Как провести аудит информационной безопасности

Юриспруденция

На предприятии должен проводиться аудит информационной безопасности. Рассмотрим, для чего это нужно и как осуществить проверку. Почти вся деятельность организаций связана с компьютерными обработками сведений.

Растет количество и объем операций, требующих широкого использования компьютеризированной информационной системы.

При наличии ошибок может блокироваться работа системы.

Может вызываться цепная реакция, в результате чего уменьшается доходность компаний и теряется их репутация. Именно поэтому стоит уделять особое внимание аудиту ИБ.

Что нужно знать ↑

Проведение аудита ИБ – важная процедура, при которой преследуются определенные цели и выполняется ряд задач.

Необходимые термины

Аудитом информационной безопасности называют системную процедуру, при которой получают объективные качественные и количественные оценки о текущем положении информационной безопасности предприятия.

При этом придерживаются определенных критериев и показателей безопасности. Под информационной безопасностью понимают сохранность информационных ресурсов и защиту законного права личности и общества в информационной отрасли.

Зачем это нужно?

С помощью аудита можно дать оценку текущей безопасности работы информационной системы, оценку и прогнозирования рисков, управлять их воздействием на бизнес-процесс.

При грамотном проведении проверки возможна максимальная отдача от средств, что инвестируются в создание и обслуживание системы безопасности компании.

Цель осуществления аудиторской процедуры:

  • анализ риска;
  • оценивание текущих уровней защищенности информационной системы;
  • локализация узкого места в защитной системе;
  • дать рекомендации, как внедрить и повысить эффективность механизма безопасности информационной системы.

Задача:

  • разработать политику безопасности по защите данных;
  • установить задачи для ИТ-сотрудников;
  • разбирать инциденты, что связаны с нарушениями информационной безопасности.

Правовое регулирование

Главные законодательные положения:

  1. ФЗ от 27 июля 2006 № 152.
  2. Постановление властей России от 1 ноября 2012 № 1119.
  3. Приказ от 18 февраля 2013 № 21.
  4. Методическая документация.

Аудит информационной безопасности предприятия ↑

Основное направление проверки информационной безопасности:

Аттестация
  • аттестуются автоматизированные системы, средства связи, обработки и передачи данных;
  • аттестуются помещения, что используются при ведении переговоров;
  • аттестуются технические средства, что устанавливаются в выделенном помещении
Контроль защищенных данных
  • выявляются технические каналы утечки данных;
  • контролируется эффективность используемых средств защищенности данных
Специальное исследование средств технического характера
  • исследуется ЭВМ, средство связи и обработки данных;
  • локальная вычислительная система;
  • оформляются результаты исследования согласно нормам Гостехкомиссии
Проектируются объекты в защищенных исполнениях
  • разрабатывается концепция безопасности информации;
  • проектируются автоматизированные системы, обработки данных в защищенных исполнениях;
  • проектируются помещения, что необходимы для осуществления переговоров

Применяемые методики

Возможно использование методики:

Экспертного аудита, при котором оценивают степень защиты того компонента информационной системы Состоит из нескольких стадий:

  • проведение анализа информационных систем;
  • анализируются значимые активы;
  • формируются модели угрозы, нарушителей;
  • анализируются требования к безопасности среды данных;
  • оценивается текущее состояние;
  • разрабатываются рекомендации по устранению недостатков;
  • создается отчетная рекомендация
Активного аудита При проведении теста возможна оценка защищенности информационных систем, обнаружение слабых мест, проверка надежности существующего механизма защиты систем от незаконных действий. Компания получает детальные отчеты с результатами анализа.Объект тестирования на проникновение – внешний сервер, сетевое оборудование, отдельный сервис.

Есть несколько видов тестирования:

  1. Метод «черного ящика». Тест проводится без наличия знания об объекте, что тестируется. Сведения собираются при помощи общего доступного источника.
  2. Метод «белого ящика». Объекты исследуются более детально. Могут запросить дополнительные документы, исходный код, доступы к объектам. Тестом моделируется ситуация, что возможна при утечках данных.
  3. Метод «серого ящика». Игнорируют известные данные и сочетают методы, что указаны выше.

Этапы проведения работ по тестам предусматривают:

  • осуществление анализа доступных сведений;
  • осуществление инструментального сканирования, когда применяются специализированные средства;
  • проведение детального анализа вручную;
  • проведение анализа и оценки недостатков
Проверка web–приложений Нужна, чтобы обнаружить и идентифицировать уязвимые места. Обязательно:

  • проведение автоматического сканирования;
  • использование метода черного и белого ящика;
  • оценивание риска;
  • подготовка рекомендаций;
  • реализация рекомендаций
Комплексного аудита Возможна систематизация угрозы безопасности информации и предоставление предложения по устранению недостатков. Осуществляется техническая проверка сетей, проводится тестирование на проникновение и т. д.
Аудита соответствия стандартам Анализируется и оценивается система управления риском безопасности информации, политика регламента, инструкций, принципы управления активами и сотрудниками
Это интересно:  Что нужно для регистрации ООО в квартире?

Составление плана

При проведении аудита информационной безопасности составляют план работ и определения целевой задачи. Заказчики и исполнители должны согласовать область и структуру компании, которую затрагивает проверка.

Оговаривают ответственность каждой стороны. В плане должна отражаться:

  • цель проверки;
  • критерии;
  • области проверки с учетом идентификации организационной и функциональной единицы и процесса, что подлежит аудиту;
  • дата и место проведения аудита;
  • длительность проверки;
  • роль и обязательства членов аудиторских групп и сопровождающих лиц.

Возможно также включение:

  • списка представителей проверяемого предприятия, что будет оказывать услуги сопровождения аудиторской группы;
  • разделов отчета;
  • технического обеспечения;
  • рассмотрения вопросов конфиденциальности;
  • сроков и целей следующей проверки информационной безопасности.

План анализируют и представляют проверяемому предприятию до того, как будет проводиться аудит. Пересмотренный документ согласовывают вовлеченной стороной до продолжения аудита.

Проведение внутреннего аудита

Аудит включает такие действия:

  • инициируется процесс (определяют и закрепляют в документации права и обязательства аудитора, готовится план проведения аудита);
  • собираются данные;
  • анализируется информация;
  • вырабатываются рекомендации;
  • готовится отчет.

Для осуществления аудита определяют критерии, что отражены в нормативной документации. Сначала организуют проверку, анализируют документы и осуществляют подготовку к аудиту ИБ на месте его осуществления.

Обязательно назначают руководство аудиторских групп, определяют цели и область проверки, возможности, устанавливают начальные контакты с аудируемым предприятием.

Нюансы для малого предприятия

На малом предприятии обеспечению информационной безопасности уделяют не так много внимания, как на крупных фирмах.

Хотя техническая ситуация является таковой, что защита ИБ необходима как раз для малых компаний. Такие предприятия имеют небольшой ИТ-бюджет, что позволил бы купить все оборудование, ПО.

Именно поэтому аудит позволил бы своевременно устанавливать уязвимые места, проверив:

  • как используется межсетевой экран для обеспечения безопасности информации;
  • обеспечено ли защиту электронной почты (есть ли необходимые антивирусы);
  • обеспечено ли антивирусную защиту;
  • как организовано работы в 1С предприятие;
  • как настроено ПК пользователей;
  • как используется Proxy-сервер;
  • обеспечено ли защиту информационной среды компании

При процедуре в банке

Есть 2 направления аудита информационной системы:

  • проверка вокруг ПК;
  • проверка с применением ПК.

Контроль может быть общим и прикладным. Общими считают операции, что обеспечивают уверенность в непрерывности работы компьютерной системы.

Осуществляются такие виды контроля:

  • организационный;
  • контроль компьютеров;
  • операционных системы;
  • контролирование доступа;
  • контроль помещения с техническими объектами;
  • разработок и поддержания функционирования систем.

Прикладным контролем называют запрограммированный процесс определенного прикладного программного обеспечения и ручные процессы.

Он необходим, чтобы обеспечить обоснованную уверенность в том, что автоматическая обработка информации является полной, точной и правильной.

Представлен:

  • контролем ввода (это самое слабое место в информационных системах);
  • обработок;
  • вывода.

Программа проверок информационной системы банковских учреждений включает:

Участие внутренних аудиторов При разработке систем и прикладного пакета программы
Обзор и подтверждение Проверяющим лицом изменений программного обеспечения
Проведение аудита внутреннего контроля И тестов с соблюдением постоянства и последовательности
Проверку документации компьютерного обеспечения Есть ли документы, обновляются ли они, отражают ли реальную ситуацию
Проведение проверок программного обеспечения На факт того, нет ли несанкционированных изменений, целостны ли сведения
Проведение оценки купленного программного обеспечения На соответствие описанию подготовленных систем
Ежеквартальная проверка и возобновление плана действий При форс-мажоре и критической ситуации
Это интересно:  Какие существуют виды налогового планирования в России

Чтобы не были допущены нежелательные проникновения и атаки в будущем, стоит:

Получить объективные данные О состоянии компонентов системы
Определить слабые места Чтобы можно было принять соответствующие меры
Дать оценку стоимости Развития систем обеспечения ИБ

Аудитор может проводить такие работы:

Анализировать штат и распорядительную документацию заказчиков В отрасли ИТ и защиты данных
Анализировать конфигурацию и топологию Автоматизированной системы и системы связи
Анализировать технические средства И системы, условия их размещения
Определять угрозу безопасности данных и моделей Возможных нарушителей относительно конкретных условий работы
Анализировать такие угрозы
Анализировать уязвимые места Сетевого оборудования

Организация для государственных информационных систем

Рассмотрим на примере школы. Осуществление аудита включает 3 стадии. Сначала учреждение должно представить все необходимые документы.

Определяют цель, задачи проверки, составляют договор с установлением прав и обязательств ответственного лица. Устанавливают, что будет входить в состав аудиторской группы. Составляют программ проверки.

Сама проверка осуществляется в соответствии с программой аудита, что разрабатывалась и согласовывалась с руководством школы.

Проверяется и оценивается, насколько качественны нормативные документы, эффективны технические меры по защите данных, а также действия сотрудников. Устанавливают:

  • правильно ли классифицировано ИСПДн;
  • достаточны ли представленные сведения;
  • выполняются ли требования по обеспечению безопасности информации.

При проведении технической проверки используют экспертные, экспертно-документальные, инструментальные методы. По итогам проверки готовят отчет, где прописаны недочеты и даны рекомендации по их устранению.

Сертификация систем менеджмента

Проверка и сертификация соответствия стандартам направлены на усовершенствование управление предприятием, укрепление доверия.

Хотя и установлено международные стандарты, на данный момент сертификацию на соответствие ISO 17799 не проводят, поскольку отсутствует его 2 часть с описанием сертификации соответствия британским стандартам BS 7799.

Проводят сертификацию на соответствие британским стандартам. Проверка соответствия стандартам осуществляется аудиторскими/консалтинговыми фирмами, что являются членами UKAS

Сертификаты по BS 7799-2 влияют на качество построения систем управления ИБ. Решается ряд технических вопросов.

Государственных стандартов на управление системами не принято, а значит, аналог – Специальные требования и рекомендации по защите сведений технического плана Гостехкомиссии России.

СТР-К рекомендованы, но не обязательны. В РФ нет предприятия со сертификатом BS 7799, хотя проверка осуществляется крупными аудиторскими организациями.

Оформление результатов

При завершении аудита составляется отчетный документ, что передается заказчикам. Отчет должен содержать такие сведения:

  • рамки регламент проведения аудита;
  • структуру информационной системы предприятия;
  • методы и средства, что применяются при проведении аудита;
  • описания обнаруженных уязвимых моментов и недостатков с учетом уровня их риска;
  • рекомендации по улучшению комплексных систем обеспечения ИБ;
  • предложения к планам реализации мероприятия, что должны минимизировать выявленные риски.

В отчете должна отражаться полная, четкая и точная информация по проверке безопасности информации. Указывается, где проводился аудит, кто является заказчиком и исполнителем, какова цель проверки.

Отчеты могут включать и такие данные:

  • план проверки;
  • список сопровождающих аудиторов лиц;
  • краткая суть процедуры, с учетом элемента неопределенности и проблем, что могут отражаться на надежности заключения по итогам проверки;
  • любые отрасли, что не охвачены проверкой и т. д.

Аудит информационной безопасности – это эффективный инструмент, который позволяет получить независимую и объективную оценку текущей стадии защищенности от ряда угроз.

Результат проверки даст основание для формирования стратегий развития систем по обеспечению ИБ компании.

Но стоит помнить, что аудит безопасности не является разовой процедурой.

Его проведение обязательно на постоянной основе. Только в таком случае будет реальная отдача и появится возможность усовершенствования безопасности информации.

Поделитесь в соц.сетях:

Похожие материалы

Добавить комментарий

Ваш адрес email не будет опубликован.