- •Организация и проведение аудита безопасности информации в организции
- •Введение
- •Вопрос 1. Цели и задачи аудита информационной безопасности организации
- •Вопрос 1.1. Задачи, решаемые при проведении аудита информационной безопасности
- •Вопрос 1.2. Цели аудита информационной безопасности
- •Вопрос 1.3. Понятие контролируемых параметров
- •Вопрос 2. Классификация видов аудита информационной безопасности организации
- •Вопрос 2.1. Пассивный аудит
- •Вопрос 2.2. Активный аудит
- •Вопрос 2.3. Экспертный аудит
- •Вопрос 2.4. Аудит на соответствие стандартам
- •Вопрос 3. Мероприятия по проведению аудита информационной безопасности организации
- •Вопрос 3.1. Инициирование процедуры аудита
- •Вопрос 3.2. Сбор исходных данных
- •Вопрос 3.3. Анализ данных аудита
- •Вопрос 3.4. Использование методов анализа рисков
- •Вопрос 3.5 Оценка соответствия требованиям стандарта
- •Вопрос 3.6. Выработка рекомендаций
- •Вопрос 3.7. Подготовка отчетных документов
Вопрос 3.5 Оценка соответствия требованиям стандарта
В случае проведения аудита безопасности на соответствие требованиям стандарта аудитор, полагаясь на свой опыт, оценивает применимость требований стандарта к обследуемой организации и ее соответствие этим требованиям. Данные о соответствии организации требованиям стандарта обычно представляются в табличной форме. Из таблицы видно, какие требования безопасности не реализованы Исходя из этого делаются выводы о соответствии обследуемой организации требованиям стандарта и даются рекомендации по реализации в системе механизмов безопасности, позволяющих обеспечить такое соответствие.
Вопрос 3.6. Выработка рекомендаций
Рекомендации, выдаваемые аудитором по результатам анализа состояния организации, определяются используемым подходом, особенностями обследуемой организации, состоянием дел с информационной безопасностью и степенью детализации, используемой при проведении аудита.
В любом случае, рекомендации аудитора должны быть конкретными и применимыми к данной организации, экономически обоснованными, аргументированными (подкрепленными результатами анализа) и отсортированными по степени важности. При этом мероприятия по обеспечению защиты организационного уровня практически всегда имеют приоритет над конкретными программно-техническими методами защиты.
В то же время, наивно ожидать от аудитора в качестве результата проведения аудита выдачи технического проекта подсистемы информационной безопасности либо детальных рекомендаций по внедрению конкретных программно-технических средств защиты информации. Это требует более детальной проработки конкретных вопросов организации защиты, хотя внутренние аудиторы могут принимать в этих работах самое активное участие.
Вопрос 3.7. Подготовка отчетных документов
Аудиторский отчет является основным результатом проведения аудита. Его качество характеризует качество работы аудитора. Структура отчета может существенно различаться в зависимости от характера и целей проводимого аудита. Однако определенные разделы должны обязательно присутствовать в аудиторском отчете. Он должен, по крайней мере, содержать описание целей проведения аудита, характеристику обследуемой организации, указание границ проведения аудита и используемых методов, результаты анализа данных аудита, выводы, обобщающие эти результаты и содержащие оценку уровня защищенности или соответствие ее требованиям стандартов, и, конечно, рекомендации аудитора по устранению существующих недостатков и совершенствованию системы защиты.
Пример структуры аудиторского отчета по результатам анализа рисков, связанных с осуществлением угроз безопасности в отношении обследуемой информационной системы, приведен ниже:
Стандарты в области аудита информационной безопасности.
Понятие окна безопасности.
Задачи аудита в терминах окна безопасности.
Комплексная методика проведения аудита информационной безопасности.
Указания по проведению аудита информационной безопасности на основе комплексной методики.
Заключение.