Проведение внутреннего аудита информационной безопасности


Аудит информационной безопасности — что это, для чего и кто может провести?

Сакральная фраза – «владение информацией – владение миром» актуальна как никогда. Потому, сегодня «красть информацию» присуща большинству злоумышленников. Избежать этого можно путем внедрения ряда защиты от атак, а также своевременное проведение аудита информационной безопасности. Аудит информационной безопасности – понятие новое, которое подразумевает актуально и динамическое развивающееся направление оперативного и стратегического менеджмента, которое касается безопасности информационной системы.

Информационный аудит – теоретические основы

Объем информации в современном мире растет стремительно быстро, так как во всем мире наблюдается тенденция глобализации использования компьютерной техники во всем слоях человеческого общества. В жизни рядового человека, информационные технологии являются основной составляющей.

Аудит информационной безопасности

Это выражается в использовании Интернета, как в рабочих целях, так и с целью игры и развлечения. Параллельно с развитием информационных технологий, растет монетизация сервисов, а значит и количество времени, которое затрачивается на совершение разных платежных операций с использованием пластиковых карт. В их число входит безналичный расчет за разные товары и потребленные услуги, транзакции в платежной системе онлайн банкинга, обмен валют, прочие платежные операции. Это все влияет на пространство во всемирной паутине, делая ее больше.

Информации о владельцах карт становится также, больше. Это является основой для расширения поля деятельности мошенников, которые на сегодняшний день, ухищряются произвести колоссальную массу атак, среди которых атаки поставщика услуг и конечного пользователя. В последнем случае, предотвратить атаку можно за счет использования соответствующего ПО, а вот если это касается вендора, необходимо применение комплекса мер, которые минимизируют перебои работы, утечку данных, взломы сервиса. Это осуществляется за счет своевременного проведения аудита информационной безопасности.

Задача, которую преследует информационные аудит лежит в своевременной и точной оценке состояния безопасности информации в текущий момент конкретного субъекта хозяйствования, а также соответствие поставленной цели и задачи ведения деятельности, с помощью которого должно производиться повышение рентабельности и эффективности экономической деятельности.

Иными словами, аудит информационной безопасности – это проверка того или иного ресурса на возможность противостоять потенциальным или реальным угрозам.

  • Аудит информационной безопасности преследует следующие цели:
  • Оценить состояние информационной системы информации на предмет защищенности.
  • Аналитическом выявлении потенциальных рисков, которые связаны с внешним проникновением в информационную сеть.
  • Выявлением локализации прорех в системе безопасности.
  • Аналитическом выявлении соответствия между уровнем безопасности и действующим стандартам законодательной базы.
  • Инициирование новых методов защиты, их внедрение на практике, а также создание рекомендаций, с помощью которых будет происходить усовершенствование проблем средств защиты, а также поиск новых разработок в данном направлении.

Применяется аудит при:

  • Полной проверке объекта, который задействован в информационном процессе. Частности, речь идет о компьютерных системах, системах средств коммуникации, при приеме, передаче, а также обработке данных определенного объема информации, технических средств, систем наблюдения т.д.
  • Полной проверке электронных технических средств, а также компьютерных системе на предмет воздействия излучения и наводок, которые будут способствовать их отключению.
  • При проверке проектной части, в которые включены работы по созданию стратегий безопасности, а также их практического исполнения.
  • Полной проверке надежности защиты конфиденциальной информации, доступ к которой ограничен, а также определение «дыр» с помощью которых данная информация обнародуется с применением стандартных и нестандартным мер.

Когда возникает необходимость проведения аудита?

Важно отметить, что необходимость проведения информационного аудита возникает при нарушении защиты данных. Также, проверка рекомендована к проведению при:

  • Слиянии компании.
  • Расширении бизнеса.
  • Поглощении или присоединении.
  • Смене руководства.

Виды аудита информационных систем

На сегодняшний день, существует внешний и внутренний информационный аудит.

Для внешнего аудита характерно привлечение посторонних, независимых экспертов, которые имеют право на осуществление таковой деятельности. Как правило, данный вид проверки носит разовый характер и инициируется руководителем предприятия, акционером или органами правоохранения. Проведение внешнего аудита не является обязательным, носит, скорее всего, рекомендованный характер. Однако есть нюансы, закрепленные законодательством, при которых внешний аудит информационной безопасности является обязательным. К примеру, под действие закона попадают финансовые учреждения, акционерные общества, а также финансовые организации.

Внутренний аудит безопасности информационных потоков представляет собой постоянный процесс, проведение которого регламентировано соответствующим документом «Положением о проведении внутреннего аудита». Это мероприятие, в рамках компании имеет аттестационный характер, проведение которого отрегулировано соответствующим приказом по предприятию. За счет проведения внутреннего аудита, в компании обеспечивается за счет специального подразделения в компании.

Аудит классифицируют также как:

  • Экспертный.
  • Аттестационный.
  • Аналитический.

Экспертный включает в себя проверку состояния защиты информационных потоков и систем, которые основываются на опыте экспертов и тех, кто проводит эту проверку.

Аттестационный вид аудита касается систем, а также мер безопасности, в частности их соответствие принятым стандартам в международном обществе, а также соответствующими государственными документами, которые регулирую правовую основу данной деятельности.

Аналитический вид аудита касается проведения глубокого анализа информационной системы, с применением технических приспособлений. Данные действия должны быть направлены на то, чтобы выявить уязвимые места программно-аппаратного комплекса.

Методика и средства для проведения аудита на практике

Аудит проводится поэтапно и включает в себя:

  • Инициирование процедуры проверки.
  • Сбор данных.
  • Проведение самой проверки.
  • Анализ полученной информации.
  • Разработка рекомендаций.
  • Создание отчета.

Первый этап считается самым простым. Он определяет права и обязанности проводящего аудит, разработку пошагового плана действий и согласование с руководством. При этом на собрании сотрудников определяются границы анализа.

Читайте также!  Поведенческий аудит безопасности - что это и как провести?

На втором этапе применяются большие объемы потребления ресурсов. Это обосновано тем, что изучается вся техническая документация, которая касается программно-аппаратного комплекса.

Третий этап проводится с помощью одного из трех методов, а именно:

  • Анализа рисков.
  • Анализа соответствия стандартам и законодательству.
  • Комбинации анализа рисков и соответствия закона.

Четвертый этап позволяет систематизировать полученные данные провести глубокий анализ. При этом проверяющий обязательно должен быть компетентным в этом вопросе.

Как пройти пожарный аудит, чтобы не возникло проблем? Для чего нужна такая проверка? Наша статья расскажет об этом.

Что такое аудиторская проверка и какие виды аудита бывают? Об этом написано здесь.

Тут вы узнаете, что такое налоговая проверка и для каких целей она нужна.

Подведя итоги – оценка результатов и рекомендации

После проведения проверки обязательно должно быть составлено заключение, которое отражено в соответствующем отчетном документе. В отчете, как правило, отражаются такие сведенья:

  1. Регламент проведенного аудита.
  2. Структуру системы информационных потоков на предприятии.
  3. Какими методами и средствами была проведена проверка
  4. Точное описание уязвимых мест и недостатков, с учетом риска и уровня недостатков.
  5. Рекомендованные действия по устранению опасных мест, а также улучшению комплекса всей системы. Реальные практические советы, с помощью которых должны быть реализованы мероприятия, направлены на минимизацию рисков, которые были выявлены при проверке.

Аудит информационной безопасности

Аудит информационной безопасности на практике

На практике, довольно распространенным безобидным примером, является ситуация при которой сотрудник А, занимающийся закупками торгового оборудования вел переговоры с помощью определенной программы «В».

При этом сама программа является уязвимой, а при регистрации, сотрудник не указал ни электронного адреса, ни номера, а использовал альтернативный абстрактный адрес почты с несуществующим доменом.

По итогу, злоумышленник может зарегистрировать аналогичный домен и создать регистрационный терминал. Это позволит ему отправлять сообщения компании, которая владеет сервисом программы «В», с просьбой выслать утерянный пароль. При этом сервер будет отправлять почту на существующий адрес мошенника, так как у него работает редирект. В результате этой операции, мошенник имеет доступ к переписке, оглашает поставщику иные информационные данные, и управляет направлением груза по неизвестному, для сотрудника, направлению.

Актуальность информационного аудита в современном мире, становится все более востребование, в виду роста числа пользователей, как пространства всемирной паутины, так и применения различных способов монетизации в различных сервисах. Таким образом, данные каждого из пользователей становятся доступными для злоумышленников. Защитить их можно путем выявления очага проблемы – слабых мест информационных потоков.

Facebook

Twitter

Вконтакте

Одноклассники

Google+

vesbiz.ru

Аудит информационной безопасности - это... Что такое Аудит информационной безопасности?

Аудит информационной безопасности — системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности

Информационная безопасность[1] — состояние сохранности информационных ресурсов государства и защищенности законных прав личности и общества в информационной сфере.

Виды и цели аудита

Различают внешний и внутренний аудит.

Внешний аудит — это, как правило, разовое мероприятие, проводимое по инициативе руководства организации или акционеров. Внешний аудит рекомендуется (а для ряда финансовых учреждений и акционерных обществ требуется) проводить регулярно.

Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании документа, обычно носящего название “Положение о внутреннем аудите“, и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации. Аудит безопасности информационных систем является одной из составляющих ИТ—аудита.

Целями проведения аудита безопасности являются: — анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС; — оценка текущего уровня защищенности ИС; — локализация узких мест в системе защиты ИС; — оценка соответствияИС существующим стандартам в области информационной безопасности; — выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.

В число дополнительных задач, стоящих перед внутренним аудитором, помимо оказания помощи внешним аудиторам, могут также входить: — разработка политик безопасности и других организационно—распорядительных документов по защите информации и участие в их внедрении в работу организации; — постановка задач для ИТ—персонала, касающихся обеспечения защиты информации; — участие в обучении пользователей и обслуживающего персонала ИС вопросам обеспечения информационной безопасности; — участие в разборе инцидентов, связанных с нарушением информационной безопасности; — прочие задачи.

Основные этапы аудита безопасности

Работы по аудиту безопасности ИС включают в себя ряд последовательных этапов, которые в целом соответствуют этапам проведения комплексного ИТ—аудита автоматизированной системы, включающего в себя:

  • инициирование процедуры аудита;
  • сбор информации аудита;
  • анализ данных аудита;
  • выработку рекомендаций;
  • подготовку аудиторского отчета.

На этапе инициирования процедуры аудита должны быть решены следующие организационные вопросы:

  1. права и обязанности аудитора должны быть четко определены и документально закреплены в его должностных инструкциях, а также в положении о внутреннем (внешнем) аудите;
  2. аудитором должен быть подготовлен и согласован с руководством план проведения аудита;
  3. в положении о внутреннем аудите должно быть закреплено, в частности, что сотрудники компании обязаны оказывать содействие аудитору и предоставлять всю необходимую для проведения аудита информацию.

На этапе инициирования процедуры аудита должны быть определены границы проведения обследования.План и границы проведения аудита обсуждаются на рабочем собрании, в котором участвуют аудиторы, руководство компании и руководители структурных подразделений.

Этап сбора информации аудита является наиболее сложным и длительным. Это связано в основном с отсутствием необходимой документации на информационную систему и с необходимостью плотного взаимодействия аудитора со многими должностными лицами организации.

Компетентные выводы относительно положения дел в компании с информационной безопасностью могут быть сделаны аудитором только при условии наличия всех необходимых исходных данных для анализа. Первый пункт аудиторского обследования начинается с получения информации об организационной структуре пользователей ИС и обслуживающих подразделений.Назначение и принципы функционирования ИС во многом определяют существующие риски и требования безопасности, предъявляемые к системе. Далее, аудитору требуется более детальная информация о структуре ИС. Это позволит уяснить, каким образом осуществляется распределение механизмов безопасности по структурным элементам и уровням функционирования ИС.

Используемые аудиторами методы анализа данных определяются выбранными подходами к проведению аудита, которые могут существенно различаться.

Первый подход, самый сложный, базируется на анализе рисков. Опираясь на методы анализа рисков, аудитор определяет для обследуемой ИС индивидуальный набор требований безопасности, в наибольшей степени учитывающий особенности данной ИС, среды ее функционирования и существующие в данной среде угрозы безопасности.

Второй подход, самый практичный, опирается на использование стандартов информационной безопасности. Стандарты определяют базовый набор требований безопасности для широкого класса ИС, который формируется в результате обобщения мировой практики. Стандарты могут определять разные наборы требований безопасности, в зависимости от уровня защищенности ИС, который требуется обеспечить, ее принадлежности (коммерческая организация либо государственное учреждение), а также назначения (финансы, промышленность, связь и т. п.). От аудитора в данном случае требуется правильно определить набор требований стандарта, соответствие которым нужно обеспечить.

Третий подход, наиболее эффективный, предполагает комбинирование первых двух. Базовый набор требований безопасности, предъявляемых к ИС, определяется стандартом. Дополнительные требования, в максимальной степени учитывающие особенности функционирования данной ИС, формируются на основе анализа рисков.

Рекомендации, выдаваемые аудитором по результатам анализа состояния ИС, определяются используемым подходом, особенностями обследуемой ИС, состоянием дел с информационной безопасностью и степенью детализации, используемой при проведении аудита. В любом случае, рекомендации аудитора должны быть конкретными и применимыми к данной ИС, экономически обоснованными, аргументированными (подкрепленными результатами анализа) и отсортированными по степени важности. При этом мероприятия по обеспечению защиты организационного уровня практически всегда имеют приоритет над конкретными программно—техническими методами защиты. В то же время наивно ожидать от аудитора, в качестве результата проведения аудита, выдачи технического проекта подсистемы информационной безопасности, либо детальных рекомендаций по внедрению конкретных программно—технических средств защиты информации. Это требует более детальной проработки конкретных вопросов организации защиты, хотя внутренние аудиторы могут принимать в этих работах самое активное участие.

Аудиторский отчет является основным результатом проведения аудита. Его качество характеризует качество работы аудитора. Он должен, по крайней мере, содержать описание целей проведения аудита, характеристику обследуемой ИС, указание границ проведения аудита и используемых методов, результаты анализа данных аудита, выводы, обобщающие эти результаты и содержащие оценку уровня защищенности АС или соответствие ее требованиям стандартов, и, конечно, рекомендации аудитора по устранению существующих недостатков и совершенствованию системы защиты.

Примечания

Литература

Ссылки

dic.academic.ru

Виды аудита информационной безопасности

Р. Просянников

Журнал «Connect!», 2004, №12

В настоящее время все более востребованной на рынке информационной безопасности становится услуга аудита. Однако, как показывает практика, и заказчики, и поставщики этой услуги зачастую суть аудита понимают по-разному. Данная статья дает подробную классификацию услуг аудита и акцентирует внимание на особенностях различных видов аудита. Кроме того, на основе имеющегося у автора опыта взаимодействия с заказчиками услуг аудита приведены главные критерии оптимального выбора и применения того или иного вида аудита.

Определение аудита

На данный момент в информационной безопасности нет устоявшегося определения аудита. Вот лишь несколько формулировок, используемых специалистами: «Аудит информационных систем — это проверка используемых компанией информационных систем, систем безопасности, систем связи с внешней средой, корпоративной сети на предмет их соответствия бизнес-процессам, протекающим в компании, а также соответствия международным стандартам, с последующей оценкой рисков сбоев в их функционировании» («Консалтинг и аудит в сфере ИТ 2004». CNews Analytics).

«Аудит информационной безопасности – системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности» («Аудит безопасности Intranet». С.А. Петренко. 2002 г.).

Таким образом, аудит в данном случае сводится к проверке системы информационной безопасности и сравнению результатов данной проверки с неким идеалом. Для различных видов аудита различается все три составляющие услуги аудита: средства и способы проверки, результат проверки и идеал, с которым сравнивается результат проверки.

АКТИВНЫЙ АУДИТ

Одним из самых распространенных видов аудита является активный аудит. Это исследование состояния защищенности информационной системы с точки зрения хакера (или некоего злоумышленника, обладающего высокой квалификацией в области информационных технологий). Зачастую компании-поставщики услуг активного аудита именуют его инструментальным анализом защищенности, чтобы отделить данный вид аудита от других.

Суть активного аудита состоит в том, что с помощью специального программного обеспечения (в том числе, с помощью систем анализа защищенности) и специальных методов осуществляется сбор информации о состоянии системы сетевой защиты. Под состоянием системы сетевой защиты понимаются лишь те параметры и настройки, использование которых помогает хакеру проникнуть в сети и нанести урон компании.

При осуществлении данного вида аудита на систему сетевой защиты моделируется как можно большее количество таких сетевых атак, которые может выполнить хакер. При этом аудитор искусственно ставится именно в те условия, в которых работает хакер, – ему предоставляется минимум информации, только та, которую можно раздобыть в открытых источниках. Естественно, атаки всего лишь моделируются и не оказывают какого-либо деструктивного воздействия на информационную систему. Их разнообразие зависит от используемых систем анализа защищенности и квалификации аудитора. Результатом активного аудита является информация обо всех уязвимостях, степени их критичности и методах устранения, сведения о широкодоступной информации (информация, доступная любому потенциальному нарушителю) сети заказчика.

По окончании активного аудита выдаются рекомендации по модернизации системы сетевой защиты, которые позволяют устранить опасные уязвимости и тем самым повысить уровень защищенности информационной системы от действий «внешнего» злоумышленника при минимальных затратах на информационную безопасность.

Однако без проведения других видов аудита эти рекомендации могут оказаться недостаточными для создания «идеальной» системы сетевой защиты. Например, по результатам данного вида аудита нельзя сделать вывод о корректности, с точки зрения безопасности, проекта информационной системы.

Активный аудит – услуга, которая может и должна заказываться периодически. Выполнение активного аудита, например, раз в год, позволяет удостовериться, что уровень системы сетевой безопасности остается на прежнем уровне.

Активный аудит условно можно разделить на два вида: «внешний» активный аудит и «внутренний» активный аудит.

При «внешнем» активном аудите специалисты моделируют действия «внешнего» злоумышленника. В данном случае проводятся следующие процедуры:

  • определение доступных из внешних сетей IP-адресов заказчика;
  • сканирование данных адресов с целью определения работающих сервисов и служб, определение назначения отсканированных хостов;
  • определение версий сервисов и служб сканируемых хостов;
  • изучение маршрутов прохождения трафика к хостам заказчика;
  • сбор информации об ИС заказчика из открытых источников;
  • анализ полученных данных с целью выявления уязвимостей.

«Внутренний» активный аудит по составу работ аналогичен «Внешнему», однако при его проведении с помощью специальных программных средств моделируются действия «внутреннего» злоумышленника.

Данное деление активного аудита на «внешний» и «внутренний» актуально для заказчика в следующих случаях:

  • у заказчика существуют финансовые ограничения в приобретении услуг и продуктов по защите информации;
  • модель злоумышленника, которую рассматривает заказчик, не включает «внутренних» злоумышленников;
  • в компании заказчика расследуется факт обхода системы сетевой защиты.

Сопроводительные услуги

Иногда в ходе активного аудита заказчику предлагается ряд дополнительных услуг, напрямую связанных с оценкой состояния системы информационной безопасности, в частности — проведение специализированных исследований.

Зачастую организация в своей информационной системе использует специализированное программное обеспечение (ПО) собственной разработки, предназначенное для решения нестандартных задач (например, корпоративный информационный портал, различные бухгалтерские системы или системы документооборота). Подобные ПО уникальны, поэтому каких-либо готовых средств и технологий для анализа защищенности и отказоустойчивости данного ПО не существует. В данном случае проводятся специализированные исследования, направленные на оценку уровня защищенности конкретного ПО.

Еще один вид услуг, предлагаемых в ходе активного аудита, — исследование производительности и стабильности системы, или стресс-тестирование. Оно направлено на определение критических точек нагрузки, при которой система вследствие атаки на отказ в обслуживании или повышенной загруженности перестает адекватно реагировать на легитимные запросы пользователей.

Стресс-тест позволит выявить «узкие» места в процессе формирования и передачи информации и определить те условия, при которых нормальная работа системы невозможна. Тестирование включает в себя моделирование атак на отказ в обслуживании, пользовательских запросов к системе и общий анализ производительности.

Одной из самых «эффектных» услуг является тест на проникновение (Penetration Testing), который во многом похож на «внешний» активный аудит, но по своей сути аудитом не является.

Основная цель данного тестирование – демонстрация «успехов», которых может достигнуть хакер, действующий при текущем состоянии системы сетевой защита. Результаты данной услуги более наглядны, чем результаты аудита. Однако ей свойственны множество ограничений и особенностей. Например, особенность технического характера: заказчик информируется только о факте уязвимости системы сетевой защиты, в то время как в результатах «внешнего» активного аудита заказчику сообщается не только факт уязвимости сети, но и информация обо всех уязвимостях и способах их устранения.

ЭКСПЕРТНЫЙ АУДИТ

Экспертный аудит можно условно представить как сравнение состояния информационной безопасности с «идеальным» описанием, которое базируется на следующем:

  • требования, которые были предъявлены руководством в процессе проведения аудита;
  • описание «идеальной» системы безопасности, основанное на аккумулированном в компании-аудиторе мировом и частном опыте.

При выполнении экспертного аудита сотрудники компании-аудитора совместно с представителями заказчика проводят следующие виды работ:

  • сбор исходных данных об информационной системе, об её функциях и особенностях, используемых технологиях автоматизированной обработки и передачи данных (с учетом ближайших перспектив развития);
  • сбор информации об имеющихся организационно-распорядительных документах по обеспечению информационной безопасности и их анализ;
  • определение точек ответственности систем, устройств и серверов ИС;
  • формирование перечня подсистем каждого подразделения компании с категорированием критичной информации и схемами информационных потоков.

Один из самых объемных видов работ, которые проводятся при экспертном аудите, – сбор данных об информационной системе путем интервьюирования представителей заказчика и заполнения ими специальных анкет.

Основная цель интервьюирования технических специалистов — сбор информации о функционировании сети, а руководящего состава компании – выяснение требований, которые предъявляются к системе информационной безопасности.

Необходимо отметить, что при экспертном аудите безопасности информационной системы учитываются результаты предыдущих обследований (в том числе других аудиторов), выполняются обработка и анализ проектных решений и других рабочих материалов, касающихся вопросов создания информационной системы.

Ключевой этап экспертного аудита — анализ проекта информационной системы, топологии сети и технологии обработки информации, в ходе которого выявляются, например, такие недостатки существующей топологии сети, которые снижают уровень защищенности информационной системы.

По результатам работ данного этапа предлагаются изменения (если они требуются) в существующей информационной системе и технологии обработки информации, направленные на устранение найденных недостатков с целью достижения требуемого уровня информационной безопасности.

Следующий этап – анализ информационных потоков организации. На данном этапе определяются типы информационных потоков ИС организации и составляется их диаграмма, где для каждого информационного потока указывается его ценность (в том числе ценность передаваемой информации) и используемые методы обеспечения безопасности, отражающие уровень защищенности информационного потока.

На основании результатов данного этапа работ предлагается защита или повышение уровня защищенности тех компонент информационной системы, которые участвуют в наиболее важных процессах передачи, хранения и обработки информации. Для менее ценной информации уровень защищенности остается прежним, что позволяет сохранить для конечного пользователя простоту работы с информационной системой.

Применение анализа информационных потоков организации позволяет спроектировать систему обеспечения информационной безопасности, которая будет соответствовать принципу разумной достаточности.

В рамках экспертного аудита производится анализ организационно-распорядительных документов, таких как политика безопасности, план защиты и различного рода инструкции. Организационно-распорядительные документы оцениваются на предмет достаточности и непротиворечивости декларируемым целям и мерам информационной безопасности. Особое внимание на этапе анализа информационных потоков уделяется определению полномочий и ответственности конкретных лиц за обеспечение информационной безопасности различных участков/подсистем ИС. Полномочия и ответственность должны быть закреплены положениями организационно-распорядительных документов.

Результаты экспертного аудита могут содержать разноплановые предложения по построению или модернизации системы обеспечения информационной безопасности, например:

  • изменения (если они требуются) в существующей топологии сети и технологии обработки информации;
  • рекомендации по выбору и применению систем защиты информации и других дополнительных специальных технических средств;
  • предложения по совершенствованию пакета организационно-распорядительных документов;
  • предложения по этапам создания системы информационной безопасности;
  • ориентировочные затраты на создание или совершенствование СОИБ (включая техническую поддержку и обучение персонала).

АУДИТ НА СООТВЕТСТВИЕ СТАНДАРТАМ

Суть данного вида аудита наиболее приближена к тем формулировкам и целям, которые существуют в финансовой сфере — при проведении данного вида аудита состояние информационной безопасности сравнивается с неким абстрактным описанием, приводимым в стандартах.

Официальный отчет, подготовленный в результате проведения данного вида аудита, включает следующую информацию:

  • степень соответствия проверяемой информационной системы выбранным стандартам;
  • степень соответствия собственным внутренним требованиям компании в области информационной безопасности;
  • количество и категории полученных несоответствий и замечаний;
  • рекомендации по построению или модификации системы обеспечения информационной безопасности, позволяющие привести её в соответствие с рассматриваемым стандартом;
  • подробная ссылка на основные документы заказчика, включая политику безопасности, описания процедур обеспечения информационной безопасности, дополнительные обязательные и необязательные стандарты и нормы, применяемые к данной компании.

Ниже перечислены примеры стандартов, на соответствие которым проводится аудит системы информационной безопасности:

  • существующие руководящие документы Гостехкомиссии:
    • «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (далее — РД для АС).
    • «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К).
    • «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» (ГОСТ Р ИСО/МЭК 15408-2002 или «Общие критерии»).
  • Зарубежные и международные стандарты:
    • Международный стандарт ISO/IEC 17799 «Информационные технологии. Управление информационной безопасностью» (Information Technology — Information Security Management). На сегодняшний день является одним из самых распространенных и широко применяемым стандартом во всем мире.
    • Международный стандарт WebTrust. Применим для подтверждения высокого уровня защищенности системы электронной коммерции и web-сервисов.

Причины проведения аудита на соответствие стандарту (и сертификации) можно условно разделить по степени обязательности данной услуги по отношению к компании: обязательная сертификация; сертификация, вызванная «внешними» объективными причинами; сертификация, позволяющая получить выгоды в долгосрочной перспективе; добровольная сертификация. Государственные организации, которые обрабатывают сведения, составляющие государственную тайну, в соответствии с российским законодательством обязаны проводить аттестацию информационной системы (во многом процедура аналогична сертификации). Однако такие организации чаще всего пользуются не услугой аудита на соответствие стандартам, а в обязательном порядке проводят аттестацию собственных информационных систем при участии аттестационных центров.

Учитывая распространенности услуги аттестации и многолетнего опыта работы аттестационных центров, услуга аудита на соответствие РД для АС по трудозатратам аудитора, а, значит, и по стоимости, приравнивается к услуге аттестации, поэтому клиенту выгодно приобретать именно последнюю.

Среди государственных организаций (а также среди «полугосударственных» — организаций с большой долей уставного капитала, принадлежащего государству) велика доля тех, кто в соответствии с законодательством не обязан проводить аттестацию информационной системы. Для них аудит на соответствие стандартам более актуален. Чаще всего его проводит компания-интегратор, которая имеет большой опыт успешного взаимодействия с компанией-заказчиком. При необходимости в качестве субподрядчиков привлекаются аттестационные центры.

В последнее время все большее количество компаний рассматривают получение сертификата, подтверждающего высокий уровень информационной безопасности, как «козырь» в борьбе за крупного клиента или делового партнера. В этом случае целесообразно проведение аудита и последующей сертификации на соответствие тем стандартам, которые являются значимыми для клиента или делового партнера.

Иногда руководство компании проявляет инициативу по сертификации системы информационной безопасности. Для таких организаций важны не только защита собственных ресурсов, но и подтверждение со стороны независимого эксперта (в роли которого выступает компания-аудитор) высокого уровня защиты.

В заключение отметим, что при планировании проверки состояния системы информационной безопасности важно не только точно выбрать вид аудита, исходя из потребностей и возможностей компании, но и не ошибиться с выбором исполнителя.

Как уже было сказано, результаты любого вида аудита содержат рекомендации по модернизации системы обеспечения информационной безопасности.

Если аудит проводит консалтинговая компания, которая кроме консалтинговой деятельности занимается еще и разработкой собственных систем защиты информации, она, по понятным причинам, заинтересована в том, чтобы результаты аудита рекомендовали заказчику использовать её продукты.

Для того чтобы рекомендации на основе аудита были действительно объективными, необходимо, чтобы компания-аудитор была независима в выборе используемых систем защиты информации и имела большой опыт работы в области информационной безопасности.

Об авторе: Роман Просянников, ведущий специалист ЗАО «АНДЭК»

Источник — Andek.Ru

Смотрите также:

www.egrul.ru

К вопросу о проведениии внутреннего аудита системы менеджмента информационной безопасности

|К ВОПРОСУ О ПРОВЕДЕНИИИ ВНУТРЕННЕГО АУДИТА СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Агафонова Маргарита Евгеньевна, МИЭТ, г.Зеленоград,

[email protected]

Шахалов Игорь Юрьевич, МГТУ им.Н.Э.Баумана, Москва,

[email protected]

Рассмотрены проблемные вопросы проведения внутреннего аудита СМИБ. Проанализированы основные этапы аудита, такие как: анализ на соответствие требованиям документации, внедрения системы управления, планирования и подготовки, а также совершенствования. Показано, что на основе проведенного анализа этапов аудита СМИБ может быть разработана методика проведения комплексного аудита предприятия на соответствие выбранной группе требований.

Ключевые слова: информационная безопасность, система управления информационной безопасностью, внутренний аудит.

The problems of internal audit information security management system are considered. The main stages of the audit, such as analysis for compliance documentation management system implementation, planning, preparation and improvement are analyzed. It is shown that on the basis of the analysis of the stages of audit information security management system can be developed for a comprehensive audit methodology for compliance requirements of the selected group.

Keywords: information security, information security management system, internal audit.

В настоящее время вопросы проведения внутреннего аудита систем менеджмента информационной безопасности (СМИБ) становятся достаточно актуальными [5,6,11]. С ростом стоимости ресурсов компании и усложнением операций (целенаправленных процессов) требуется все большее количество затрат для построения комплексной (интегрированной) системы менеджмента. Данную систему необходимо подвергать аудиту на соответствие требованиям информационной безопасности. Опыт проведения внутреннего аудита СМИБ позволил выявить ряд практических приемов, которые будет приведены ниже по тексту.

GUIDELINES FOR THE INTERNAL AUDIT OF INFORMATION SECURITY MANAGEMENT SYSTEM

Margarita Agafonova, MIET, Zelenograd, [email protected] Igor Shakhalov, Bauman MSTU, Moscow,

[email protected]

Введение

К вопросу о проведениии внутреннего аудита...

Основы аудита информационной безопасности

Аудит СМИБ позволяет определить наиболее уязвимые места в защите компании, помогает оценить эффективность действующих организационно-технических мер по защите информационной системы организации. Уровень обеспечения информационной безопасности различается в зависимости от конкретно рассматриваемой компании, но должен соответствовать некоторому минимальному набору требований безопасности. Данные требования, вырабатывались в течение многих лет компаниями-разработчиками и исследовательскими институтами, а также профессионалами в области защиты информации объединяются в своды правил и стандартизируются на государственном уровне. Сегодня существует ряд стандартов в области информационной безопасности, наиболее известны - международный стандарт ISO/IEC 27001:2005, содержащий требования по созданию СМИБ компании, и «производные» от него [2,4,11].

Основной задачей аудита является подтверждение конфиденциальности, целостности и доступности информации, обрабатывающейся в корпоративной системе предприятия.

Аудит на соответствие требованиям информационной безопасности - это комплексный, циклический процесс, который состоит из следующих этапов:

- планирование аудита;

- планирование мероприятий по аудиту (разработка, согласование и утверждение планов мероприятий);

- проверка на соответствие группе требований (например, на соответствие стандарту ISO/IEC 27001:2005);

- систематизация результатов обследования и формирование отчетности.

Эти четыре этапа составляют жизненный цикл аудита. Рассмотрим их подробнее.

Жизненный цикл аудита информационной безопасности

Наиболее сложным этапом является практическое проведение аудита, так как российских стандартов в этой области нет, следовательно, законодательной базой, которая легла бы в основу методики поведения аудита СМИБ, могут стать стандарты серии ISO 270xx, часть из которых адаптирована в России. Рассмотрим более подробно указанный выше этап.

Непосредственно перед проведением аудита аудиторская группа должна иметь четко сформулированные задачи аудита и его область, критерии аудита, документы различных уровней (политики, процедуры, инструкции, стандарты организации и др.), перечень процессов и активов компании, подлежащих проверке, согласованную программу аудита от проверяемой организации, подтверждение проведения аудита.

Аудит начинается со вступительного совещания с представителями организации, на котором обсуждается повестка дня, программа аудита. После этого аудиторы начинают проверять организацию. Аудит документации является первым этапом проверки на соответствие требования. Вначале проверяются документы верхнего уровня: политика информационной безопасности или концепция информационной безопасности, частные политики, стандарты организации. Перечисленные документы должны отражать не только идеологию организации в целом в области информационной безопасности, но и отражать распределение ответственности между сотрудниками и руководством организации. Обязательно необходимо проверять осведомленность о содержании этих документов у сотрудников проверяемой организации и понимание целей, принципов и обязательства по защите акти-

УДК 621.322

вов организации, используемых конкретным подразделением компании. Проверку документов нижних уровней целесообразно проводить на месте, т.е. при проверке конкретных процессов или мер по обеспечению безопасности.

Аудитор должен поочередно пройти каждое заявленное в программе подразделение и проверить выполнение необходимых требований. В ходе проверки может быть использовано интервьюирование, частичная проверка процесса, проверка с помощью выборки (проверка выполнение в определенные промежутки времени), либо полная проверка всех составляющих процесса.

При рассмотрении стандарта ГОСТ Р ИСО/МЭК 27001-2006 - российского аналога 150/!БС 27001:2005 логичным будет анализ доменов, приведенных в стандарте:

- уязвимости политики безопасности;

- уязвимости организационных мер;

- уязвимости классификации и контроля ресурсов;

- уязвимости процедур, связанных с персоналом;

- уязвимости физической безопасности;

- уязвимости эксплуатации систем;

- уязвимости контроля доступа;

- уязвимости обслуживания и разработки систем;

- уязвимости обеспечения непрерывности бизнеса;

- уязвимости инцидентов информационной безопасности [1,3].

В процессе аудита важным фактором является сбор фактов и свидетельств для последующего анализа и отчета. Свидетельства всегда должны быть объективными, аудитор не должен использовать собственную фантазию для получения картины происходящего. Свидетельство может быть получено посредством наблюдения, измерения, испытания или любым другим разумным способом. Хорошей практикой является открытость аудитора и умение задавать правильные вопросы, которые мотивируют интервьюируемого рассказать о процессе либо пояснить требуемые детали.

Свидетельства аудита используются для описания несоответствий, формирования заключений и рекомендаций. Так как при проверке зачастую анализируются результаты предыдущих аудитов, то собранные свидетельства о несоответствиях должны быть прослеживаемыми и легко восстанавливаемыми для аудиторов в одной области.

В ходе аудита должен быть проведен анализ рисков организации. Может быть применен аналитический и инструментальный анализ локальной вычислительной сети и информационных ресурсов организации, с целью выявления угроз и уяз-вимостей защищаемых активов [8]. Проведение консультаций со специалистами организации и оценка соответствия фактического уровня безопасности. Расчет рисков, определение текущего и допустимого уровня риска для каждого конкретного актива. Ранжирование рисков, выбор комплексов мероприятий (контролей) по их снижению и расчет теоретической эффективности внедрения

После проверки всех бизнес-процессов, заявленных в программе аудита, составляется отчет по выявленным несоответствиям. В нем отражаются все несоответствия, какая-либо двусмысленность недопустима. Он детализирован: все собранные факты по каждому процессу или пункту стандарта полностью отражены. Отчет по несоответствиям должен быть тщательно проверен на наличии ошибок и неточностью и по возможности не иметь объемов, соизмеримых с научными энциклопедиями.

Далее составляется комплексный отчет по проведенному аудиту. Он может содержать рекомендации по устранению несоответствий и календарных план работ по улучшению СМИБ.

Завершить аудит рекомендуется заключительном совещанием, на котором подводятся итоги аудита, обсуждаются спорные вопросы, возникшие в ходе проведения проверки, согласовываются сроки устранения замечаний. Важно получить подтверждение понимания необходимости улучшения СМИБ и согласовать сроки начала и завершения работ по устранению несоответствий.

Аудит на соответствие требованиям информационной безопасности - важный процесс, так как помогает предотвратить возможное хищение или утерю информации или выявить уже имеющиеся каналы. Но для его успешного проведения необходимо тщательное планирование. Общий процесс планирования аудита будет рассмотрен ниже.

Выбор аудитора/группы аудиторов. Ключевым фактором при подборе экспертов для проведения внешнего аудита является то, что он должен быть независимым от проверяемой организации. В крупных организациях это могут быть специальные сотрудники, занимающиеся аудитом, либо консалтинговые организации, основная деятельность которых, является проведение аудита систем управления информационной безопасностью. В группу аудиторов могут приглашаться технические эксперты, которые будут проверять правильность настройки и функционирования конкретного оборудования и программного обеспечения [10].

При выборе аудиторов организация должна проверить, что они прошли соответствующую подготовку и имеют навыки, необходимые для проведения аудита. Основные темы, включенные в подготовку аудитора:

- знание и понимание требований информационной безопасности;

- знание методов исследования, опроса, оценивания и отчетности;

- знание методов проведения аудита информационной безопасности;

- дополнительные навыки управления аудитом, такие как планирование, организация, общение с высшим руководством.

Отправка «опросной» формы. Аудиторы должны до проведения предварительной встречи провести анкетный опрос организации. Данная анкета должна выявить основную информацию об организации.

Определение продолжительности и стоимости аудита. На основании результатов, полученных на предыдущем этапе, аудиторы оценивают продолжительность и стоимость аудита организации. Данные сведения учитываются при составлении договора на проведение аудита СМИБ.

Составление плана аудита. Методика составления такого плана состоит из двух шагов:

1. Создание плана аудита;

2. Утверждение плана аудита.

В план аудита включаются процессы и виды деятельности. Кроме того, определяются проверяемые отделы, персонал для проведения опроса.

Поскольку план аудита является важным компонентом, он должен быть составлен ответственным лицом и утвержден высшим руководством.

Совещание с высшим руководством. На данной встрече должны быть обсуждены и утверждены следующие вопросы:

- административные, включающие обсуждение и утверждение контактного лица от организации для связи с аудитором до, во время и после проверки. Кроме

УДК 621.322

этого должен быть определен комплект документов, который организация должна заранее направить аудиторской группе.

- аспекты, касающиеся непосредственно аудита. К ним относятся: область аудита; временные рамки аудита; участие сотрудников; план аудита; отчетность; меры, принимаемые по итогам аудита, согласование плана аудита.

Заключение

Для успешного управления информационной безопасностью в организации различных отраслей и масштабов необходимо построение комплексной системы, которая объединяет и направляет основные бизнес-процессы и информационные потоки. Для подтверждения корректности внедрения и эксплуатации указанных систем необходимо проводить периодический аудит на соответствие требованиям информационной безопасности [9].

Опыт показал, что лучшей основой для составления методики является ГОСТ ИСО/МЭК 27001, который посредством использования цикла Деминга позволяет выделить основные области и требования для проведения аудита.

Предложенные рекомендации легли в основу разработки магистерской программа подготовки «Аудит информационной безопасности автоматизированных систем» [7].

Литература

1. Барабанов А.В. Стандартизация процесса разработки безопасных программных средств // Вопросы кибербезопасности. 2013. № 1(1). С. 37-41.

2. Дорофеев А.В. Огатус CISSP: как получить и не потерять? // Вопросы кибербезопасности. 2013. № 1(1). С. 65-68.

3. Марков А.С., Фадин А.А. Организационно-технические проблемы защиты от целевых вредоносных программ типа Stuxnet // Вопросы кибербезопасности. 2013. № 1(1). С. 28-36.

4. Марков А.С., Цирлов В.Л.. Управление рисками - нормативный вакуум информационной безопасности // Открытые системы. СУБД. 2007. №8. С. 63-67.

5. Матвеев В.А., Цирлов В.Л. Состояние и перспективы развития индустрии информационной безопасности Российской Федерации в 2014 г. // Вопросы кибербезопасности. 2013. № 1(1). С. 61-64.

6. Найханова И.В. Аудит систем менеджмента качества и информационной безопасности // Вестник Московского государственного технического университета им. Н.Э. Баумана. Серия: Приборостроение. 2011. № SPEC. С. 152-156.

7. Хорев А.А. Магистерская программа подготовки «Аудит информационной безопасности автоматизированных систем» // Безопасность информационных технологий. 2011. № 3. С. 82-88.

8. Хорев А.А. Угрозы безопасности информации // Специальная техника. 2010. № 1. С. 50-63.

9. Чобанян В.А., Шахалов И.Ю. Анализ и синтез требований к системам безопасности объектов критической информационной инфраструктуры // Вопросы кибербезопасности. 2013. № 1(1). С. 17-27.

10. Шахалов И.Ю. Лицензирование деятельности по технической защите конфиденциальной информации // Вопросы кибербезопасности. 2013. № 1(1). С. 49-54.

11. Шахалов И.Ю., Дорофеев А.В. Основы управления информационной безопасностью современной организации // Правовая информатика. 2013. № 3. С. 4-14.

References

1. Barabanov A.V. Standartizatsiya protsessa razrabotki bezopasnykh programmnykh sredstv , Voprosy kiberbezopasnosti, 2013, N 1(1), pp.37-41.

2. Dorofeev A.V. Ctatus CISSP: kak poluchit' i ne poteryat'?, Voprosy kiberbezopasnosti, 2013, N 1(1), pp. 65-68.

3. Markov A.S., Fadin A.A. Organizatsionno-tekhnicheskie problemy zashchity ot tselevykh vredonosnykh programm tipa Stuxnet, Voprosy kiberbezopasnosti, 2013, N 1(1), pp. 28-36.

4. Markov A.S., Tsirlov V.L.. Upravlenie riskami - normativnyy vakuum informatsionnoy bezopasnosti, Otkrytye sistemy. SUBD. 2007. N 8, pp. 63-67.

5. Matveev V.A., Tsirlov V.L. Sostoyanie i perspektivy razvitiya industrii informatsionnoy bezopasnosti Rossiyskoy Federatsii v 2014 g, Voprosy kiberbezopasnosti, 2013, N 1(1), pp.61-64.

6. Naykhanova I.V. Audit sistem menedzhmenta kachestva i informatsionnoy bezopasnosti, Vestnik Moskovskogo gosudarstvennogo tekhnicheskogo universiteta im. N.E. Baumana. Seriya: Priborostroenie, 2011, Spec, pp. 152-156.

7. Khorev A.A. Magisterskaya programma podgotovki «Audit informatsionnoy bezopasnosti avtomatizirovannykh sistem», Bezopasnost' informatsionnykh tekhnologiy. 2011. N 3, pp. 82-88.

8. Khorev A.A. Ugrozy bezopasnosti informatsii, Spetsial'naya tekhnika. 2010. N 1, pp. 50-63.

9. Chobanyan V.A., Shakhalov I.Yu. Analiz i sintez trebovaniy k sistemam bezopasnosti ob''ektov kriticheskoy informatsionnoy infrastruktury , Voprosy kiberbezopasnosti, 2013, N 1(1), pp.17-27.

10. Shakhalov I.Yu. Litsenzirovanie deyatel'nosti po tekhnicheskoy zashchite konfidentsial'noy informatsii, Voprosy kiberbezopasnosti, 2013, N 1(1), pp.49-54.

11. Shakhalov I.Yu., Dorofeev A.V. Osnovy upravleniya informatsionnoy bezopasnost'yu sovremennoy organizatsii, Pravovaya informatika, 2013, N 3, pp. 4-14.

cyberleninka.ru


Смотрите также