Что такое и зачем нужен аудит информационной безопасности на предприятии

admin01 минуты

Важная информация и советы на тему: «Что такое и зачем нужен аудит информационной безопасности на предприятии». В статье собраны ответы на многие сопутствующие вопросы. Если вы все же не найдете ответ, или необходимо актуализировать информацию, то обращайтесь к дежурному юристу.

Комплексная информационная безопасность

Аудит (обследование, оценка соответствия)

Построение систем обеспечения информационной безопасности

Сегодня информационные системы играют ключевую роль в обеспечении эффективности работы коммерческих и государственных предприятий. Повсеместное использование информационных систем для хранения, обработки и передачи информации делает актуальными вопрос о том, как обеспечить безопасность информационных систем, особенно учитывая глобальную тенденцию к росту числа информационных атак, приводящих к значительным финансовым и материальным потерям.

Первым этапом работ, направленных на обеспечение безопасности информационных систем, является аудит информационной безопасности организации. Вид и характер аудита зависит от того, какие требования по обеспечению информационной безопасности планирует применять организация на этапе создания системы защиты информации.

Аудит системы информационной безопасности

Определение аудита безопасности еще полностью не устоялось, но в общем случае его можно описать как процесс сбора и анализа информации с целью оценки текущего уровня компании защищенности от возможных атак злоумышленников. Внешний аудит информационной безопасности рекомендуется проводить не реже одного раза в год, а внутренний – не реже одного раза в квартал.

Требования по обеспечению информационной безопасности

Требования по обеспечению информационной безопасности российского или международного законодательства накладывают обязательства на некоторые организации по необходимости соответствия им действующих систем безопасности. В этой ситуации возможен аудит информационной безопасности организации, направленный на приведение информационной безопасности в соответствие требованиям российских или международных стандартов и нормативных актов. В качестве примера международных стандартов можно привести PCI DSS и ISO 27001. Что касается требований российского законодательства, то здесь наиболее часто аудит проводится с целью проверки выполнения требований ФЗ «О персональных данных» и стандарта Банка России СТО БР ИББС.

Аудит системы информационной безопасности может также предназначаться для систематизации и упорядочения существующих мер защиты информации или для расследования произошедшего инцидента, связанного с нарушением информационной безопасности предприятия.

Качество аудита безопасности во многом зависит от полноты и точности информации, полученной в процессе сбора исходных данных. Поэтому в нее необходимо включить следующее: организационно-распорядительную документацию, касающуюся вопросов информационной безопасности, сведения о программно-аппаратном обеспечении ИС, информацию о средствах защиты, чтобы оценить технические средства информационной безопасности, и т. д.

В завершение процедуры аудита его результаты оформляются в виде отчетного документа, который предоставляется заказчику. В общем случае этот документ состоит из следующих основных разделов:

[2]

  • описание границ, в рамках которых проводился аудит безопасности;
  • описание структуры ИС заказчика;
  • методы, средства и мероприятия по информационной безопасности, которые использовались в процессе проведения аудита;
  • описание выявленных уязвимостей и недостатков, включая уровень их риска;
  • рекомендации по совершенствованию комплексной системы информационной безопасности;
  • предложения к плану реализации первоочередных мер, направленных на минимизацию выявленных рисков, при необходимости включающих и такие мероприятие, как поставка средств защиты информации.

 

Комплексная система информационной безопасности

Комплексная защита информации требует регулярного проведения аудита информационной безопасности, являющегося одним из наиболее эффективных сегодня инструментов для получения независимой и объективной оценки текущего уровня защищенности предприятия от угроз информационной безопасности. Кроме того, результаты аудита дают основу для формирования стратегии развития системы обеспечения безопасности информации в информационных системах организации. Важно понимать, что аудит безопасности — не разовая процедура, он должен проводиться на регулярной основе. Только в этом случае аудит будет приносить реальную отдачу и способствовать повышению уровня информационной безопасности компании.

Для чего нужен аудит информационной безопасности

Средства автоматизации (автоматизированные системы хранения и обработки данных, управления и пр.) используются сегодня практически любой организацией или предприятием. В связи с этим возникает необходимость обеспечения безопасности циркулирующей в них информации.

Чтобы оценить, все ли в порядке с обеспечением защиты данных и другими аспектами информационной безопасности, необходимо провести аудит (подробнее можно узнать, например, у специалистов компании «Rentacloud»: http://rentacloud.su/services/informatsionnaya-bezopasnost/). Он позволяет получить объективные качественные и количественные оценки показателей безопасности информационных и других систем.

Давайте разберемся, для чего необходимо проведение аудита информационной безопасности, кому это лучше доверить, на что обратить внимание и т.д. Это поможет вам обезопасить себя от негативных последствий, связанных с потерей важных данных, а также исключить проблемы с законом (ведь информационная безопасность также регламентируется соответствующими нормативно-правовыми актами).

Когда и в каких целях проводится аудит информационной безопасности

Итак, одна из важнейших целей проведения рассматриваемого комплекса мероприятий – это оценка уровня защиты информационных и других систем от атак злоумышленников и других факторов. А организовываться аудит может в следующих случаях:

  • В ходе создания систем защиты информации. На основе данных, полученных при проведении аудита формируется техническое задание на разработку.
  • После введения в эксплуатацию системы обеспечения информационной безопасности, с целью оценки ее соответствия установленным требованиям и условиям, прописанным в ТЗ.
  • Для оценки уровня соответствия действующей системы (или комплекса мер) информационной установленным законодательными актами (нормам) и приведения к ним.
  • В ходе проведения разбирательств, касающихся случаев нарушения требований информационной безопасности.

Это далеко не весь перечень причин, по которым может проводиться аудит. В случае необходимости его можно инициировать и с другими целями (контроль, по графику и пр.).

Читайте так же: Обязаны ли коллекторы предъявлять агентский договор с банком права и обязанности

 

Как это происходит

Существуют различные методы и средства аудита информационной безопасности. Они подбираются с учетом особенностей инспектируемой системы, сферы деятельности компании, характера данных, циркулирующих в информационных системах и ряда других факторов.

Что касается алгоритма проведения инспектирования, здесь можно выделить следующие этапы:

  • Разработка регламента (или плана) аудита. Кто готовит план проведения аудита информационной безопасности? В этом принимает участие как руководитель (или заказчик) проверяемой компании (организации), так и председатель комиссии, назначенной для инспектирования.
  • Сбор исходных данных, анализ состояния информационной безопасности, проведение необходимых исследований, тестирований и пр.
  • Подготовка рекомендаций по результатам аудита.

Аудит проводится с использованием различных инструментов и методик. К примеру, компания «Rentacloud» (http://rentacloud.su) практикует использование эффективных методов анализа уровня защищенности различных информационных систем с учетом внешних и внутренних факторов, а также специализированного ПО, позволяющего организовать различные типы тестов на проникновение и т.д. Выбор методов и способов зависит от особенностей инспектируемой информационной системы. Подробнее о нюансах проверки баз данных, систем криптографической защиты, управления доступом и пр. можно узнать у специалистов компании, оказывающей такие услуги.

Качественно проведенный аудит информационной безопасности – это гарантия того, что важные для компании данные будут находиться под надежной защитой от внешних и внутренних факторов. К тому же это еще и уверенность руководителя предприятия (организации) в том, что у него не возникнет проблем, связанных с нарушением требований, установленных законодательными нормами. Доверяйте этот процесс профессионалам.

Мнение эксперта ИБ

Обсуждение новостей в сфере информационной безопасности

 

Комплексный аудит информационной безопасности

Комплексный аудит безопасности информационных систем служит для максимально детальной и более полной оценки защищенности информационной системы, позволяет определить уязвимые места и выработать действенный алгоритм создания системы информационной безопасности на предприятии.

Цели и задачи

К основным целям комплексного аудита информационной безопасности можно отнести:

  • независимая оценка текущего состояния системы безопасности;
  • идентификация, оценка опасности и ликвидации уязвимостей;
  • технико-экономическое обоснование внедряемых механизмов безопасности;
  • обеспечение соответствия требованиям действующего законодательства и международным стандартам;
  • минимизация ущерба от инцидентов безопасности.

К ключевым задачам, решаемым в рамках проведения Комплексного аудита ИБ, относятся:

  • повышение уровня защиты информации;
  • оптимизация и планирование затрат на обеспечение информационной безопасности;
  • обоснование инвестиций в системы защиты;
  • получение максимальной отдачи от инвестиций, вкладываемых в системы защиты информации;
  • подтверждение того, что используемые внутренние средства контроля соответствуют задачам организации и позволяют обеспечить эффективность и непрерывность бизнеса.

Этапы аудита

Проведение комплексного аудита безопасности корпоративной информационной системы заказчика включает четыре основных этапа:

  • проведение экспресс-обследования;
  • постановка задач и уточнение состава работ;
  • сбор данных в соответствии с детальным перечнем работ, определенных в ТЗ на аудит;
  • анализ собранных данных, оценка рисков и подготовка отчета.

Проведение экспресс-обследования

На данном этапе производится анализ сроков ключевых позиций аудита и конкретизация задач аудиторам . Если для выполнения аудита потребуется доступ к конфиденциальной информации ( КИ ), то перед осуществлением обследования подготавливается и утверждается соглашение о конфиденциальности , а также организуется взаимодействие с СБ ( службой безопасности ) объекта .

Постановка задач и уточнение состава работ

На данном этапе:

  1. Уточняются цели и задачи аудита
  2. Создается рабочая группа и выполняются все требуемые организационные процедуры . В состав рабочей группы обязательно входят специалисты компании — аудитора и сотрудники компании — заказчика . Специалисты заказчика передают всю требуемую документацию , осуществляют непосредственный контроль за проведением обследования , а также принимают участие в согласовании его промежуточных и конечных результатов . Аудиторы несут ответственность за профессиональное проведение работ по обследованию предметных областей в соответствии с поставленными целями и задачами проекта , согласуют процессы и результаты проведения обследования .
  3. Разрабатывается , согласовывается и утверждается техническое задание и календарный график выполнения работ . В ТЗ формируется перечень и состав работ , а также устанавливаются требования к отчетной документации .

Сбор данных в соответствии с детальным перечнем работ, определенных в ТЗ на аудит

В ходе этапа производится:

В ходе этапа производится:

  • интервьюирования персонала заказчика с использованием заранее подготовленных опросных листов;
  • анализа предоставленных документов;
  • осмотра и инвентаризации инфраструктуры с использованием специализированного программного инструментария и шаблонов отчетов;
  • сбора и анализа конфигураций средств защиты информации;
  • анализа сценариев осуществления атак и использования списков проверки;
  • анализ организационно-распорядительной документации по обеспечению режима информационной безопасности;
  • инструментального обследования путем применения специальных средств анализа защищенности.

Интервьюирование сотрудников проводится для документирования бизнес — процедур и обнаружения имеющихся узких мест , связанных с применением программного и аппаратного обеспечения . В интервьюировании обязательно участвует персонал , непосредственно эксплуатирующий ПО в ходе повседневной работы и ИТ — специалисты , ответственные за функционирование информационной системы .

В процессе интервьюирования следует иметь в виду , что одна и та же проблема может сильно отличаться с различных точек зрения .

По завершению этапа формируется комплект документов , который включает в себя все необходимые данные для функционирования системы информационной безопасности .

Анализ собранных данных, оценка рисков и подготовка отчета

На данном этапе производится:

  • сопоставление и анализ собранных данных;
  • анализ рисков;
  • формирование выводов и рекомендаций;
  • подготовка и оформление отчета об аудите.

Проводящийся в ходе данного этапа анализ рисков позволяет:

  • сформировать перечень наиболее опасных уязвимых мест и угроз;
  • составить модель потенциального злоумышленника;
  • оценить степень критичности угроз нарушения информационной безопасности и возможности их использования потенциальным злоумышленником для осуществления несанкционированных действий;
  • разработать рекомендации, выполнение которых позволит минимизировать существующие угрозы.

Читайте так же: Как сделать перерасчет жкх (свет, вода и газ)

В ходе данного этапа может быть принято решение о сборе дополнительных данных.

Результат и преимущества

Основываясь на данных, полученных в процессе проведения обследования ИТ-инфраструктуры объекта и результатов анализа рисков, вырабатываются рекомендации по улучшению системы информационной безопасности (реализация которых сведет к минимуму риски) с приложением непосредственно перечня уязвимостей серверов, МСЭ, активного сетевого и прочего оборудования. По завершении аудита заказчику предоставляется итоговый отчет, включающий в себя оценку текущего состояния безопасности информационной инфраструктуры, данные о выявленных недостатках, оценка рисков и предложения по их ликвидации.

Общая структура отчета

  • Оценка текущего уровня защищенности информационной системы:
    • описание и оценка текущего уровня защищенности информационной системы;
    • анализ конфигурации конфигурационной информации, найденные уязвимости;
    • анализ рисков, связанных с возможностью осуществления внутренних и внешних угроз в отношении ресурсов информационной системы;
  • Рекомендации по технической составляющей ИБ:
    • по изменению конфигурации существующих сетевых устройств и серверов;
    • по изменению конфигурации существующих средств защиты;
    • по активации дополнительных штатных механизмов безопасности на уровне системного программного обеспечения;
    • по использованию дополнительных средств защиты;
  • Рекомендации по организационной составляющей ИБ:
    • по разработке политики информационной безопасности;
    • по организации службы ИБ;
    • по разработке организационно-распорядительных и нормативно-технических документов;
    • по пересмотру ролевых функций персонала и зон ответственности;
    • по разработке программы осведомленности сотрудников в части информационной безопасности;
    • по поддержке и повышению квалификации персонала.

Преимущества

Комплексный аудит информационной безопасности позволяет получить наиболее полную и объективную оценку защищенности информационной системы (ИС), локализовать имеющиеся проблемы и разработать перечень эффективных мер для построения системы обеспечения ИБ организации. Ценность внешнего аудита информационной безопасности для потенциальных клиентов заключается в следующем:

  • аудит представляет собой независимое исследование, что повышает степень объективности результатов;
  • эксперты, проводящие аудит, имеют высокую квалификацию и большой опыт подобной работы, нежели штатные сотрудники организации.

Как выполнить аудит информационной безопасности

Бизнес никогда не любил словосочетание «информационная безопасность». К сожалению, несмотря на сильную зависимость от технологий в цифровую эпоху, защита и развитие правильного подхода к обеспечению безопасности кажутся слишком сложным шагом для огромного числа компаний.

Недавний опрос Spiceworks показал, что 62% ИТ-специалистов заявили, что их работодатель не проводит регулярные аудиты безопасности. Это означает, что более половины предприятий остаются уязвимыми для потенциальных угроз.

Служит ли причиной отсутствие ресурсов, ограниченные знания или просто общее невежество, но без регулярного аудита безопасности ваш бизнес может «внезапно» обанкротиться. Ниже мы собрали информацию о том, как следует подготовиться к аудиту ИБ.

С чего начать

Правда в том, что никто не любит аудиты. Само слово вызывает образ неожиданной проверки, в результате которой всех критикуют за слабые места в безопасности. Но если вы человек, ответственный за ИТ, то, в случае успешной атаки, именно на вас будет лежать груз ответственности. Поэтому именно вам следует настаивать на регулярном тестировании.

Многие предприятия, например, в сфере связи и телекоммуникаций, обязаны иметь внешних аудиторов для подтверждения соблюдения нормативных актов и контроля спецоборудования, такого как СОРМ (система технических средств для обеспечения функций оперативно-розыскных мероприятий), но это не означает, что при отсутствии обязательных требований, аудитом следует пренебрегать. Но порой даже сам выбор аудиторской компании может стать проблемой.

Определение целей

Прежде, чем начать поиск аудитора, вы должны определить цели, задав себе вопрос: «Что нам нужно от аудита?». Этот список нужно продумать до мельчайших деталей. Если в системе есть нарушение безопасности, выходящее за рамки аудита – значит вы плохо поставили задачу.

Найм подрядчика

Легче всего использовать для такой задачи своих же сотрудников. Тем не менее, мы бы не рекомендовали такой подход. Из-за сложного характера проверки операционных систем и приложений экономить на этом не стоит.

Технический аудит выявляет риски для технологической платформы путем анализа действующих политик и процедур, а также сетевых и системных конфигураций. Эта работа только для профессионалов в области безопасности.

Во время процесса или поиска аудитора учитывайте следующие факторы:

Посмотрите на их сертификаты и квалификацию. Убедитесь, что аудитор имеет реальный опыт работы в этой области.

Проверьте, есть ли у них опыт не только аудита, но и обеспечения безопасности. Спросите о рекомендациях. Реальный опыт внедрения и поддержки безопасности является важным показателем.

Ищите кандидатов. С коллегами и контрагентами, которым доверяете. Спросите, могут ли они порекомендовать аудиторскую организацию.

Ищите то, что нужно именно вам. Проведите несколько встреч с разными аудиторами. Найдите правильное решение для вашего бизнеса.

Подготовка

Когда речь заходит о допущениях аудитора, следует принять тот факт, что им потребуется доступ к определенным данным или помощь сотрудников на протяжении всего процесса. Однако, как только они начнут работу, нельзя допускать их ко всей без исключения информации. Все аспекты должны быть согласованы заранее и указаны в договоре.

Все моменты следует обсудить заранее:

менеджеры должны определить любые ограничения, чтобы предотвратить негативное влияние на производственные системы;

аудиторы, в свою очередь, соблюдать вашу политику в отношении обработки конфиденциальной информации;

Читайте так же: Агентский договор на поиск клиентов образец бланк

аудиторам следует предоставить заявление о возмещении убытков, которое даст им право проводить мониторинг сети.

Кроме того, вам нужно предоставить основные данные и документацию, необходимые аудитору для анализа систем:

копии всех соответствующих процедур и политик;

полный список операционных систем;

внешние устройства безопасности;

список прикладного программного обеспечения;

топология сети и IP-адреса.

Сам процесс аудита, как и последующие тестирования, должны быть частью одного плана, поэтому важно вовремя составить и согласовать этот план.

Аудиторы используют сканер уязвимостей для проверки систем и приложений по базе зарегистрированных уязвимостей. Очевидно, база данных сканера должна быть актуальной и проверять на наличие уязвимостей необходимо каждую целевую систему. Большинство сканеров выполняют эту задачу на приемлемом уровне, но, естественно, на практике у разных продуктов результаты могут отличаться.

После проведения аудита вы можете взглянуть на отчет и оценить его качество. Если вам выдадут стандартный контрольному список, который можно применить к любой организации, будьте уверены – деньги потрачены зря. Очевидно, некоторые коммерческие сканеры уязвимостей имеют тщательные механизмы отчетности, но аудитор должен интерпретировать эти результаты под вашу специфику.

Любой анализ должен отражать реальные риски организации. К сожалению, инструменты не обладают «аналитическим складом ума» и могут давать ложные срабатывания. Именно люди, а не инструменты проводят аудит ИБ . Попросите ваших ИТ-специалистов изучить результаты, методы тестирования и предоставить ответы в письменном виде.

Анализ аудитора должен соответствовать установленным критериям, которые применяются к вашим конкретным бизнес-требованиям. Именно вердикт аудитора поможет вам исправить ошибки, поэтому он должен быть как можно более подробным.

В докладе должны быть следующие пункты:

определение возможных источников угрозы;

вероятность такой угрозы, примеры воздействия на другие сайты/системы;

рекомендуемые действия для устранения неполадок;

потенциальная юридическая ответственность – могут ли использовать вашу систему для хранения незаконных данных;

риск неполадок и остановки работы.

Бывает и такое, что аудиторы не находят существенных уязвимостей. В таком случае вместо предоставления стандартного контрольного списка аудиторы должны подробно описать свои методы тестирования и признать качество вашей системы безопасности. Вы можете попросить их выделить области, которые потенциально могут стать уязвимее и предложить меры по повышению безопасности.

Аудит состояния информационной безопасности на предприятии

Аудит состояния информационной безопасности на предприятии представляет собой экспертное обследование основных аспектов информационной безопасности, их проверку на соответствие определенным требованиям. В некоторых случаях под аудитом информационной безопасности подразумевается проверка защищенности отдельных элементов информационной инфраструктуры предприятия (сегментов его сети, отдельных серверов, баз данных, Интернет-сайтов и т.п.) и надежности средств защиты информации (межсетевых экранов, систем обнаружения вторжений и т.п.). Однако мы в дальнейшем исходим из того, что аудит информационной безопасности является комплексным (по возможности, исчерпывающим) исследованием всех аспектов информационной безопасности (как технических, так и организационных) в контексте всей хозяйственной деятельности предприятия с учетом действующей политики информационной безопасности, объективных потребностей предприятия и требований, предъявляемых третьими лицами (государством, контрагентами и т.п.).

Различают два основных вида аудита: внутренний (проводимый исключительно силами сотрудников предприятия) и внешний (осуществляемый сторонними организациями).

Целями аудита могут быть:

  • установление степени защищенности информационных ресурсов предприятия, выявление недостатков и определение направлений дальнейшего развития системы защиты информации;
  • проверка руководством предприятия и другими заинтересованными лицами достижения поставленных целей в сфере информационной безопасности, выполнения требований политики безопасности;
  • контроль эффективности вложений в приобретение средств защиты информации и реализацию мероприятий по обеспечению информационной безопасности;
  • сертификация на соответствие общепризнанным нормам и требованиям в сфере информационной безопасности (в частности, на соответствие национальным и международным стандартам).

Одной из стратегических задач, решаемых при проведении аудита информационной безопасности и получении соответствующего сертификата, является демонстрация надежности предприятия, его способности выступать в качестве устойчивого партнера, способного обеспечить комплексную защиту информационных ресурсов, что может быть особенно важно при осуществлении сделок, предполагающих обмен конфиденциальной информацией, имеющей большую стоимость (финансовыми сведениями, конструкторско-технологической документацией, результатами НИОКР и т.п.).

В том случае, если аудит является внутренним, группу аудиторов необходимо сформировать из числа таких специалистов, которые сами не являются разработчиками и администраторами используемых информационных систем и средств защиты информации и не имели отношения к их внедрению на данном предприятии.

Как правило, предприятие может прибегать к помощи внешних аудиторов с целью:

  • повышения объективности, независимости и профессионального уровня проверки;
  • получения заключений о состоянии информационной безопасности и соответствии международным стандартам от независимых аудиторов.

Компании, специализирующиеся на проведении аудитов, могут осуществлять проверки состояния информационной безопасности на соответствие таким общепризнанным стандартам и требованиям, как:

  • ISO 15408 : Common Criteria for Information Technology Security Evaluation (Общие критерии оценки безопасности информационных технологий);
  • ISO 17799 (BS 7799): Code of Practice for Information Security Management (Практические правила управления информационной безопасностью );
  • BSIIT: Baseline Protection Manual (Руководство базового уровня по защите информационных технологий Агентства информационной безопасности Германии);
  • COBIT: Control Objectives for Information and related Technology (Основные цели для информационных и связанных с ними технологий);
  • Требованиям Руководящих документов ФСТЭК РФ, ФСБ или других государственных органов
  • и других документов (таких как SAC, COSO, SAS 55/78).

При этом организация, осуществляющая внешний аудит , должна отвечать определенным требованиям:

  • иметь право (лицензию) на выдачу заключений о соответствии определенным требованиям (например, аккредитацию UKAS – United Kingdom Accreditation Service);
  • сотрудники должны иметь право доступа к информации, составляющей государственную и военную тайну (если такая информация имеется на проверяемом предприятии);
  • обладать необходимыми программными и аппаратными средствами для исчерпывающей проверки имеющегося у предприятия программного и аппаратного обеспечения.

Основными этапами проведения аудита являются:

[1]

  • инициирование проведения аудита;
  • непосредственно осуществление сбора информации и проведение обследования аудиторами;
  • анализ собранных данных и выработка рекомендаций;
  • подготовка аудиторского отчета и аттестационного заключения.

Читайте так же: Как восстановить снилс

Аудит должен быть инициирован руководством предприятия с достаточно четко сформулированной целью на определенном этапе развития информационной системы или системы обеспечения информационной безопасности предприятия (например, после завершения одного из этапов внедрения). В случае если аудит не является комплексным, на начальном этапе необходимо определить его непосредственные границы:

  • перечень обследуемых информационных ресурсов и информационных систем (подсистем);
  • перечень зданий, помещений и территорий, в пределах которых будет проводиться аудит;
  • основные угрозы, средства защиты от которых необходимо подвергнуть аудиту;
  • элементы системы обеспечения информационной безопасности, которые необходимо включить в процесс проверки (организационное, правовое, программно-техническое, аппаратное обеспечение);

Основная стадия – проведение аудиторского обследования и сбор информации – как правило, должно включать в себя:

  • анализ имеющейся политики информационной безопасности и другой организационной документации;
  • проведение совещаний, опросов, доверительных бесед и интервью с сотрудниками предприятия;
  • проверку состояния физической безопасности информационной инфраструктуры предприятия;
  • техническое обследование информационных систем – программных и аппаратных средств (инструментальная проверка защищенности).

Прежде чем приступить собственно к аудиту информационной безопасности, аудиторам (в частности, если проводится внешний аудит ) необходимо ознакомиться со структурой предприятия, его функциями, задачами и основными бизнес-процессами, а также с имеющимися информационными системами (их составом, функциональностью, процедурами использования и ролью на предприятии). На начальном этапе аудиторы принимают решения о том, насколько глубоко и детально будут исследованы отдельные элементы информационной системы и системы защиты информации. Также необходимо заранее скоординировать с пользователями информационных систем процедуры проверки и тестирования, требующие ограничения доступа пользователей (такие процедуры по возможности должны проводиться в нерабочее время или в периоды наименьшей загрузки информационной системы).

Качественный анализ действующей на предприятии политики безопасности является отправной точкой для проведения аудита. Одна из первых задач комплексного аудита — установление того, в какой степени действующая политика соответствует объективным потребностям данного предприятия в безопасности, могут ли действия в рамках данной политики обеспечить необходимый уровень защищенности информации и средств ее обработки, хранения и передачи. Это, в свою очередь , может потребовать проведения дополнительной оценки значимости основных информационных активов предприятия, их уязвимости, а также существующих рисков и угроз. Анализ политики также может включать оценку таких ее характеристик, как:

  • полнота и глубина охвата всех вопросов, а также соответствие содержания политик нижнего уровня целям и задачам, установленным в политиках верхнего уровня;
  • понятность текста политики для людей, не являющихся техническими специалистами, а также четкость формулировок и невозможность их двойного толкования;
  • актуальность всех положений и требований политики, своевременность учета всех изменений, происходящих в информационных системах и бизнес-процессах.

После проверки основных положений политики безопасности в процессе аудита могут быть изучены (проверены) действующие классификации информационных ресурсов по степени критичности и конфиденциальности, а также другие документы, имеющие отношение к обеспечению информационной безопасности:

  • организационные документы подразделений предприятия (положения об отделах, должностные инструкции);
  • инструкции (положения, методики), касающиеся отдельных бизнес-процессов предприятии;
  • кадровая документация, обязательства о неразглашении сведений, данные сотрудниками, свидетельства о прохождении обучения, профессиональной сертификации, аттестации и ознакомлении с действующими правилами;
  • техническая документация и пользовательские инструкции для различных используемых программных и аппаратных средств (как разработанных самим предприятием, так и приобретенных у сторонних поставщиков): межсетевых экранов, маршрутизаторов, операционных систем, антивирусных средств, систем управления предприятием и т.п.

Основная работа аудиторов в процессе сбора информации заключается в изучении фактически предпринимаемых мер по обеспечению защиты информационных активов предприятия, таких как:

  • организация процесса обучения пользователей приемам и правилам безопасного использования информационных систем;
  • организация работы администраторов информационных и телекоммуникационных систем и систем защиты информации (правильность использования программных и аппаратных средств администрирования, своевременность создания и удаления учетных записей пользователей, а также настройки их прав в информационных системах, своевременность замены паролей и обеспечение их соответствия требованиям безопасности, осуществление резервного копирования данных, ведение протоколов всех производимых в процессе администрирования операций, принятие мер при выявлении неисправностей и т.п.);
  • организация процессов повышения квалификации администраторов информационных систем и систем защиты информации;
  • обеспечение соответствия необходимых (в соответствии с политикой безопасности и должностными обязанностями) прав пользователей информационных систем и фактически имеющихся;
  • организация назначения и использования специальных («суперпользовательских») прав в информационных системах предприятия;
  • организация работ и координации действий при выявлении нарушений информационной безопасности и восстановлении работы информационных систем после сбоев и нападений (практическое выполнение «аварийного плана»);
  • предпринимаемые меры антивирусной защиты (надлежащее использование антивирусных программ, учет всех случаев заражения, организация работы по устранению последствий заражений и т.п.);
  • обеспечение безопасности приобретаемых программных и аппаратных средств (наличие сертификатов и гарантийных обязательств, поддержка со стороны поставщика при устранении выявленных недостатков и т.п.);
  • обеспечение безопасности самостоятельно разрабатываемого программного обеспечения (наличие необходимых требований в проектной документации информационных систем, качество программной реализации механизмов защиты и т.п.);
  • организация работ по установке и обновлению программного обеспечения, а также контроля за целостностью установленного ПО;
  • предпринимаемые меры по обеспечению учета и сохранности носителей информации (дисков, дискет, магнитных лент и т.п.), а также по их безопасному уничтожению после окончания использования;
  • эффективность организации взаимодействия сотрудников предприятия – пользователей информационных систем – со службой информационной безопасности (в частности, по вопросам реагирования на инциденты и устранения их последствий).

Читайте так же: Исковой срок давности по решению суда

Одним из важных направлений аудиторской проверки является контроль того, насколько своевременно и полно положения и требования политики безопасности и других организационных документов доводятся до персонала предприятия. В том числе, необходимо оценить, насколько систематически и целенаправленно осуществляется обучение персонала (как при занятии должностей, так и в процессе работы), и, соответственно, дать оценку тому, в какой мере персонал понимает все предъявляемые к нему требования, осознает свои обязанности, связанные с обеспечением безопасности, а также возможную ответственность, которая может наступить при нарушении установленных требований.

В процесс проведения интервью, совещаний и бесед с персоналом необходимо включить как можно больше сотрудников предприятия, имеющих хотя бы какое-то отношение к информационным системам и процедурам обработки информации: администраторов и разработчиков информационных систем, операторов и других пользователей, вспомогательный персонал и т.п. При непосредственной работе с персоналом аудиторам необходимо выяснить особенности протекания отдельных бизнес-процессов, роли отдельных сотрудников в этих процессах и их потенциальные возможности влиять на информационную безопасность . Также необходимо оценить, в какой мере сотрудники фактически выполняют свои обязанности в отношении обеспечения информационной безопасности.

Одной из важных задач аудита может быть установление того, насколько предприятие способно противодействовать внутренним угрозам в лице сотрудников, целенаправленно действующих, чтобы нанести тот или иной ущерб предприятию и имеющих для этого различные возможности. В частности, для этого могут быть исследованы:

Аудит информационной безопасности

Если вам необходима консультация эксперта позвоните или напишите нам.

Аудит ИБ включает в себя технический аудит и организационно-методический аудит. В свою очередь, технический аудит обычно разделяется на общий аудит и инструментальный аудит.

IBS выполняет аудит на соответствие требованиям в одной или нескольких предметных областях:

  • законодательство и требования по защите персональных данных (ФЗ-152, 21-й приказ ФСТЭК и др.);
  • требования по защите информации в государственных информационных системах (17-й приказ ФСТЭК и др.);
  • законодательство и требования в области защиты информации в национальной платежной системе (ФЗ-161 и др.);
  • отраслевые требования, стандарты и рекомендации по защите информации в финансовых организациях, фин.процессинге (СТО БР ИББС-1.0, 382-П и др.);
  • аудит в области процессов (ISO 27001 и другие).

Результатом аудита является заключение о степени соответствия компании/организации критериям аудита, а также рекомендации по совершенствованию ИТ-инфраструктуры, защиты информации, процессов обеспечения и управления ИБ и документационного обеспечения заказчика.

Инструментальный аудит включает в себя следующие направления:

  • аудит защищенности ИТ-инфраструктуры и информационных систем;
  • тест на проникновение (pen-тест);
  • аудит информационных потоков в компании/организации;
  • контроль исходного кода приложений на уязвимости/закладки.

Логическим продолжением аудита является разработка корпоративных документов верхнего уровня по вопросам безопасности информации в компании/организации, среди которых:

  • корпоративная политика ИБ;
  • концепция обеспечения ИБ;
  • корпоративная модель угроз безопасности информации.

Разработанные верхнеуровневые документы обеспечивают базис для выстраивания всего комплекса работ по приведению процессов и технологий обеспечения и управления ИБ в компании/организации в соответствие требованиям законодательства, нормативным документам, лучшим практикам ИБ.

Формирование и выстраивание процессов обеспечения ИБ и управления ИБ является неотъемлемой составляющей процессной модели функционирования компаний на средних и высоких уровнях зрелости ИТ.

Для публичных компаний аудит ИБ является элементом неотъемлемой составляющей независимой внешней оценки рыночной стоимости компании, внося таким образом свой вклад в капитализацию компании.

Ключевые результаты

В результате выполнения проекта в зависимости от его масштаба и границ заказчик получит независимую оценку состояния обеспечения ИБ в его компании/организации, степень его соответствия обязательным законодательным, нормативным и отраслевым требованиям по вопросам защиты информации, степени уязвимости его ИТ- и ИБ-инфраструктуры и информационных систем к современным угрозам, а также могут быть выявлены свидетельства противоправной деятельности в его информационном пространстве различной природы.

Источники


  1. Пауков, В.С. Лекции по судебной медицине / В.С. Пауков. — М.: Практическая медицина, 2018. — 372 c.

  2. Баршев, Я. Историческая записка о содействии Второго Отделения Собственной Его Императорского Величества Канцелярии развитию юридических наук в России / Я. Баршев. — Москва: СИНТЕГ, 2011. — 245 c.

  3. Лившиц, Р.З.; Чубайс, Б.М. Трудовой договор; М.: Наука, 2011. — 174 c.
  4. Делия, В. П. История и методология науки производства / В.П. Делия, Л.Д. Гагут, Ю.А. Гнидина. — М.: Де-По, 2013. — 304 c.
  5. Астахов, Павел Правописные истины, или Левосудие для всех / Павел Астахов. — М.: Эксмо, 2016. — 368 c.

Похожие новости