Цели и задачи аудита информационной безопасности



Цель проведения аудита информационной безопасности заключается в выполнении следующих задач:

— Анализировать возможные риски, связанные с угрозами информационной безопасности, которые могут оказать негативное влияние на информационные ресурсы системы.

— Оценивать текущий уровень безопасности информационной системы телекоммуникационной компании.

— Выявлять и устранять слабые места в системе защиты информационной системы.

— Оценивать соответствие информационной системы действующим стандартам в области информационной безопасности.

— Предлагать различные своевременные рекомендации по внедрению новых и улучшению эффективности существующих механизмов безопасности для действующей на определенный момент времени информационной системы.

При проведении аудита информационной безопасности (ИБ) ставится целый ряд задач, которые требуют последовательного решения:

1. Анализ структуры, функций и технологий, которые задействуются в процессе автоматизированной обработки и передачи информации в современных информационных системах. В данном случае также имеет место проведение анализа различных бизнес-процессов, технической и соответствующей нормативно-распорядительной документации.
2. Выявление потенциальных угроз ИБ, оценка их степени и значимости, а также поиск актуальных способов их предотвращения. На этом этапе определяются и подвергаются необходимому ранжированию существующие уязвимости системы. Эти уязвимости могут быть как технического, так и организационного характера. Кроме того, они могут носить разную степень опасности.
3. Создание неформальной модели потенциальных проблем и нарушений, которые могут возникать в информационной безопасности. В данном случае в ход идут те или иные методы активного аудита. С их помощью не только осуществляется проверка возможностей реализации выявленных угроз, но также находятся основные пути предотвращения нарушений.
4. Для проведения проверки на проникновение в информационную систему путем использования социальной инженерии осуществление тестирования на проникновение через внешние адреса. Этот процесс направлен на оценку возможности проникновения в систему и выявление уязвимостей.
5. Осуществление анализа и оценка подверженных рискам факторов, связанных с безопасностью информационных ресурсов, сопровождается оценкой текущего уровня защиты сетевой инфраструктуры и корпоративных информационных систем.
6. Выполнение оценки соответствия системы управления информационной безопасностью международным стандартам и разработка рекомендаций для ее дальнейшего совершенствования.
7. Разработка предложений и рекомендаций по внедрению новых механизмов обеспечения ИБ, а также повышение эффективности уже существующих приемов и способов повышения информационной безопасности.
8. Оптимизация и планирование реальных и потенциальных затрат, которые возникают в ходе реализации системы обеспечения информационной безопасности.
9. Обоснование используемых и планируемых инвестиций в действующие системы защиты информации.
10. Максимизация выгоды от инвестиций, которые делаются в системы защиты информации.
11. Подтверждение соответствия внутренних контрольных механизмов организации и обеспечение эффективности и непрерывности бизнес-процессов компании.

Часто для проверки информационной безопасности в организациях прибегают к услугам внешних консультационных фирм. Инициаторами аудита могут быть руководители предприятия, отдела автоматизации или службы информационной безопасности. Кроме того, страховые компании или регулирующие органы также могут потребовать проведения аудита. Группа экспертов осуществляет проверку безопасности, их количество и состав зависят от поставленных целей и сложности объекта, который они осматривают.

В информационной безопасности существуют два типа аудита: внешний и внутренний. Внешний аудит проводится единоразово по инициативе руководителя или акционеров компании. Эксперты настоятельно рекомендуют осуществлять эту процедуру с постоянной периодичностью, поскольку для финансовых и акционерных организаций она является неотъемлемым требованием.

Внутренний аудит — это непрерывная деятельность, осуществляемая согласно «Положению о внутреннем аудите» организации. При этом проведение данной деятельности не только осуществляется на основе установленного плана. В процессе его реализации задействуются также служба безопасности или подразделение внутреннего аудита, разумеется, при его наличии в компании. следует отметить еще и то, что в составе внутреннего аудита отдельное место занимает аудит информационной безопасности.

Аудит информационной безопасности представляет собой комплекс мероприятий, направленных на определение уровня защищенности автоматизированных систем. В рамках данной задачи можно выделить следующие основные виды аудита:

1. Инструментальный анализ защищенности автоматизированных систем. Включает в себя проверку и оценку обеспеченности систем средствами защиты, такими как антивирусные программы, брандмауэры, системы обнаружения вторжений и другие средства.
2. Автоматизированные системы теперь оцениваются согласно рекомендациям международных стандартов, а также требованиям руководящих документов ФСТЭК, ГОСТов и отраслевых стандартов [4]. В данном случае проводится анализ системы с целью определения ее соответствия регулирующим документам и стандартам в области информационной безопасности.
3. Экспертный аудит защищенности автоматизированных систем. Включает в себя основательное изучение системы и ее компонентов с целью выявления потенциальных уязвимостей, а также оценку эффективности принятых мер по обеспечению безопасности.
4. Комплексный аудит, включающий все перечисленные формы проведения обследования. Представляет собой полное и всестороннее исследование автоматизированной системы с использованием различных методик и инструментов аудита. Такой подход позволяет обеспечить наиболее полное покрытие потенциальных уязвимостей системы и определить возможные угрозы ее безопасности.

Аудит информационной безопасности является важным инструментом для поддержания и повышения уровня защищенности автоматизированных систем. Он позволяет выявить проблемы и недостатки в системе безопасности и предложить соответствующие меры для их устранения, а также обеспечить соответствие системы требованиям и стандартам в области информационной безопасности.

Аудит, независимо от его типа, может проводиться как самостоятельно, так и в комплексе, в зависимости от задач, поставленных перед предприятием. Объектом аудита может являться информационная система компании в целом или отдельные ее сегменты, где происходит обработка информации, подлежащей защите.

Одна из главных миссий инструментального анализа — это профессиональное тестирование программ, разрабатываемых специалистами по информационной безопасности. В ходе этого анализа происходит определение доступных злоумышленникам возможностей для использования программных и аппаратных инструментов. Основная цель инструментального анализа заключается в регулярной проверке системы на наличие новых уязвимостей. Кроме того, данный вид анализа может быть использован для обнаружения утечек ограниченной информации и предотвращения повторных утечек.

Инструментальный анализ обычно разделяется на две основные части: проверка защищенности системы от удаленных атак и обнаружение внутренних угроз безопасности IT со стороны сотрудников компании или злоумышленников. В ходе инструментального анализа часто выявляются уязвимости, связанные с использованием устаревших версий программного обеспечения и неправильной конфигурацией. Реже возможно обнаружить серьезные недостатки в политике безопасности корпорации.

Оценка автоматизированных систем с учетом рекомендаций — это анализ информационно-технической системы на соответствие требованиям официальных документов, таких как «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТ-К), «Критерии оценки безопасности информационных технологий» (ГОСТ Р ИСО/МЭК 15408–2002) [5], а также международным нормам и стандартам, включая ISO/IEC 17799 [3], WebTrust и другим.

Эта процедура позволяет проверить соответствие ИТ-системы установленным требованиям безопасности и измерить ее уровень защищенности. Результаты оценки помогают определить уязвимости и недостатки в системе, а также предложить меры для повышения безопасности и эффективности ее работы. Отмечается, что оценка проводится не только с учетом отечественных документов, но и с учетом зарубежного опыта и международных стандартов.

Аудит, направленный на соответствие стандартам, обладает интересной особенностью: он неразрывно связан с услугой сертификации. После успешного прохождения аудита, компания награждается сертификатом, подтверждающим соответствие ее информационной безопасности стандартам. Это привлекает внимание и способствует образованию публичной организации, особенно если она ведет деловые отношения с зарубежными партнерами. Важно отметить, что государственные учреждения, занимающиеся обработкой информации, которая является государственной тайной, обязаны пройти сертификацию систем информационной безопасности.

Отчет по аудиту обычно включает следующую информацию: степень соответствия проверяемой системы автоматизации выбранным стандартам, количество и категории выявленных несоответствий и замечаний, рекомендации по модификации или созданию системы информационной безопасности для достижения согласования с рассматриваемыми стандартами. Кроме того, отчет может содержать информацию о соответствии системы информационной безопасности внутренним требованиям руководства заказчика-организации.

Экспертный аудит представляет собой глубокое исследование информационно-безопасностных систем заказчика, сопоставление их с идеальной моделью обеспечения ИБ. Идеальная модель при этом может быть изменена в зависимости от требований заказчика и имеющегося практического опыта. По итогам экспертного анализа производится подготовка и предоставление детального отчета для клиентов. Данный отчет включает информацию о выявленных уязвимостях в системах защиты и недостатках в организации и распределении обязанностей. Кроме того, действующая команда специалистов также может рекомендовать подходящие системы ИБ и дополнительные технические средства.

Рекомендуется, чтобы сотрудники, занимающиеся проведением аудита информационной безопасности на предприятии, воздерживались от активного участия в разработке и внедрении механизмов защиты. Такая мера гарантирует объективную оценку [4].

Литература:

1. ISO/IEC 13335–1:2004. Information technology. Security techniques. Management of information and communications technology security. Part 1: Concepts and models for information and communications technology security management.
2. ISO/IEC 27001:2005(E) Information technology — Security techniques Information security management systems — Requirements.
3. ISO/IEC 27002:2013’’Информационные технологии. Методы обеспечения безопасности. Свод правил по управлению защитой информации» (Information technology — Security techniques — Code of practice for information security controls).
4. ISO/IEC Guide 73:2002. Risk management. Vocabulary. Guidelines for use in standards.
5. Государственный стандарт РФ ГОСТ Р ИСО/МЭК 15408–1-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель» (принят постановлением Госстандарта РФ от 4 апреля 2002 г. N 133-ст) Information technology. Security techniques. Evaluation criteria for IT security. Part 1. Introduction and general model. Дата введения 1 января 2004 г.