Аудит информационной безопасности

Перейти к навигацииПерейти к поиску

Аудит информационной безопасности — системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности автоматизированной системы в соответствии с определёнными критериями и показателями безопасности.

Информационная безопасность[1] — состояние сохранности информационных ресурсов и защищенности законных прав личности и общества в информационной сфере.

Аудит позволяет оценить текущую безопасность функционирования информационной системы, оценить и прогнозировать риски, управлять их влиянием на бизнес-процессы фирмы, корректно и обоснованно подойти к вопросу обеспечения безопасности её информационных активов, стратегических планов развития, маркетинговых программ, финансовых и бухгалтерских ведомостей, содержимого корпоративных баз данных. В конечном счете, грамотно проведенный аудит безопасности информационной системы позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание системы безопасности фирмы.

Основные направления деятельности в области аудита безопасности информации

Основные направления аудита информационной безопасности детализируются на следующие: аттестацию; контроль защищенности информации; специальные исследования технических средств и проектирование объектов в защищенном исполнении[2].

  1. Аттестация объектов информатизации по требованиям безопасности информации:
    • аттестация автоматизированных систем, средств связи, обработки и передачи информации;
    • аттестация помещений, предназначенных для ведения конфиденциальных переговоров;
    • аттестация технических средств, установленных в выделенных помещениях.
  2. Контроль защищенности информации ограниченного доступа:
  3. Специальные исследования технических средств на наличие побочных электромагнитных излучений и наводок (ПЭМИН):
    • персональные ЭВМ, средства связи и обработки информации;
    • локальные вычислительные системы;
    • оформления результатов исследований в соответствии с требованиями ФСБ и ФСТЭК.
  4. Проектирование объектов в защищенном исполнении:
    • разработка концепции информационной безопасности;
    • проектирование автоматизированных систем, средств связи, обработки и передачи информации в защищенном исполнении;
    • проектирование помещений, предназначенных для ведения конфиденциальных переговоров.

Виды и цели аудита

Различают внешний и внутренний аудит.

Внешний аудит — это, как правило, разовое мероприятие, проводимое по инициативе руководства организации или акционеров. Внешний аудит рекомендуется (а для ряда финансовых учреждений и акционерных обществ требуется) проводить регулярно.

Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании документа, обычно носящего название «Положение о внутреннем аудите», и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации. Аудит безопасности информационных систем является одной из составляющих ИТ—аудита.

Целями проведения аудита безопасности являются: — получение объективных доказательств, анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС; — оценка текущего уровня защищенности ИС; — локализация узких мест в системе защиты ИС; — оценка соответствия ИС существующим стандартам в области информационной безопасности; — выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.

Представленные Аудитору рапорты о инцидентах СИБ должны содержать документацию о т. н. «слабых точках» СИБ.

В число дополнительных задач, стоящих перед внутренним аудитором, помимо оказания помощи внешним аудиторам, могут также входить: — разработка политик безопасности и других организационно—распорядительных документов по защите информации и участие в их внедрении в работу организации; — постановка задач для ИТ—персонала, касающихся обеспечения защиты информации; — участие в обучении пользователей и обслуживающего персонала ИС вопросам обеспечения информационной безопасности; — участие в разборе инцидентов, связанных с нарушением информационной безопасности; — прочие задачи.

Основные этапы аудита безопасности

Работы по аудиту безопасности ИС включают в себя ряд последовательных этапов, которые в целом соответствуют этапам проведения комплексного ИТ—аудита автоматизированной системы, включающего в себя:

  • инициирование процедуры аудита;
  • сбор информации аудита;
  • анализ данных аудита;
  • выработку рекомендаций;
  • подготовку аудиторского отчета.

На этапе инициирования процедуры аудита должны быть решены следующие организационные вопросы:

  1. права и обязанности аудитора должны быть четко определены и документально закреплены в его должностных инструкциях, а также в положении о внутреннем (внешнем) аудите;
  2. аудитором должен быть подготовлен и согласован с руководством план проведения аудита;
  3. в положении о внутреннем аудите должно быть закреплено, в частности, что сотрудники компании обязаны оказывать содействие аудитору и предоставлять всю необходимую для проведения аудита информацию.

На этапе инициирования процедуры аудита должны быть определены границы проведения обследования. План и границы проведения аудита обсуждаются на рабочем собрании, в котором участвуют аудиторы, руководство компании и руководители структурных подразделений.

Этап сбора информации аудита является наиболее сложным и длительным. Это связано в основном с отсутствием необходимой документации на информационную систему и с необходимостью плотного взаимодействия аудитора со многими должностными лицами организации.

Компетентные выводы относительно положения дел в компании с информационной безопасностью могут быть сделаны аудитором только при условии наличия всех необходимых исходных данных для анализа. Первый пункт аудиторского обследования начинается с получения информации об организационной структуре пользователей ИС и обслуживающих подразделений. Назначение и принципы функционирования ИС во многом определяют существующие риски и требования безопасности, предъявляемые к системе. Далее, аудитору требуется более детальная информация о структуре ИС. Это позволит уяснить, каким образом осуществляется распределение механизмов безопасности по структурным элементам и уровням функционирования ИС.

Используемые аудиторами методы анализа данных определяются выбранными подходами к проведению аудита, которые могут существенно различаться.

Первый подход, самый сложный, базируется на анализе рисков. Опираясь на методы анализа рисков, аудитор определяет для обследуемой ИС индивидуальный набор требований безопасности, в наибольшей степени учитывающий особенности данной ИС, среды её функционирования и существующие в данной среде угрозы безопасности.

Второй подход, самый практичный, опирается на использование стандартов информационной безопасности. Стандарты определяют базовый набор требований безопасности для широкого класса ИС, который формируется в результате обобщения мировой практики. Стандарты могут определять разные наборы требований безопасности, в зависимости от уровня защищенности ИС, который требуется обеспечить, её принадлежности (коммерческая организация либо государственное учреждение), а также назначения (финансы, промышленность, связь и т. п.). От аудитора в данном случае требуется правильно определить набор требований стандарта, соответствие которым нужно обеспечить.

Третий подход, наиболее эффективный, предполагает комбинирование первых двух. Базовый набор требований безопасности, предъявляемых к ИС, определяется стандартом. Дополнительные требования, в максимальной степени учитывающие особенности функционирования данной ИС, формируются на основе анализа рисков.

Рекомендации, выдаваемые аудитором по результатам анализа состояния ИС, определяются используемым подходом, особенностями обследуемой ИС, состоянием дел с информационной безопасностью и степенью детализации, используемой при проведении аудита. В любом случае, рекомендации аудитора должны быть конкретными и применимыми к данной ИС, экономически обоснованными, аргументированными (подкрепленными результатами анализа) и отсортированными по степени важности. При этом мероприятия по обеспечению защиты организационного уровня практически всегда имеют приоритет над конкретными программно—техническими методами защиты. В то же время наивно ожидать от аудитора, в качестве результата проведения аудита, выдачи технического проекта подсистемы информационной безопасности, либо детальных рекомендаций по внедрению конкретных программно—технических средств защиты информации. Это требует более детальной проработки конкретных вопросов организации защиты, хотя внутренние аудиторы могут принимать в этих работах самое активное участие.

Аудиторский отчет является основным результатом проведения аудита. Его качество характеризует качество работы аудитора. Он должен, по крайней мере, содержать описание целей проведения аудита, характеристику обследуемой ИС, указание границ проведения аудита и используемых методов, результаты анализа данных аудита, выводы, обобщающие эти результаты и содержащие оценку уровня защищенности АС или соответствие её требованиям стандартов, и, конечно, рекомендации аудитора по устранению существующих недостатков и совершенствованию системы защиты.

Примечания

  1. Безопасность: теория, парадигма, концепция, культура. Словарь-справочник (недоступная ссылка) (недоступная ссылка с 14-06-2016 [3019 дней]) / Автор-сост. профессор В. Ф. Пилипенко. 2-е изд., доп. и перераб. — М.: ПЕР СЭ-Пресс, 2005.
  2. Ярочкин В. И. Информационная безопасность: Учебник для студентов — М.: Академический Проект; Гаудеамус, 2-е изд., — 2004. — 544 с.

Литература

  • Бармен Скотт. Разработка правил информационной безопасности. М.: Вильямс, 2002. — 208 с. — ISBN 5-8459-0323-8, ISBN 1-57870-264-X.
  • Семененко В. А. Информационная безопасность: Учебное пособие. — М.: МГИУ, 2004—215 с. — ISBN 5-8459-0323-8, ISBN 1-57870-264-X.

Ссылки