14
При обеспечении ИБ наряду с процессами реализации защитных мер,
обучения персонала, внедрения политики безопасности и т. д., важное значение
имеют процессы контроля и проверки состояния ИБ. Такой контроль позволяет
проверить адекватность выбранных мер и средств защиты, а также выявить
уязвимости в существующих системах КИИ. Среди процессов контроля и про-
верки ИБ особое положение занимает аудит ИБ, основным назначением кото-
рого является формирование независимой оценки уровня ИБ.
В настоящее время имеется значительное количество работ,
посвящен-
ных аудиту ИБ, например, работы [4-12]. Однако, материалы, представленные в
подавляющем большинстве этих работ, не учитывают специфики аудита систем
КИИ, которая заключается в следующем. Если раннее отдельные инциденты
ИБ были связанны с действиями нарушителей, то сейчас с развитием концеп-
ции информационного противоборства (ИПб), аудит КИИ должен проводиться
с учетом возможностей проведения ИТВ и ИПВ силами информационных опе-
раций («кибервойсками»). В этом случае уже нельзя говорить о неких одиноч-
ных «нарушителях», а необходимо рассматривать такие силы как высокоразви-
того «противника», обладающего практически неограниченными ресурсами для
проведения информационных операций в
мировом информационно-
телекоммуникационном пространстве, задача которых – целенаправленное
нарушение функционирования КИИ, без оглядки на бескомпроматность, с ис-
пользованием всего возможного арсенала доступных средств и способов ин-
формационного воздействия. В таких условиях
уровень защищенности КИИ
государства, оцененной по стандартам ИБ, ориентированным на отдельных
«нарушителей», может оказаться чрезмерно завышенным, а реальное состояние
защищенности КИИ – недостаточным для устойчивого функционирования этой
инфраструктуры в условиях целенаправленных информационных воздействий.
Таким образом, перспективным направлением аудита КИИ является ее экспе-
риментальная проверка путем тестирования целенаправленными информаци-
онными воздействиями, аналогичными тем, которые будут применяться потен-
циальным противником.
Вместе с тем, анализ известных работ по аудиту ИБ [4-12] показал, что
этим работам свойственны общие недостатки. К их числу относится то, что ос-
новной упор в них делается на следующие аспекты:
-
специфику отдельных этапов проведения
аудита и мероприятия на
каждом из этапов;
-
проведение аудита только на основе анализа рисков или анализа стан-
дартов ИБ;
-
формирование и формализацию модели аудита, модели нарушите-
ля/противника, модели угроз.
При этом в известных работах [4-12] недостаточно внимания уделяется
тестированию как одному из типов аудита ИБ. Эксперименты по тестированию
реальных систем рассматриваются в ограниченном виде исключительно как
«тестирование на проникновение» или как «инструментальный аудит», при
этом проведение такого типа аудита не регламентируется
каким-либо систем-
ным или даже теоретическим подходом.
15
В связи с этим, проведем анализ существующих подходов к аудиту ИБ с
формированием новых положений по аудиту ИБ там, где это необходимо, с
учетом целесообразности аудита систем КИИ, основанного на их эксперимен-
тальном исследовании и тестировании за счет использования специальных спо-
собов и средств ИТВ и ИПВ, имитирующих способы и средства потенциально-
го противника.
Do'stlaringiz bilan baham: