- •Организация и проведение аудита безопасности информации в организции
- •Введение
- •Вопрос 1. Цели и задачи аудита информационной безопасности организации
- •Вопрос 1.1. Задачи, решаемые при проведении аудита информационной безопасности
- •Вопрос 1.2. Цели аудита информационной безопасности
- •Вопрос 1.3. Понятие контролируемых параметров
- •Вопрос 2. Классификация видов аудита информационной безопасности организации
- •Вопрос 2.1. Пассивный аудит
- •Вопрос 2.2. Активный аудит
- •Вопрос 2.3. Экспертный аудит
- •Вопрос 2.4. Аудит на соответствие стандартам
- •Вопрос 3. Мероприятия по проведению аудита информационной безопасности организации
- •Вопрос 3.1. Инициирование процедуры аудита
- •Вопрос 3.2. Сбор исходных данных
- •Вопрос 3.3. Анализ данных аудита
- •Вопрос 3.4. Использование методов анализа рисков
- •Вопрос 3.5 Оценка соответствия требованиям стандарта
- •Вопрос 3.6. Выработка рекомендаций
- •Вопрос 3.7. Подготовка отчетных документов
Вопрос 2.3. Экспертный аудит
Экспертный аудит можно условно представить как сравнение состояния информационной безопасности с «идеальным» описанием, которое базируется:
на требованиях, которые были предъявлены руководством в процессе проведения аудита;
на описании «идеальной» системы безопасности, составленном на основе мирового и частного опыта, аккумулированного в компании-аудиторе.
При выполнении экспертного аудита сотрудники компании-аудитора совместно с представителями Заказчика выполняют следующую работу:
собирают исходные данные об информационной системе, её функциях и особенностях, используемых технологиях автоматизированной обработки и передачи данных (с учетом ближайших перспектив развития);
собирают информацию об имеющихся организационно-распорядительных документах по обеспечению БИ и их анализ;
определяют точки ответственности систем, устройств и серверов сети связи и КИС;
формируют перечень подсистем каждого подразделения компании с категорированием критичной информации и схемами информационных потоков.
К наиболее объемным видам работ, которые проводятся при экспертном аудите, относятся сбор данных об информационной системе путем интервьюирования представителей Заказчика и заполнения ими специальных анкет.
Основная цель интервьюирования технических специалистов — сбор информации о функционировании сети, а руководящего состава компании — выяснение требований, которые предъявляются к системе информационной безопасности.
Необходимо отметить, что при экспертном аудите безопасности информационной системы учитываются результаты предыдущих обследований (в том числе других аудиторов), выполняются обработка и анализ проектных решений и других рабочих материалов, касающихся вопросов создания информационной системы.
Ключевой этап экспертного аудита — анализ проекта информационной системы, топологии сети и технологии обработки информации, в ходе которого выявляются, например, недостатки существующей топологии сети, которые снижают уровень защищенности информационной системы.
По результатам работ данного этапа предлагается внести изменения (если они требуются) в существующую информационную систему и технологию обработки информации, направленные на устранение найденных недостатков с целью достижения требуемого уровня И Б.
Следующий этап — анализ информационных потоков организации. На данном этапе определяются типы информационных потоков ИС организации и составляется их диаграмма, на которой для каждого информационного потока указывается его ценность (в том числе ценность передаваемой информации) и используемые методы обеспечения безопасности, отражающие уровень защищенности информационного потока.
На основании результатов данного этапа работ предлагается защита или повышение уровня защищенности тех компонентов информационной системы, которые участвуют в наиболее важных процессах передачи, хранения и обработки информации. Для менее ценной информации уровень защищенности остается прежним, что позволяет сохранить для конечного пользователя привычность работы с информационной системой.
Применение анализа информационных потоков организации позволяет спроектировать систему обеспечения информационной безопасности, которая будет соответствовать принципу разумной достаточности.
В рамках экспертного аудита производится также анализ организационно-распорядительных документов, таких как политика безопасности, план защиты и различного рода инструкции. Организационно-распорядительные документы оцениваются на предмет достаточности и непротиворечивости декларируемым целям и мерам информационной безопасности. Особое внимание на этапе анализа информационных потоков уделяется определению полномочий и ответственности конкретных лиц за обеспечение БИ различных участков/подсистем ИС Полномочия и ответственность должны быть закреплены положениями организационно-распорядительных документов.
Результаты экспертного аудита могут содержать разноплановые предложения по построению или модернизации системы обеспечения информационной безопасности, например:
изменение (если требуется) существующей топологии сети и технологии обработки информации;
рекомендации по выбору и применению систем защиты информации й других дополнительных специальных технических средств;
предложения по совершенствованию пакета организационно-распорядительных документов;
предложения по этапам создания системы информационной безопасности;
ориентировочные затраты на создание или совершенствование системы И Б, включая техническую поддержку и обучение персонала.