поділити на:
• аудит технічних підсистем – проводиться з метою практичної оцінки стійкості технічних засобів і способів захисту (як апаратних, так і програмних) при застосуванні проти них цілеспрямованих інформаційно-технічних впливів, а також рівня інформаційної безпеки, який забезпечувався б у таких умовах;
• аудит організаційних підсистем – проводиться з метою практичної оцінки стійкості організаційних заходів, регламентів забезпечення інформаційної безпеки, організації та поведінки персоналу при застосуванні проти організації або її персоналу цілеспрямованих інформаційно-психологічних впливів, а також рівня інформаційної безпеки, який забезпечувався б у таких умовах;
• комплексний аудит – проводиться з метою практичного оцінювання рівня інформаційної безпеки, який забезпечувався б в умовах цілеспрямованого застосування як інформаційно-технічних, так і інформаційно-психологічних впливів.
До цього виду аудиту належить «тестування на проникнення» – це різновид експериментального дослідження об’єкта, що проводиться з метою виявлення слабких місць у захисті або нових вразливостей, як правило, за підсумками впровадження нових заходів захисту.
Враховуючи вищесказане, аудит доцільно проводити спеціальними інформаційно-психологічними впливами, а тестування інформаційно-технічної підсистеми – спеціальними інформаційно-технічними впливами. При цьому сценарії тестування повинні мати комплексний характер та послідовне застосування тих інформаційно-технічних та інформаційно-психологічних впливів, які є характерними для передбачуваних реальних дій порушника / супротивника під час реалізації впливів на критичну інформаційну інфраструктуру.