Аудит информационной безопасности

Сегодня информационные системы (ИС) занимают одно из главных мест в работе предприятий. Их применяют для сбора, хранения, обработки и передачи    информации. Для того чтобы защитить ИС от информационных атак, которые несут в себе материальные и финансовые потери, используют аудит информационной безопасности [4].

Аудит Информационной Безопасности (ИБ) - это исследование и оценка текущего состояния безопасности и защищенности информационных ресурсов и ИС предприятия, на соответствие действующим стандартам и требованиям, а также возможность формирования профессионального аудиторского суждения о состоянии ИБ предприятия [2].

При помощи аудита ИБ можно найти решение следующим задачам, например, получить независимую оценку защищённости предприятия в сфере информационной безопасности, узнать об угрозах, которые актуальны для предприятия в данный момент, а так же сформировать стратегию по усилению безопасности предприятия, при помощи разработки новых мер и средств защиты [5],[1].

Целями аудита информационной безопасности являются анализ возможных угроз безопасности ИС предприятия; определение текущего уровня защищенности ИС; оценка соответствия ИС законодательным требования, нормативным документам и стандартам; выработка рекомендаций по повышению эффективности существующих механизмов безопасности ИС [5].

Аудит ИБ подразделяется на следующие виды [3],[4]:

• •    Экспертный аудит защищенности ИС - вид аудита, в ходе которого проводится подробное исследование системы защиты ИС предприятия и сравнение её с идеальной моделью, а так же на основе опыта экспертов выявляются недостатки в системе мер защиты информации.

• •    Оценка соответствия рекомендациям, требованиям документов и стандартов (например, международного стандарта ISO 17799, критериям оценки безопасности информационных технологий (ГОСТ Р ИСО/МЭК 15408-2002).

• •    Инструментальный анализ защищенности ИС – вид аудита направленный на исследование защищённости ИС, обнаружение и ликвидация угроз и уязвимостей программного и аппаратного обеспечения системы.

• •    Комплексный аудит – вид аудита, включающий в себя все формы проведения исследования ИС предприятия, перечисленные выше.

В зависимости от задач и целей, которые ставит перед собой предприятие, могут применяться любые из выше перечисленных видов аудита как по отдельности так и в комплексе.

Аудит ИБ состоит из четырёх этапов, направленных на решение определенных задач.

Первый этап это разработка регламента проведения аудита. На данном этапе разрабатывается регламент, устанавливающий состав и порядок проведения работ; проводится определение границ проведения аудита; определение рабочей группы проекта; разработка календарного плана проведения аудита и др.

Второй этап это сбор исходных данных. На данном этапе осуществляется запрос необходимой информации; проведение анкетирования и интервьюирования сотрудников; анализ бизнес-процессов и целей компании; выделение основных информационных активов; идентификация основных информационных потоков; обследование ИТ-инфраструктуры и имеющихся механизмов защиты информации; инструментальное сканирование; осмотр помещений и пр.

Третий этап это анализ полученных данных. На данном этапе проводится анализ и сведение собранных данных с целью оценки текущего уровня защищённости и выявление проблем; формализация данных в виде отчета; обучение сотрудников при необходимости.

На четвертом этапе на основе проведенного анализа проводится разработка рекомендаций по повышению уровня защищённости автоматизированной системы от угроз информационной безопасности.

Для минимизацию выявленных рисков рекомендуется:

• •    уменьшение риска за счёт использования дополнительных организационных и технических средств защиты, позволяющих снизить вероятность проведения атаки или уменьшить возможный ущерб от неё;

• •    уклонение от риска путём изменения схемы информационных потоков автоматизированной системы, что позволяет исключить возможность проведения той или иной атаки;

• •    изменение характера риска в результате принятия мер по страхованию;

• •    принятие риска в том случае, если он уменьшен до того уровня, на котором он не представляет опасности для автоматизированной системы.

Результатом аудита информационной безопасности является создание документа, который содержит детальную информацию, включающую [4],:

• •    описание границ, в рамках которых был проведён аудит ИБ;

• •    описание структуры автоматизированной системы предприятия;

• •    методы и средства, которые использовались в процессе аудита;

• •    описание выявленных уязвимостей и недостатков, включая уровень их риска;

• •    рекомендации по совершенствованию комплексной системы обеспечения информационной безопасности;

• •    предложения по плану реализации первоочередных мер, направленных на минимизацию выявленных рисков.

Аудит ИБ является наиболее эффективным инструментом для получения независимой и объективной оценки текущего уровня защищённости предприятия от угроз информационной безопасности. Кроме того, результаты аудита составляют основу для формирования стратегии развития системы обеспечения информационной безопасности предприятия. Для того чтобы аудит приносил реальную отдачу и способствовал повышению уровня информационной безопасности предприятия он должен проводиться на регулярной основе. И тогда на основании результатов аудита ИБ, организация сможет выстроить грамотную систему безопасности, минимизировать возможные риски информационной безопасности, а также повысить свой авторитет в глазах партнеров и клиентов [4].