Методика аудита ИБ

в 4:47, , рубрики: аудит безопасности, информационная безопасность, Песочница, метки: ,

Как определить степень защищенности системы (объекта информатизации)?
Сегодня существует два наиболее распространенных типа аудита ИБ: первый – оценка соответствия требованиям стандартов (compliance) и второй – моделирование угроз и оценка рисков.
Оба типа имеют недостатки, результатом которых может стать некорректная оценка. В первом случае мы проверяем соответствие нашей системы требованиям, предъявляемым к широкому кругу систем. Эти требования не могут учитывать специфику конкретной системы, и поэтому существует вероятность наличия излишних требований или недостатка необходимых. Во втором случае результат зависит только от квалификации и осведомленности аудитора.

Под катом описана методика аудита ИБ, минимизирующая эти недостатки.

В основе предлагаемой методики лежит построение деревьев отказов и причин (из теории графов). Ниже действия аудитора приведены поэтапно.

1. Подготовительные мероприятия

  • выбираем стандарт ИБ (российский, международный, отраслевой);
  • выписываем требования, предъявляемые выбранным стандартом к нашей системе;
  • для каждого требования составляем нарушение (событие, в результате которого требование не будет выполняться).

2. Построение деревьев отказов

  • для каждого нарушения, составленного на этапе подготовительных мероприятий, строим дерево отказов (таким образом описываем события, тянущиеся за нарушением);
  • выявляем события, не приводящие к нарушениям свойств информационной безопасности, и удаляем их из дальнейшего рассмотрения.

3. Построение деревьев причин

  • для всех узлов деревьев отказов, не являющихся листьями или корнями (в нашем случае листья – это события, непосредственно приводящие к нарушениям свойств информационной безопасности, корни – первоначальные нарушения), строим деревья причин (таким образом описываем события, способные привести к конкретному нарушению);
  • если при построении деревьев причин появились нарушения, отсутствующие в деревьях отказов, то для таких нарушений строим требования, приводящие к их устранению.

4. Оценка выполнения требований

  • проводим оценку выполнения требований (требований стандарта минус требования, удаленные на этипе построения деревьев отказов плюс требования, построенные на этапе построения деревьев причин).

Иллюстрация этапов 2 и 3 представлена на рисунках ниже.

Пример построения деревьев отказов:
image

Пример построения деревьев причин:
image

Автор: zxcvbnnm

Поделиться

* - обязательные к заполнению поля