Аудит информационной безопасности

Автор: Останина Е.В., Паксеев О.Г.

Журнал: Теория и практика современной науки @modern-j

Рубрика: Основной раздел

Статья в выпуске: 1 (7), 2016 года.

Бесплатный доступ

В данной статье рассматривается аудит информационной безопасности (ИБ). Дается описание видов, этапов и целей ИБ. В статье приведена обобщенная информация об аудите информационной безопасности в целом. Изложенная информация позволит оценить текущую информационную безопасность своего предприятия и принять решение о проведении аудита.

Информационная система, аудит информационной безопасности, аудит, этапы аудита, виды аудита, цели аудита

Короткий адрес: https://sciup.org/140267198

IDR: 140267198

Текст научной статьи Аудит информационной безопасности

Сегодня информационные системы (ИС) занимают одно из главных мест в работе предприятий. Их применяют для сбора, хранения, обработки и передачи    информации. Для того чтобы защитить ИС от информационных атак, которые несут в себе материальные и финансовые потери, используют аудит информационной безопасности [4].

Аудит Информационной Безопасности (ИБ) - это исследование и оценка текущего состояния безопасности и защищенности информационных ресурсов и ИС предприятия, на соответствие действующим стандартам и требованиям, а также возможность формирования профессионального аудиторского суждения о состоянии ИБ предприятия [2].

При помощи аудита ИБ можно найти решение следующим задачам, например, получить независимую оценку защищённости предприятия в сфере информационной безопасности, узнать об угрозах, которые актуальны для предприятия в данный момент, а так же сформировать стратегию по усилению безопасности предприятия, при помощи разработки новых мер и средств защиты [5],[1].

Целями аудита информационной безопасности являются анализ возможных угроз безопасности ИС предприятия; определение текущего уровня защищенности ИС; оценка соответствия ИС законодательным требования, нормативным документам и стандартам; выработка рекомендаций по повышению эффективности существующих механизмов безопасности ИС [5].

Аудит ИБ подразделяется на следующие виды [3],[4]:

  •    Экспертный аудит защищенности ИС - вид аудита, в ходе которого проводится подробное исследование системы защиты ИС предприятия и сравнение её с идеальной моделью, а так же на основе опыта экспертов выявляются недостатки в системе мер защиты информации.

  •    Оценка соответствия рекомендациям, требованиям документов и стандартов (например, международного стандарта ISO 17799, критериям оценки безопасности информационных технологий (ГОСТ Р ИСО/МЭК 15408-2002).

  •    Инструментальный анализ защищенности ИС – вид аудита направленный на исследование защищённости ИС, обнаружение и ликвидация угроз и уязвимостей программного и аппаратного обеспечения системы.

  •    Комплексный аудит – вид аудита, включающий в себя все формы проведения исследования ИС предприятия, перечисленные выше.

В зависимости от задач и целей, которые ставит перед собой предприятие, могут применяться любые из выше перечисленных видов аудита как по отдельности так и в комплексе.

Аудит ИБ состоит из четырёх этапов, направленных на решение определенных задач.

Первый этап это разработка регламента проведения аудита. На данном этапе разрабатывается регламент, устанавливающий состав и порядок проведения работ; проводится определение границ проведения аудита; определение рабочей группы проекта; разработка календарного плана проведения аудита и др.

Второй этап это сбор исходных данных. На данном этапе осуществляется запрос необходимой информации; проведение анкетирования и интервьюирования сотрудников; анализ бизнес-процессов и целей компании; выделение основных информационных активов; идентификация основных информационных потоков; обследование ИТ-инфраструктуры и имеющихся механизмов защиты информации; инструментальное сканирование; осмотр помещений и пр.

Третий этап это анализ полученных данных. На данном этапе проводится анализ и сведение собранных данных с целью оценки текущего уровня защищённости и выявление проблем; формализация данных в виде отчета; обучение сотрудников при необходимости.

На четвертом этапе на основе проведенного анализа проводится разработка рекомендаций по повышению уровня защищённости автоматизированной системы от угроз информационной безопасности.

Для минимизацию выявленных рисков рекомендуется:

  •    уменьшение риска за счёт использования дополнительных организационных и технических средств защиты, позволяющих снизить вероятность проведения атаки или уменьшить возможный ущерб от неё;

  •    уклонение от риска путём изменения схемы информационных потоков автоматизированной системы, что позволяет исключить возможность проведения той или иной атаки;

  •    изменение характера риска в результате принятия мер по страхованию;

  •    принятие риска в том случае, если он уменьшен до того уровня, на котором он не представляет опасности для автоматизированной системы.

Результатом аудита информационной безопасности является создание документа, который содержит детальную информацию, включающую [4],:

  •    описание границ, в рамках которых был проведён аудит ИБ;

  •    описание структуры автоматизированной системы предприятия;

  •    методы и средства, которые использовались в процессе аудита;

  •    описание выявленных уязвимостей и недостатков, включая уровень их риска;

  •    рекомендации по совершенствованию комплексной системы обеспечения информационной безопасности;

  •    предложения по плану реализации первоочередных мер, направленных на минимизацию выявленных рисков.

Аудит ИБ является наиболее эффективным инструментом для получения независимой и объективной оценки текущего уровня защищённости предприятия от угроз информационной безопасности. Кроме того, результаты аудита составляют основу для формирования стратегии развития системы обеспечения информационной безопасности предприятия. Для того чтобы аудит приносил реальную отдачу и способствовал повышению уровня информационной безопасности предприятия он должен проводиться на регулярной основе. И тогда на основании результатов аудита ИБ, организация сможет выстроить грамотную систему безопасности, минимизировать возможные риски информационной безопасности, а также повысить свой авторитет в глазах партнеров и клиентов [4].

Список литературы Аудит информационной безопасности

  • Что такое аудит информационной безопасности [Электронный ресурс]. - Режим доступа: http://www.1csoft.ru/publications/8144/5280848.html (дата обращения 06.01.2016).
  • Аудит информационной безопасности [Электронный ресурс]. - Режим доступа: http://www.pointlane.ru/security_a.html (дата обращения 04.01.2016).
  • Аудит информационной безопасности - основа эффективной защиты предприятия [Электронный ресурс]. - Режим доступа: http://dialognauka.ru/press-center/article/4753/ (дата обращения 04.01.2016).
  • Аудит информационной безопасности [Электронный ресурс]. - Режим доступа: http://www.sovit.net/articles/methodics/information_security_audit1.html (дата обращения 05.01.2016).
  • Аудит информационной безопасности [Электронный ресурс]. - Режим доступа: http://astrum-it.ru/service.php?id=12.html (дата обращения 04.01.2016).
Статья научная