Аудит информационной безопасности предприятия


Аудит информационной безопасности предприятия. Основные угрозы и этапы внедрения системы обеспечения информационной безопасности

Библиографическое описание статьи для цитирования:

Лазуткин А. Н. Аудит информационной безопасности предприятия. Основные угрозы и этапы внедрения системы обеспечения информационной безопасности // Научно-методический электронный журнал «Концепт». – 2016. – Т. 11. – С. 3211–3215. – URL: http://e-koncept.ru/2016/86678.htm.

Аннотация. В данной статье информация рассмотрена как ценный ресурс, на который опираются бизнес-процессы в любой компании. Представлены основные виды угроз информационной безопасности. Также приведен алгоритм внедрения системы обеспечения информационной безопасности, состав расходов, включающий оценку затрат на содержание этой системы. В конце статьи дана оценка внедрению СИБ в организации.

Текст статьи

ЛазуткинАнтон Николаевич,магистрант 1 курса,ФГБОУ ВПО «Брянскийгосударственныйтехнический университет», г.Брянск[email protected]Аудит информационной безопасности предприятия.Основные угрозы и этапы внедрения системы обеспеченияинформационной безопасностиАннотация.В данной статье информация рассмотрена как ценный ресурс, на который опираются бизнеспроцессы в любой компании. Представлены основные виды угроз информационной безопасности. Также приведен алгоритм внедрения системы обеспечения информационной безопасности, а также состав расходов, включающий оценку затрат на содержание этой системы. В конце статьи дана оценка внедрению СИБ в организации.Ключевые слова:Информация, информационная безопасность, ресурсы, система, аудит.Информация –самый ценный ресурс в компании, а в некоторых случаях является и производственным ресурсом, от сохранности которого зависят важные технологические процессы. Развитие информационных систем ведет к тому, что рано или поздно может обозначиться критический порог, когда система еще работает, но неизвестно, как отреагирует на возникновение угроз безопасности.Под угрозой информационной безопасности принято понимать потенциально возможные действия, явления или процессы, способные оказать нежелательное воздействиена систему или на хранящуюся в ней информацию. Такие угрозы, воздействуя на ресурсы, могут привести к искажению данных, копированию, несанкционированному распространению, ограничению или блокированию к ним доступа.Сегодня информационные системы (ИС) играют ключевую роль в обеспечении эффективности работы коммерческих и государственных предприятий. Повсеместное использование ИС для хранения, обработки и передачи информации делает актуальными проблемы их защиты, особенно учитывая глобальную тенденцию к росту числа информационных атак, приводящих к значительным финансовым и материальным потерям. Для эффективной защиты от атак компаниям необходима объективная оценка уровня безопасности ИС именно для этих целей и применяется аудит безопасности[1].В России и мире разработана обширная законодательная база в области защиты информации. Нормативные акты, которыми руководствуются при проведении аудита ИБ:Законы РФРуководящие документы ФСБ и ФСТЭКМеждународные стандарты и рекомендации (ISO/IEC);Государственные стандарты РФОтраслевые стандарты и рекомендации (СТО БР ИББС, NIST, NERC, PCI DSS);Рекомендации (Best Practice) на основе мирового опыта;Нормативные акты и стандарты предприятия.В последнее время в разных странах появилось новое поколение стандартов в области ИБ, посвященных практическим аспектам организации и управления ИБ. Особого внимания заслуживает британский стандарт BS7799 и ассоциированные документы, как наиболее проработанные и апробированные.Многие организации, желающие пройти сертификацию насоответствие требованиям британского стандарта BS7799, уже имеют системы управления качеством, сертифицированные по стандартам ISO 9001 или 9002. Аудит системы ИБ можно совместить с сертификацией на соответствие этим стандартам как на первоначальном этапе, так и при контрольных проверках.Отечественные и зарубежные стандарты вполне совместимы, зарубежные отличаются, в основном, большей детализацией многих аспектов.Как правило, для проведения аудита привлекаются внешние компании, которые предоставляют консалтинговые услуги в области информационной безопасности. Инициатором процедуры аудита может стать руководство предприятия, служба автоматизации или служба информационной безопасности. В ряде случаев аудит также проводится по требованию страховых компаний или регулирующих органов. Аудит безопасности выполняется группой экспертов, численность и состав которой зависит от целей и задач обследования, а также от сложности объекта оценки.Можно выделить следующие основные виды аудита информационной безопасности:экспертный аудит безопасности, в ходе которого выявляются недостатки в системе мер защиты информации на основе опыта экспертов, участвующих в процедуре обследования;оценка соответствия рекомендациям международного стандарта ISO 17799, а также требованиям руководящих документов ФСТЭК (Гостехкомиссии)[3];инструментальный анализ защищенности ИС, направленный на выявление и устранение уязвимостей программноаппаратного обеспечения системы;комплексный аудит, включающий в себя все вышеперечисленные формы проведения обследования.Любой из перечисленных видов аудита может проводиться по отдельности или в комплексе, в зависимости от тех задач, которые решает предприятие. В качестве объекта аудита может выступать как ИС компании в целом, так и ее отдельные сегменты,в которых обрабатывается информация, подлежащая защите[4].Информация –самый ценный ресурс в компании, а в некоторых случаях является и производственным ресурсом, от сохранности которого зависят важные технологические процессы. Развитие информационных систем ведет к тому, что рано или поздно может обозначиться критический порог, когда система еще работает, но неизвестно, как отреагирует навозникновениеугроз безопасности.Любой из перечисленных видов аудита может проводиться по отдельности или в комплексе, в зависимости от тех задач, которые решает предприятие. В качестве объекта аудита может выступать как ИС компании в целом, так и ее отдельные сегменты, в которых обрабатывается информация, подлежащая защите[4].В общем случае аудит безопасности, вне зависимости от формы его проведения, состоит из четырех основных этапов, на каждом из которых выполняется определенный круг работ (Рис. 1). Рис. 1Основные этапы работ при проведении аудита безопасностиНа первом этапе совместно с заказчиком разрабатывается регламент, устанавливающий состав и порядок проведения работ. Основная задача регламента определить границы, в рамках которых будет проводиться обследование. Регламент позволяет избежать взаимных претензий по завершении аудита, поскольку четко определяет обязанности сторон. Как правило, регламент содержит следующую основную информацию:состав рабочих групп от исполнителя и заказчика;список и местоположение объектов заказчика, подлежащих аудиту;перечень информации, которая будет предоставлена исполнителю;перечень ресурсов, выступающие в качестве объектов защиты;модель угроз информационной безопасности, на основе которой проводится аудит;На втором этапе собирается исходная информация. Методы сбора информации включают интервьюирование сотрудников заказчика, заполнение опросных листов, анализ предоставленной организационнораспорядительной и технической документации, использование специализированных инструментальных средств.Третий этап работ предполагает анализ собранной информации с целью оценки текущего уровня защищенности ИС предприятия. По результатам проведенного анализа на четвертом этапе разрабатываются рекомендации по повышению уровня защищенности ИС от угроз информационной безопасности.На последнем этапе аудита информационной безопасности разрабатываются рекомендации по совершенствованию организационнотехнического обеспечения защиты на предприятии. Такие рекомендации могут включать в себяразличные типы действий, направленных на минимизацию выявленных рисков.В завершение процедуры аудита его результаты оформляются в виде отчетного документа, который предоставляется заказчику. В общем случае этот документ состоит из следующих основных разделов:описание границ, в рамках которых проводился аудит безопасности;описание структуры ИС заказчика;методы и средства, которые использовались в процессе проведения аудита;описание выявленных уязвимостей и недостатков, включая уровень их риска;рекомендации по совершенствованию комплексной системы обеспечения информационной безопасности;предложения к плану реализации первоочередных мер, направленных на минимизацию выявленных рисков.Под угрозой информационной безопасности принято понимать потенциально возможные действия, явления или процессы, способные оказать нежелательное воздействие на систему или на хранящуюся в ней информацию. Такие угрозы, воздействуя на ресурсы, могут привести к искажению данных, копированию, несанкционированному распространению,ограничению или блокированию к ним доступа[3]. Основнымивидамиугроз информационной безопасности являются:хищение (копирование) информации;уничтожение информации;модификация (искажение) информации;нарушение доступности (блокирование) информации;отрицание подлинности информации;навязывание ложной информации.В качестве источников угроз могут выступать как субъекты (личность) так и объективные проявления. Причем, источники угроз могут находиться как внутри защищаемой организации внутренние источники, так и вне ее внешние источники. Деление источников на субъективные и объективные оправдано исходя из предыдущих рассуждений по поводу вины или риска ущерба информации. А деление на внутренние и внешние источники оправдано потому, что для одной и той же угрозы методы парирования для внешних и внутреннихисточников могу быть разными. Все источники угроз безопасности информации можно разделить на три основные группы:1.Обусловленные действиями субъекта (антропогенные источники угроз).2.Обусловленные техническими средствами (техногенные источники угрозы).3.Обусловленные стихийными источниками.Аудит информационной безопасности позволяет получить объективную и независимую оценку текущего состояния защищенности информационных ресурсов и автоматизированной системы. Результаты проведения аудита являются основой для формирования дальнейшей стратегии развития информационной безопасности, а также аспекты создания системы защиты информации[1].Алгоритм разработки такой системыразделен на следующие этапы:1.Обследование и аудит.2.Формирование требований к системе обеспечения информационной безопасности и разработка технического задания на ее создание.3.Проектирование системы обеспечения информационной безопасности.4.Внедрение системы обеспечения информационной безопасности.Невозможно полностью исключить затраты на безопасность. Некоторые виды затрат на безопасность являются абсолютно необходимыми(обслуживание технических средств информационной безопасности, обучение персонала методам информационной безопасностии т.д.), а некоторые могут быть существенно уменьшены или исключены. Последние –это те, которые могут исчезнуть при отсутствии нарушений политики безопасности или сократятся, если количество и разрушающее воздействие нарушений уменьшатсязатраты на восстановление системы, восстановление ресурсов информационной среды, выявление причин нарушения политики информационной безопасности и т.д..Разработкапроектов защиты объекта, закупканеобходимых элементов безопасности и эксплуатациясистем защиты для владельца информации есть нечто иное, как материализованный экономический ущерб. Идя на эти траты, пользователь надеется избежать большего ущерба, связанного с возможным нарушением конфиденциальности. Возникает дилемма: внести плату (частично реализовав ущерб) за возможность уклонения с долей вероятности или допустить возможность ущерба в полной мере, не тратя ничего. Разумное решение состоит в определении оптимальных вложений в системы защиты, обеспечивающих минимальные финансовые потери владельца информации при несанкционированных действиях с нею[2].Оценивая стоимость проекта, необходимо учитывать затраты на покупку лицензии, услуги консультантов по внедрению, а также затраты на возможную перестройку бизнеспроцессов[4].Опишемтакже и другие категории расходов на внедрение и эксплуатацию системы обеспечения информационной безопасности (Табл.1). Таблица 1Расходы на внедрение и эксплуатацию СОИБТип затрат на внедрение СОИБОписание состава затратРасходы на аппаратные средства и программное обеспечениеСерверы, компьютеры, периферийные устройства и сетевые компоненты, аппаратнопрограммные средства.Расходы на операции СОИБСодержание персонала, стоимость работ и аутсорсинг, поддержание инфраструктуры.Административные расходыПерсонал, обеспечение деятельности и расходы внешних/внутренних поставщиков на поддержку операций (управление, финансирование, приобретение СИБ и обучение)Расходы на операции конечных пользователейСамостоятельная поддержка пользователей, официальное обучение, самостоятельныеприкладные разработки в связи с ростом потребностей компании, поддержка локальной файловой системы.Расходы на простоиЕжегодные потери производительности пользователей от запланированных и незапланированных отключений сетевых ресурсов, включая клиентские компьютеры, серверы, ПО для связи и т.д. Рассматриваются только те простои, которые ведут к потерям в основной деятельности организации.Сокращения затрат можно добиться путем предупредительных действий–курсы, консультации и т.д. На этой стадии затраты на потери падают. При этом изменения объема затрат на контроль незначительны.Таким образом, можно сделать вывод о том, что наиболее надежными системами обеспечения информационной безопасности(СОИБ) являются те, в которых комплексно реализованы все возможные и доступные меры —моральноэтические, законодательные, организационные, экономические и технические. Однако комплексные решения очень дороги и могут быть реализованы далеко не всегда. Кроме того,ущерб от утраты защищаемой информации или от разного рода несанкционированных действий с ней может быть гораздо меньше стоимости СОИБ. Поэтому уровень финансовых средств, выделяемых на создание и эксплуатацию СОИБ, должен быть сбалансированным и соответствовать масштабу угроз. Необходимо при этом отметить, что затраты на СОИБносят детерминированный характер, поскольку они уже материализованы в конкретные меры, способы и средства защиты, а вот ущерб, который может быть нанесен при несанкционированных действиях, —величина случайная.Ссылки на источники1.Петренко С.А., Симонов С.В. Экономически оправданная безопасность. Управление информационными рисками. –Изд. ДМК, Москва, 2010. 2.Семененко В.А. Информационная безопасность: Учебное пособие. М.: МГИУ, 2004215 с.3.О.А. Цуканова, С.Б.Смирнов Экономика защиты информации: Учебное пособие. –СПб.: СПб ГУИТМО, 2013 –59с.4.А.И.Войтик, В.Г.Прожерин Экономика информационной безопасности: Учебное пособие. –СПб.: НИУ ИТМО, 2012 –120с.

Аудит информационных систем. Угрозы информационной безопасности. Информационные технологии :

Аудит информационных систем дает актуальные и точные данные о том, как работает ИС. На базе полученных данных можно планировать мероприятия для повышения эффективности предприятия. Практика проведения аудита информационной системы – в сравнении эталона, реальной обстановки. Изучают нормативы, стандарты, регламенты и практики, применимые в других фирмах. При проведении аудита предприниматель получает представление о том, как его фирма отличается от нормальной успешной компании в аналогичной сфере.

Общее представление

Информационные технологии в современном мире развиты исключительно сильно. Сложно представить себе предприятие, не имеющее на вооружении информационные системы:

Именно за счет ИС компания может нормально функционировать и идти в ногу со временем. Такие методологии необходимы для быстрого и полного обмена информацией с окружающей средой, что позволяет компании подстраиваться под изменения инфраструктуры и требований рынка. Информационные системы должны удовлетворять ряду требований, меняющихся по прошествии времени (внедряются новые разработки, стандарты, применяют обновленные алгоритмы). В любом случае информационные технологии позволяют сделать доступ к ресурсам быстрым, и эта задача решается через ИС. Кроме того, современные системы:

  • масштабируемые;
  • гибкие;
  • надёжные;
  • безопасные.

Основные задачи аудита информационных систем – выявление, соответствует ли внедренная ИС указанным параметрам.

Аудит: виды

Очень часто применяется так называемый процессный аудит информационной системы. Пример: внешние специалисты анализируют внедренные системы на предмет отличия от эталонов, изучая в том числе и производственный процесс, на выходе которого – программное обеспечение.

Может проводиться аудит, направленный на выявление того, насколько правильно применяется в работе информационная система. Практику предприятия сравнивают со стандартами производителя и известными примерами корпораций международного масштаба.

Аудит системы информационной безопасности предприятия затрагивает организационную структуру. Цель такого мероприятия – найти тонкие места в кадрах ИТ-отдела и обозначить проблемы, а также сформировать рекомендации по их решению.

Наконец, аудит системы обеспечения информационной безопасности направлен на качественный контроль. Тогда приглашенные эксперты оценивают, в каком состоянии процессы внутри предприятия, тестируют внедренную информационную систему и делают некоторые выводы по полученной информации. Обычно применяется модель TMMI.

Задачи аудита

Стратегический аудит состояния информационных систем позволяет определить слабые места во внедренной ИС и выявить, где применение технологий оказалось неэффективными. На выходе такого процесса у заказчика будут рекомендации, позволяющие устранить недочеты.

Аудит позволяет оценить, как дорого обойдётся внесение изменений в действующую структуру и сколько времени это займет. Специалисты, изучающие действующую информационную структуру компании, помогут подобрать инструментарий для реализации программы улучшений, учитывая особенности компании. По итогам можно также выдать точную оценку, в каком объеме ресурсов нуждается фирма. Проанализированы будут интеллектуальные, денежные, производственные.

Мероприятия

Внутренний аудит информационных систем включает в себя проведение таких мероприятий, как:

  • инвентаризация ИТ;
  • выявление нагрузки на информационные структуры;
  • оценка статистики, данных, полученных при инвентаризации;
  • определение, соответствуют ли требования бизнеса и возможности внедренной ИС;
  • формирование отчета;
  • разработка рекомендаций;
  • формализация фонда НСИ.

Результат аудита

Стратегический аудит состояния информационных систем – это процедура, которая: позволяет выявить причины недостаточной эффективности внедрённой информационной системы; провести прогнозирование поведения ИС при корректировке информационных потоков (числа пользователей, объема данных); предоставить обоснованные решения, помогающие повысить продуктивность (приобретение оборудования, совершенствование внедренной системы, замена); дать рекомендации, направленные на повышение продуктивности отделов компании, оптимизацию вложений в технологии. А также разработать мероприятия, улучшающий качественный уровень сервиса информационных систем.

Это важно!

Нет такой универсальной ИС, которая подошла бы любому предприятию. Есть две распространенных базы, на основе которых можно создавать уникальную систему под требования конкретного предприятия:

Но помните, что это лишь основа, не более. Все усовершенствования, позволяющие сделать бизнес эффективным, нужно программировать, учитывая особенности конкретного предприятия. Наверняка придется вводить ранее отсутствовавшие функции и отключать те, которые предусмотрены базовой сборкой. Современная технология аудита банковских информационных систем помогает понять, какие именно особенности должна иметь ИС, а что нужно исключить, чтобы корпоративная система была оптимальной, эффективной, но не слишком «тяжелой».

Аудит информационной безопасности

Анализ, позволяющий выявить угрозы информационной безопасности, бывает двух видов:

Первый предполагает единовременную процедуру. Организует ее руководитель компании. Рекомендовано регулярно практиковать такую меру, чтобы держать ситуацию под контролем. Ряд АО, финансовых организаций ввели требование внешнего аудита ИТ-безопасности обязательным к выполнению.

Внутренний – это регулярно проводимые мероприятия, регламентированные локальным нормативным актом «Положение о внутреннем аудите». Для проведения формируют годовой план (его готовит отдел, ответственный за аудит), утверждает генеральный директор, другой руководитель. ИТ-аудит – несколько категорий мероприятий, аудит безопасности занимает не последнее место по значимости.

Цели

Главная цель аудита информационных систем в аспекте безопасности – это выявление касающихся ИС рисков, сопряженных с угрозами безопасности. Кроме того, мероприятия помогают выявить:

  • слабые места действующей системы;
  • соответствие системы стандартам информационной безопасности;
  • уровень защищенности на текущий момент времени.

При аудите безопасности в результате будут сформулированы рекомендации, позволяющие улучшить текущие решения и внедрить новые, сделав тем самым действующую ИС безопаснее и защищённые от различных угроз.

Если проводится внутренний аудит, призванный определить угрозы информационной безопасности, тогда дополнительно рассматривается:

  • политика безопасности, возможность разработки новой, а также иных документов, позволяющих защитить данные и упростить их применение в производственном процессе корпорации;
  • формирование задач обеспечения безопасности работникам ИТ-отдела;
  • разбор ситуаций, сопряженных с нарушениями;
  • обучение пользователей корпоративной системы, обслуживающего персонала общим аспектам безопасности.

Внутренний аудит: особенности

Перечисленные задачи, которые ставят перед сотрудниками, когда проводится внутренний аудит информационных систем, по своей сути, не аудит. Теоретически проводящий мероприятия лишь в качестве эксперта оценивает механизмы, благодаря которым система обезопасена. Привлеченное к задаче лицо становится активным участником процесса и теряет независимость, уже не может объективно оценивать ситуацию и контролировать ее.

С другой стороны, на практике при внутреннем аудите остаться в стороне практически невозможно. Дело в том, что для проведения работ привлекают специалиста компании, в прочее время занятого другими задачами в сходной области. Это значит, что аудитор – это тот самый сотрудник, который обладает компетенцией для решения упомянутых ранее заданий. Поэтому приходится идти на компромисс: в ущерб объективности привлекать работника к практике, чтобы получить достойный итог.

Аудит безопасности: этапы

Таковые во многом сходны с шагами общего ИТ-аудита. Выделяют:

  • старт мероприятий;
  • сбор базы для анализирования;
  • анализ;
  • формирование выводов;
  • отчетность.

Инициирование процедуры

Аудит информационных систем в аспекте безопасности начинается, когда на это дает отмашку руководитель компании, так как именно начальники – те персоны, которые более прочих заинтересованы в эффективной проверке предприятия. Проведение аудита невозможно, если руководство не поддерживает процедуру.

Аудит информационных систем обычно комплексный. В нем принимает участие аудитор и несколько лиц, представляющих разные отделы компании. Важна совместная работа всех участников проверки. При инициации аудита важно уделить внимание следующим моментам:

  • документальная фиксация обязанностей, прав аудитора;
  • подготовка, согласование плана аудита;
  • документальное закрепление того факта, что сотрудники обязаны оказывать аудитору посильную помощь и предоставлять все запрашиваемые им данные.

Уже в момент инициации проверки важно установить, в каких границах проводится аудит информационных систем. В то время как некоторые подсистемы ИС критичны и требуют особенного внимания, другие таковыми не являются и достаточно маловажны, поэтому допускается их исключение. Наверняка найдутся и такие подсистемы, проверка которых будет невозможна, так как вся информация, хранимая там, конфиденциальна.

План и границы

Перед началом работ формируется список ресурсов, которые предполагается проверить. Это могут быть:

  • информационные;
  • программные;
  • технические.

Выделяют, на каких площадках проводят аудит, на какие угрозы проверяют систему. Существуют организационные границы мероприятия, аспекты обеспечения безопасности, обязательные к учету при проверке. Формируется рейтинг приоритетности с указанием объема проверки. Такие границы, а также план мероприятия утверждаются генеральным директором, но предварительно выносятся темой общего рабочего собрания, где присутствуют начальники отделов, аудитор и руководители компании.

Получение данных

При проведении проверки безопасности стандарты аудита информационных систем таковы, что этап сбора информации оказывается наиболее продолжительным, трудоемким. Как правило, ИС не имеет документации к ней, а аудитор вынужден плотно работать с многочисленными коллегами.

Чтобы сделанные выводы оказались компетентными, аудитор должен получить максимум данных. О том, как организована информационная система, как она функционирует и в каком состоянии находится, аудитор узнает из организационной, распорядительной, технической документации, в ходе самостоятельного исследования и применения специализированного ПО.

Документы, необходимые в работе аудитора:

  • организационная структура отделов, обслуживающих ИС;
  • организационная структура всех пользователей.

Аудитор интервьюирует работников, выявляя:

  • провайдера;
  • владельца данных;
  • пользователя данных.

Для этого нужно знать:

  • основные виды приложений ИС;
  • число, виды пользователей;
  • услуги, предоставляемые пользователям.

Если в фирме есть документы на ИС из перечисленного ниже списка, обязательно нужно предоставить их аудитору:

  • описание технических методологий;
  • описание методик автоматизации функций;
  • функциональные схемы;
  • рабочие, проектные документы.

Выявление структуры ИС

Для корректных выводов аудитор должен располагать максимально полным представлением об особенностях внедренной на предприятии информационной системы. Нужно знать, каковы механизмы безопасности, как они распределены в системе по уровням. Для этого выясняют:

  • наличие и особенности компонентов используемой системы;
  • функции компонентов;
  • графичность;
  • входы;
  • взаимодействие с различными объектами (внешнее, внутреннее) и протоколы, каналы для этого;
  • платформы, примененные для системы.

Пользу принесут схемы:

  • структурная;
  • потоков данных.

Структуры:

  • технических средств;
  • ПО;
  • информационного обеспечения;
  • структурных компонентов.

На практике многие из документов готовят непосредственно при проведении проверки. Анализировать информацию можно лишь при сборе максимального объема информации.

Аудит безопасности ИС: анализ

Есть несколько методик, применяемых для анализа полученных данных. Выбор в пользу конкретной основывается на личных предпочтениях аудитора и специфике конкретной задачи.

Наиболее сложный подход предполагает анализировать риски. Для информационной системы формируются требования к безопасности. Они базируются на особенностях конкретной системы и среды ее работы, а также угроз, свойственных этой среде. Аналитики сходятся во мнении, что такой подход требует наибольших трудозатрат и максимальной квалификации аудитора. Насколько хорош будет результат, определяется методологией анализа информации и применимостью выбранных вариантов к типу ИС.

Более практичный вариант предполагает обращение к стандартам безопасности для данных. Таковыми определяется набор требований. Это подходит для различных ИС, так как методика выработана на основе крупнейших фирм из разных стран.

Из стандартов следует, каковы требования безопасности, зависящие от уровня защиты системы и принадлежности ее тому или иному учреждению. Многое зависит от предназначения ИС. Главная задача аудитора – определить корректно, какой набор требований по безопасности актуален в заданном случае. Выбирают методику, по которой оценивают, соответствуют ли стандартам имеющиеся параметры системы. Технология довольно простая, надежная, поэтому распространена широко. При небольших вложениях в результате можно получить точные выводы.

Пренебрегать недопустимо!

Практика показывает, что многие руководители, особенно небольших фирм, а также те, чьи компании работают уже достаточно давно и не стремятся осваивать все новейшие технологии, относятся к аудиту информационных систем довольно халатно, так как просто не осознают важности этой меры. Обычно лишь ущерб бизнесу провоцирует начальство принимать меры по проверке, выявлению рисков и защите предприятия. Иные сталкиваются с тем, что у них крадут данные о клиентуре, у других утечки происходят из баз данных контрагентов или уходит информация о ключевых преимуществах некоего субъекта. Потребители перестают доверять компании, как только случай подвергается огласке, и компания терпит еще больший урон, нежели просто от потери данных.

Если есть вероятность утечки информации, невозможно построить эффективный бизнес, имеющий хорошие возможности сейчас и в будущем. У любой компании есть данные, представляющие ценность для третьих лиц, и их нужно беречь. Чтобы защита была на высочайшем уровне, необходим аудит, выявляющий слабые стороны. В нем нужно учитывать международные стандарты, методики, новейшие наработки.

При аудите:

  • оценивают уровень защиты;
  • анализируют применяемые технологии;
  • корректируют документы по безопасности;
  • моделируют рисковые ситуации, при которых возможна утечка данных;
  • рекомендуют внедрение решений для устранения уязвимостей.

Проводят эти мероприятия одним из трех образов:

  • активный;
  • экспертный;
  • выявляющий соответствие стандартам.

Формы аудита

Активный аудит предполагает оценку системы, на которую смотрит потенциальный хакер. Именно его точку зрения «примеряют» на себя аудиторы - изучают сетевую защиту, для чего применяют специализированное ПО и уникальные методики. Обязателен и внутренний аудит, проводимый также с точки зрения предполагаемого преступника, желающего украсть данные или нарушить работу системы.

При экспертном аудите проверяют, насколько соответствует внедренная система идеальной. При выявлении соответствия стандартам за основу берут абстрактное описание стандартов, с которыми сравнивают имеющийся объект.

Заключение

Корректно и качественно проведенный аудит позволяет получить следующие итоги:

  • минимизация вероятности успешной хакерской атаки, ущерба от нее;
  • исключение атаки, основанной на изменении архитектуры системы и информационных потоков;
  • страхование как средство уменьшения рисков;
  • минимизация риска до уровня, когда таковой вовсе можно не учитывать.

Комплексный аудит информационной безопасности

Комплексный аудит безопасности информационных систем служит для максимально детальной и более полной оценки защищенности информационной системы, позволяет определить уязвимые места и выработать действенный алгоритм создания системы информационной безопасности на предприятии.

Цели и задачи

К основным целям комплексного аудита информационной безопасности можно отнести:

  •   независимая оценка текущего состояния системы безопасности;
  •   идентификация, оценка опасности и ликвидации уязвимостей;
  •   технико-экономическое обоснование внедряемых механизмов безопасности;
  •   обеспечение соответствия требованиям действующего законодательства и международным стандартам;
  •   минимизация ущерба от инцидентов безопасности.

К ключевым задачам, решаемым в рамках проведения Комплексного аудита ИБ, относятся:

  •   повышение уровня защиты информации;
  •   оптимизация и планирование затрат на обеспечение информационной безопасности;
  •   обоснование инвестиций в системы защиты;
  •   получение максимальной отдачи от инвестиций, вкладываемых в системы защиты информации;
  •   подтверждение того, что используемые внутренние средства контроля соответствуют задачам организации и позволяют обеспечить эффективность и непрерывность бизнеса.

Этапы аудита

Проведение комплексного аудита безопасности корпоративной информационной системы заказчика включает четыре основных этапа:

  • проведение экспресс-обследования;
  • постановка задач и уточнение состава работ;
  • сбор данных в соответствии с детальным перечнем работ, определенных в ТЗ на аудит;
  • анализ собранных данных, оценка рисков и подготовка отчета.

Проведение экспресс-обследования

На данном этапе производится анализ сроков ключевых позиций аудита и конкретизация задач аудиторам. Если для выполнения аудита потребуется доступ к конфиденциальной информации (КИ), то перед осуществлением обследования подготавливается и утверждается соглашение о конфиденциальности, а также организуется взаимодействие с СБ (службой безопасности) объекта.

Постановка задач и уточнение состава работ

На данном этапе:

  1. Уточняются цели и задачи аудита
  2. Создается рабочая группа и выполняются все требуемые организационные процедуры. В состав рабочей группы обязательно входят специалисты компании-аудитора и сотрудники компании-заказчика. Специалисты заказчика передают всю требуемую документацию, осуществляют непосредственный контроль за проведением обследования, а также принимают участие в согласовании его промежуточных и конечных результатов. Аудиторы несут ответственность за профессиональное проведение работ по обследованию предметных областей в соответствии с поставленными целями и задачами проекта, согласуют процессы и результаты проведения обследования.
  3. Разрабатывается, согласовывается и утверждается техническое задание и календарный график выполнения работ. В ТЗ формируется перечень и состав работ, а также устанавливаются требования к отчетной документации.

Сбор данных в соответствии с детальным перечнем работ, определенных в ТЗ на аудит

В ходе этапа производится:

  1. Анализ работы всех программных и аппаратных решений, обеспечивающих безопасную и непрерывную работу ИТ-инфрастуктуры предприятия, включая анализ:
    • средств обеспечения сетевой безопасности - межсетевых экранов, прокси-серверов, средств организации VLAN, средств организации защищенного межсетевого взаимодействия (Site-to-Site VPN), средств организации защищенного удаленного доступа к корпоративным ресурсам (Remote Access VPN) и т.д.;
    • средств антивирусной защиты рабочих станций, серверов, электронной почты, доступа в интернет;
    • средств шифрования данных;
    • средств обеспечения резервного копирования данных и программного обеспечения;
    • средств бесперебойного питания оборудования;
    • средств контроля за распространением и использованием конфиденциальной информации.
  2. Анализ мер по защите аппаратного обеспечения (сетевого оборудования, серверов, рабочих станций, систем хранения), включая:
    • анализ наличия и соответствия конфигураций штатных механизмов информационной безопасности рекомендациям производителя и лучшей практике;
    • анализ мер по защите доступа;
    • обнаружение неиспользуемых сервисов и сервисов, содержащих известные уязвимости.
  3. Сбор данных о взаимосвязях объектов аудита с другими элементами ИТ-инфраструктуры, документирование этапов бизнес-процессов и отклонений от них;
  4. Документирование топологии и логической организации сетевой инфраструктуры, адекватности мер по контролю логических путей доступа, сегментирования сети;
  5. Документирование топологии и логической организации системы защиты периметра, адекватности мер по контролю доступа из внешних и внутренних сетей;
  6. Документирование топологии, логической организации и адекватности контроля доступа между сегментами документируемой сети;
  7. Поиск и анализ работы элементов сети, сбои работы которых приведут к невозможности функционирования критичных для бизнеса сервисов;
  8. Анализ работы точек удаленного доступа к информационным ресурсам сети и проверка адекватности защиты доступа;
  9. Оценка соответствия конфигурации встроенных средств защиты документированным требованиям и оценка адекватности существующей конфигурации;
  10. Оценка адекватности использования криптографической защиты информации и процедуры распределения ключей шифрования;
  11. Оценка достаточности мер антивирусного контроля рабочих станций и серверов;
  12. Проверка наличия резервных копий файлов конфигурации и образов дисков для критичных сетевых устройств и серверов;
  13. Проверка наличия источников бесперебойного питания для критичных сетевых устройств и серверов и их соответствие требованиям по времени бесперебойной работы;
  14. Анализ мер по защите оборудования, необходимого для поддержки функционирования ИТ-инфраструктуры, степени защиты имеющихся помещений, систем связи и СКС, включая:
  15. Проверка актуальности программного обеспечения (операционных систем, систем управления базами данных, интеграции приложений и тд), включая наличие необходимых патчей;
  16. Документирование этапов бизнес-процессов, систем документооборота, хранения данных и оказания услуг. Оценка достаточности программного обеспечения используемого на различных этапах;
  17. Сбор информации о имеющихся навыках, знаниях и опыте работы персонала, непосредственно связанного с обслуживанием ИТ-инфраструктуры, предоставлением ИТ-услуг;
  18. Документирование комплекса мер по обеспечению информационной безопасности, включая:
    • возможности использования найденных уязвимых мест в сетевых устройствах и серверах для реализации атак;
    • процедуры оценки полноты анализируемых событий, адекватности защиты журналов аудита;
    • наличия процедур по обнаружению и фиксации инцидентов информационной безопасности и механизмов расследования таких инцидентов, включая процедуры анализа журналов событий и попыток несанкционированного доступа;
    • наличия процедуры документирование любых действий, связанных с модификацией прав доступа, изменениями параметров аудита;
    • периодичности контроля защищенности сетевых устройств и серверов;
    • наличия процедуры отслеживания новых уязвимостей в системном программном обеспечении и его обновления;
    • мер по ограничению доступа в серверные помещения;
    • адекватности времени восстановления в случае сбоев критичных устройств и серверов.
  19. Проверка наличия зоны опытной эксплуатации новых решений, процедур тестирования и ввода в промышленную эксплуатацию новых программных и аппаратн6ых решений;
  20. Проверка наличия организационных мер в области информационной безопасности, включая:
    • наличие, полноту и актуальность организационно-регламентных и нормативно-технических документов;
    • существование ролей доступа персонала к критически-важной информации, сетевым устройствам и серверам. Соответствие этих ролей минимальному набору прав, требуемых для выполнения производственных задач;
    • соответствие механизма и стойкости процедуры аутентификации, оценка адекватности парольной политики и протоколирования деятельности пользователей;
    • наличие нормативных документов, описывающих полномочия сотрудников по доступу к сетевым устройствам и серверам и списков, персонала, имеющих доступ к этим устройствам;
    • наличие ответственного за обеспечение информационной безопасности;
    • наличие мер по поддержанию уровня знаний сотрудников в области информационной безопасности, планов обучения сотрудников, ответственных за поддержание системы ИБ;
    • осведомленность пользователей локальной сети, о требованиях по обеспечению информационной безопасности;
    • корректности процедур управления изменениями и установки обновлений;
    • порядка предоставления доступа к внутренним ресурсам информационных систем.

В ходе этапа производится:

  • интервьюирования персонала заказчика с использованием заранее подготовленных опросных листов;
  • анализа предоставленных документов;
  • осмотра и инвентаризации инфраструктуры с использованием специализированного программного инструментария и шаблонов отчетов;
  • сбора и анализа конфигураций средств защиты информации;
  • анализа сценариев осуществления атак и использования списков проверки;
  • анализ организационно-распорядительной документации по обеспечению режима информационной безопасности;
  • инструментального обследования путем применения специальных средств анализа защищенности.

Интервьюирование сотрудников проводится для документирования бизнес-процедур и обнаружения имеющихся узких мест, связанных с применением программного и аппаратного обеспечения. В интервьюировании обязательно участвует персонал, непосредственно эксплуатирующий ПО в ходе повседневной работы и ИТ-специалисты, ответственные за функционирование информационной системы.

В процессе интервьюирования следует иметь в виду, что одна и та же проблема может сильно отличаться с различных точек зрения.

По завершению этапа формируется комплект документов, который включает в себя все необходимые данные для функционирования системы информационной безопасности.

Анализ собранных данных, оценка рисков и подготовка отчета

На данном этапе производится:

  • сопоставление и анализ собранных данных;
  • анализ рисков;
  • формирование выводов и рекомендаций;
  • подготовка и оформление отчета об аудите.

Проводящийся в ходе данного этапа анализ рисков позволяет:

  • сформировать перечень наиболее опасных уязвимых мест и угроз;
  • составить модель потенциального злоумышленника;
  • оценить степень критичности угроз нарушения информационной безопасности и возможности их использования потенциальным злоумышленником для осуществления несанкционированных действий;
  • разработать рекомендации, выполнение которых позволит минимизировать существующие угрозы.

В ходе данного этапа может быть принято решение о сборе дополнительных данных.

Результат и преимущества

Основываясь на данных, полученных в процессе проведения обследования ИТ-инфраструктуры объекта и результатов анализа рисков, вырабатываются рекомендации по улучшению системы информационной безопасности (реализация которых сведет к минимуму риски) с приложением непосредственно перечня уязвимостей серверов, МСЭ, активного сетевого и прочего оборудования. По завершении аудита заказчику предоставляется итоговый отчет, включающий в себя оценку текущего состояния безопасности информационной инфраструктуры, данные о выявленных недостатках, оценка рисков и предложения по их ликвидации.

Общая структура отчета

  • Оценка текущего уровня защищенности информационной системы:
    • описание и оценка текущего уровня защищенности информационной системы;
    • анализ конфигурации конфигурационной информации, найденные уязвимости;
    • анализ рисков, связанных с возможностью осуществления внутренних и внешних угроз в отношении ресурсов информационной системы;
  • Рекомендации по технической составляющей ИБ:
    • по изменению конфигурации существующих сетевых устройств и серверов;
    • по изменению конфигурации существующих средств защиты;
    • по активации дополнительных штатных механизмов безопасности на уровне системного программного обеспечения;
    • по использованию дополнительных средств защиты;
  • Рекомендации по организационной составляющей ИБ:
    • по разработке политики информационной безопасности;
    • по организации службы ИБ;
    • по разработке организационно-распорядительных и нормативно-технических документов;
    • по пересмотру ролевых функций персонала и зон ответственности;
    • по разработке программы осведомленности сотрудников в части информационной безопасности;
    • по поддержке и повышению квалификации персонала.

Преимущества

Комплексный аудит информационной безопасности позволяет получить наиболее полную и объективную оценку защищенности информационной системы (ИС), локализовать имеющиеся проблемы и разработать перечень эффективных мер для построения системы обеспечения ИБ организации. Ценность внешнего аудита информационной безопасности для потенциальных клиентов заключается в следующем:

  • аудит представляет собой независимое исследование, что повышает степень объективности результатов;
  • эксперты, проводящие аудит, имеют высокую квалификацию и большой опыт подобной работы, нежели штатные сотрудники организации.

Проведение аудита информационной безопасности

В настоящее время роль информационных технологий огромна. Их цель — обеспечить эффективное выполнение деятельности каждой коммерческой организации. Но вместе с этим они требуют усиленной и надежной защиты данных компании. Во всем мире все больше автоматизированных систем подвергаются атакам хакеров, последствия которых выражаются в материальных и финансовых потерях.

Объективно оценить имеющийся уровень надежности автоматизированной системы позволяет проверка по безопасности, то есть аудит.

Аудитом по информационным системам безопасности является объективный анализ по качеству и количеству фактического положения надежности данных организации по отношению к определенным показателям и нормам безопасности.

Данный термин появился не так давно, но уже пользуется спросом, вместе с этим активно развивается в стратегическом и оперативном менеджменте по информационной надежности, вызывая большую заинтересованность у многих специалистов. Самой важной задачей у аудита по безопасности — грамотная оценка текущего состояния сохранности информационных ресурсов в организации и соответствия к ее деятельности, насколько она помогает увеличить рентабельность и достигнуть задуманных целей.

Итоги правильно проведенной проверки по степени надежности информационных систем обеспечивают создание оптимальной и эффективной корпоративной системе охраны, целесообразно деятельности предприятия.

Следовательно, аудитом безопасности систем информации считают проверку их способностей по противостоянию к внедрению хакеров. Наименование совокупности процессов аудита безопасности не нуждается в подробном объяснении. Это объективная экспертиза либо и оценка экспертов по состоянию безопасного уровня информационных данных организаций, предприятий и учреждений, основываясь на специализированные утвержденные разработанные меры и показатели.

Например, проведение аудита сохранности информации в банковском учреждении сводится к тому, чтобы оценить уровень защиты баз данных клиентов, произведенных процедур и безопасности электронных финансовых ресурсов, защиты коммерческой секретных сведений и прочие причины из-за вмешательств посторонних лиц по средствам программных обеспечений.

Чаще всего осуществление аудита безопасности происходит по четырём важным этапам:

  • разработке алгоритма действий;
  • получению начальных сведений;
  • анализу собранной информации;
  • подготовке указаний по улучшению проверки.

Создание регламента по составу и проведению работ происходит вместе с заказчиками. На данном этапе обе стороны определяют границы обследований, подтверждая документально спектр своих обязанностей.

Порядок получения информации включает в себя опрос служащих компании, где требуется аудит, рассмотрение предоставленных документов организационного, распорядительного и технического характера.

Собранные информационные сведения могут быть:

  • документами по организации и указанию действий, связанных с политикой безопасности информационных программ, регламентами по использованию данных ресурсов;
  • данными по аппаратному обеспечению хостов, состоящих из реестров по серверам, действующим станциям, коммутационному и периферийному оборудованию;
  • по операционным системам;
  • по прикладному программному обеспечению;
  • по способам охраны автоматизированных программ, включая название производителя и схем по загрузке;
  • по математическим показателям локальных сетей.

На третьем этапе проведения аудита безопасности анализируют собранную информацию для проверки фактической степени защиты автоматизированных программ заказчиков.

Проведенные исследования выявляют угрозы, связанные с безопасностью данных компании. Они состоят из двух основных групп по расчету рисков.

Анализ первой группы устанавливает классы рисков, согласным оценки уровня адекватности для соответствующих правил, гарантирующих информационную безопасность.

Ресурсами данных условий могут быть:

  • нормативно-правовая документация организации по защите данных;
  • документы руководящего характера, предоставленные Государственной технической комиссией, включая ГОСТы и прочие;
  • международные стандарты;
  • указания организаций по производству различных программных обеспечений.
  • Перечисленные методы позволяют провести оценку автоматизированной системы по соответствию к принятым стандартам руководящих документов.

К следующей группе способов анализа степени защиты компании относится выявление экспертами вероятных хакерских атак и связанных с ними последствий.

В обоих вариантах методов вычислений уровней риска защиты от взломщиков производят путем применения качественных и количественных шкал. Результаты первого способа представлены в числовом значении, включая итоги взломов, заданных в денежном эквиваленте. Расчет показателей вероятности проведенных атак и степени возможных потерь может прибегать к использованию статистических методы, оценок экспертов либо теоретических частей по утверждению результатов.

По итогам проведённых исследований на завершающей стадии разрабатывают рекомендации, повышающие уровни защиты безопасности от хакерских атак. Разработанные указания состоят из операций по минимизации обнаруженных угроз взлома:

  1. Уменьшения рисков путем применения еще одних специальных защитных методов организационного и технического характера, способных сократить вероятные хакерские атаки либо снизить, связанные с ними потери, вместе с возможными ущербами от неё. К примеру, межсетевые экраны смонтированные в точку присоединения автоматической программы к интернету могут достаточно сильно понизить риск от проведенных успешных взломов в каналы общедоступных информационных ресурсов: почтовых или Web-серверов.
  2. Избежания вероятных опасностей с помощью архитектурных изменений и схематических потоков информации автоматических систем, исключая возможные осуществления атак взломщиков. Сюда можно отнести контактное отключение от интернета сегментов программы безопасности по обработке засекреченных сведений , позволяющих устранить нападки хакеров, покушающихся на секретные данные компании.
  3. Снижения степени угроз от возможных атак, благодаря принятым мерам, связанных со страхованием.
  4. Изменение степени рисков происходит за счет страхования специального автоматизированного оборудования от воспламенения и пожаров. Возможно также застраховать информационные системы от случаев, вызванных нарушениями их секретного статуса, доступа или целостности.
  5. Утверждение не существенного в автоматической программе уровня опасности.

Обычно направление разработанных рекомендаций состоит не в абсолютной ликвидации устранения обнаруженных угроз, они могут только уменьшить риски до оптимального положения. Выбор способов увеличения степени охраны системы безопасности должен основываться на важный фактор, связанный со стоимостью.

Цена программы по защите данных для организаций должна быть меньше стоимости самих охраняемых средств информации.

Когда проводимый аудит походит к концу, итоги данной процедуры заносятся в форме отчётных документов, передаваемых клиенту.

В данных документах содержатся следующие разделы:

  • о границах осуществленного аудита защиты системы;
  • сведения о автоматизированных программах организации, где проводится аудит;
  • способы и приемы, используемые при проверке;
  • подробный перечень установленных повреждений и наиболее уязвимых зон, а также рисков, связанных с данными недостатками;
  • указания и предписания, направленные на модернизацию систем безопасности;
  • рекомендации о планировании срочных действий по снижению установленных угроз защиты данных.

Таким образом, на сегодняшний момент экспертиза защиты информационных данных — это самый эффективный способ получить объективную и квалифицированную оценку действующей системы безопасности от внедрения сторонних лиц к таким сведениям.

Проведенная аудиторская экспертиза помогает сформировать стратегическую модернизацию программы по сохранению данных компании. Данные процедура должна проводиться не один раз, а регулярно для оказания существенной помощи в повышении степени защиты информационных ресурсов предприятия.

Ниже представлен один день из жизни отдела информационной безопасности.

Рекомендуем другие статьи по теме


Смотрите также