- •Организация и проведение аудита безопасности информации в организции
- •Введение
- •Вопрос 1. Цели и задачи аудита информационной безопасности организации
- •Вопрос 1.1. Задачи, решаемые при проведении аудита информационной безопасности
- •Вопрос 1.2. Цели аудита информационной безопасности
- •Вопрос 1.3. Понятие контролируемых параметров
- •Вопрос 2. Классификация видов аудита информационной безопасности организации
- •Вопрос 2.1. Пассивный аудит
- •Вопрос 2.2. Активный аудит
- •Вопрос 2.3. Экспертный аудит
- •Вопрос 2.4. Аудит на соответствие стандартам
- •Вопрос 3. Мероприятия по проведению аудита информационной безопасности организации
- •Вопрос 3.1. Инициирование процедуры аудита
- •Вопрос 3.2. Сбор исходных данных
- •Вопрос 3.3. Анализ данных аудита
- •Вопрос 3.4. Использование методов анализа рисков
- •Вопрос 3.5 Оценка соответствия требованиям стандарта
- •Вопрос 3.6. Выработка рекомендаций
- •Вопрос 3.7. Подготовка отчетных документов
Вопрос 1. Цели и задачи аудита информационной безопасности организации
Вопрос 1.1. Задачи, решаемые при проведении аудита информационной безопасности
Основная задача аудита – объективно оценить, насколько текущее состояние информационной безопасности организации соответствует предъявляемым требованиям и стандартам БИ, а также задачам бизнеса по увеличению эффективности и рентабельности экономической деятельности компании.
Таким образом, задачи, решаемые при проведении аудита, можно разбить на две группы:
задачи, связанные с бизнес-процессами компании;
технические задачи, связанные с особенностями функционирования сети связи и КИС оператора.
В первой группе задач аудиту подвергаются бизнес-процессы, а во второй — технологические процессы обмена информацией, которые отражают сами бизнес-процессы.
Детализируя задачи аудита БИ, можно выделить три главные задачи, решаемые в процессе его проведения:
оценка текущей безопасности функционирования сети связи и корпоративной информационной системы;
прогноз рисков, а также создание системы управления их влиянием на бизнес-процессы компании;
технически корректный и экономически обоснованный подход к вопросу обеспечения безопасности информационных активов компании.
В ходе аудита решаются также частные задачи, которые по своей сути являются вспомогательными для решения упомянутых выше главных задач:
сбор и анализ исходных данных об организационной и функциональной структуре компании, необходимых для оценки состояния БИ;
анализ существующей политики обеспечения БИ на предмет полноты и эффективности;
построение модели нарушителей БИ;
построение модели угроз БИ ресурсов ИС, а также уязвимостей в существующей системе защиты, которые делают возможной реализацию угроз БИ;
анализ информационных и технологических рисков, связанных с осуществлением угроз БИ;
осуществление тестовых попыток несанкционированного доступа к критически важным узлам информационной системы и определение уязвимостей в установках защиты данных узлов;
формирование рекомендаций по разработке (или доработке) политики обеспечения БИ на основе анализа существующего режима БИ;
формирование предложений по использованию существующих и установке дополнительных средств защиты информации для повышения уровня надежности и безопасности информационной системы компании.
Вопрос 1.2. Цели аудита информационной безопасности
Согласно определению аудита информационной безопасности результат аудита – структурированная детальная информация о состоянии БИ в информационной системе, представленная в форме отчетов и рекомендаций.
При этом проведение аудита информационной безопасности не является самоцелью. Главная цель аудита информационной безопасности – получение оценки состояния безопасности информации в организации и разработка рекомендаций по применению комплекса организационных мер и программно-технических средств, направленных на обеспечение защиты информационных и других ресурсов ИС от угроз безопасности информации, связанных с нарушением доступности, целостности и конфиденциальности информации.
В подавляющем большинстве случаев аудит БИ является начальным этапом работ по созданию (модернизации или реорганизации) комплексной системы (подсистемы) информационной безопасности организации (защиты информации).
В результате аудит БИ позволяет принять обоснованные решения по использованию мер защиты, необходимых для отдельно взятой организации, оптимальных в соотношении их стоимости и возможности осуществления угроз нарушения БИ.
В отчетных материалах по аудиту должны содержаться ответы на следующие вопросы:
Соответствует ли корпоративная система БИ целям и задачам организации?
Насколько адекватна принятая политика безопасности целям и задачам организации?
Как корректно контролировать реализацию и выполнение политики безопасности в организации?
Когда необходимо провести модернизацию системы защиты информации и как обосновать необходимость модернизации и затрат на неё?
Как быстро окупятся инвестиции в систему защиты информации?
Насколько правильно и корректно сконфигурированы и настроены штатные средства обеспечения защиты информации в организации?
Эффективно ли справляются со своими задачами существующие в организации средства защиты: межсетевые экраны (firewalls), системы обнаружения вторжений (IDS), система антивирусной защиты, VPN-шлюзы?
Как решаются вопросы обеспечения конфиденциальности, доступности и целостности информации при реализации бизнес-процессов?
Как обеспечить необходимую в деятельности организации «вертикаль власти» для осуществления централизованного управления безопасностью информации?
Как контролировать состояние информационной безопасности организации и какие методы и средства необходимо использовать для осуществления контроля?
Существуют ли стратегический и тактические планы развития системы защиты информации в организации?
Есть ли необходимость постоянно обучать сотрудников службы информационной организации и, если есть, какие бюджетные средства для этого нужны?
Как управлять информационными рисками организации и какие инструментальные средства для этого необходимо задействовать?