- •Организация и проведение аудита безопасности информации в организции
- •Введение
- •Вопрос 1. Цели и задачи аудита информационной безопасности организации
- •Вопрос 1.1. Задачи, решаемые при проведении аудита информационной безопасности
- •Вопрос 1.2. Цели аудита информационной безопасности
- •Вопрос 1.3. Понятие контролируемых параметров
- •Вопрос 2. Классификация видов аудита информационной безопасности организации
- •Вопрос 2.1. Пассивный аудит
- •Вопрос 2.2. Активный аудит
- •Вопрос 2.3. Экспертный аудит
- •Вопрос 2.4. Аудит на соответствие стандартам
- •Вопрос 3. Мероприятия по проведению аудита информационной безопасности организации
- •Вопрос 3.1. Инициирование процедуры аудита
- •Вопрос 3.2. Сбор исходных данных
- •Вопрос 3.3. Анализ данных аудита
- •Вопрос 3.4. Использование методов анализа рисков
- •Вопрос 3.5 Оценка соответствия требованиям стандарта
- •Вопрос 3.6. Выработка рекомендаций
- •Вопрос 3.7. Подготовка отчетных документов
Вопрос 3.3. Анализ данных аудита
Методы анализа данных аудита определяются выбранными подходами к проведению аудита, которые могут существенно различаться.
Первый подход — самый сложный — базируется на анализе рисков. Опираясь на методы анализа рисков, аудитор определяет индивидуальный набор требований безопасности для обследуемой организации, в наибольшей степени учитывающий особенности среды ее функционирования и существующие в данной среде угрозы безопасности. Данный подход является наиболее трудоемким и требует наивысшей квалификации аудитора. На качество результатов аудита в этом случае сильно влияет используемая методология анализа и управления рисками, ее применимость к данному типу организаций.
Второй подход — самый практичный — опирается на использование стандартов информационной безопасности. Стандарты определяют базовый набор требований безопасности для широкого круга организаций, который формируется в результате обобщения мировой практики. Стандарты могут определять разные наборы требований безопасности в зависимости от требуемого уровня защищенности, принадлежности организации (коммерческая организация либо государственное учреждение) и ее назначения (финансы, промышленность, связь и т.п.). Аудитор в данном случае должен правильно определить набор требований стандарта, соответствие которым требуется обеспечить для данной организации. Необходима также методика, позволяющая оценить это соответствие. Из-за своей простоты (стандартный набор требований для проведения аудита уже заранее определен стандартом) и надежности (стандарт есть стандарт, и его требования никто не попытается оспорить), описанный подход наиболее распространен на практике (особенно при проведении внешнего аудита).
Третий подход — наиболее эффективный — предполагает комбинирование первых двух. Базовый набор требований безопасности, предъявляемых к информационной системе организации, определяется стандартом. Дополнительные требования, в максимальной степени учитывающие особенности функционирования данной организации, формируются на основе анализа рисков. Этот подход намного проще первого, так как большая часть требований безопасности уже определена стандартом. При этом он лишен недостатка второго подхода, заключающегося в том, что требования стандарта могут не учитывать специфики обследуемой организации.
Вопрос 3.4. Использование методов анализа рисков
Если для проведения аудита безопасности выбран подход, базирующийся на анализе рисков, то на этапе анализа данных аудита обычно выполняется следующий набор задач:
анализ ресурсов организации, включая информационные ресурсы, программные и технические средства, а также людские ресурсы;
анализ групп задач, решаемых системой, и бизнес-процессов;
построение (неформальной) модели ресурсов организации, определяющей взаимосвязи между информационными, программными, техническими и людскими ресурсами, их взаимное расположение и способы взаимодействия;
оценка критичности Информационных ресурсов, а также программных и технических средств;
определение критичности ресурсов с учетом их взаимозависимостей;
определение наиболее вероятных угроз безопасности в отношении ресурсов организации и уязвимостей защиты, делающих возможным осуществление этих угроз;
оценка вероятности осуществления угроз, величины уязвимостей и ущерба, наносимого организации в случае успешного осуществлении угроз;
определение величины рисков для каждой тройки: угроза группа ресурсов - уязвимость.
Перечисленный набор задач является достаточно общим. Для их решения могут использоваться различные формальные и неформальные, количественные и качественные, ручные и автоматизированные методики анализа рисков. Суть подхода от этого не меняется.
Оценка рисков может даваться с использованием различных как качественных, так и количественных шкал. Главное, чтобы существующие риски были правильно идентифицированы и упорядочены в соответствии со степенью их критичности для организации. На основе такого анализа может быть разработана система первоочередных мероприятий по уменьшению величины рисков до приемлемого уровня.