Аудит информационной безопасности

Какую проблему бизнеса решает: получение объективной информации о защищенности информационных активов, оценка эффективности действующих систем защиты; оценка соответствия систем защиты требованиям международных и отечественных стандартов, отраслевым нормативным документам; контроль функционирования информационной системы и деятельности персонала.

Для каких компаний предназначено ИТ-решение: рекомендуется проводить аудит ИБ во всех компаниях, так как сотрудники каждой компании используют интернет в рабочих целях. Именно интернет является основным источником угроз корпоративной безопасности.

Сложность: большие временные затраты при проведении аудита ИБ своими силами; денежные затраты при привлечении экспертов рынка ИБ.shutterstock_245596588

О решении

В наши дни обеспечение информационной безопасности (ИБ) корпоративных информационных систем продолжает оставаться чрезвычайно острой проблемой. Можно констатировать, что несмотря на усилия многочисленных организаций, занимающихся решением этой проблемы, общая тенденция остается негативной. Россия занимает 2-е место в мире по уровню утечек информации. Как показало исследование компании InfoWatch, по итогам 1 полугодия 2014 года в нашей стране было зарегистрировано 654 случая утечки конфиденциальной информации (3,5 инцидента в день), что на 32% превышает аналогичный показатель за 2013 год.

Как решить проблему и минимизировать риски утечек данных? Необходимо периодически проводить аудит безопасности информационных систем предприятия.

Согласно ГОСТ Р 53114-2008, аудит ИБ организации – это систематический, независимый и документируемый процесс получения свидетельств деятельности организации по обеспечению информационной безопасности и установлению степени выполнения в организации критериев информационной безопасности, а также допускающий возможность формирования профессионального аудиторского суждения о состоянии информационной безопасности организации.

По определению аналитиков CNews, аудит информационных систем — это проверка используемых компанией информационных систем, систем безопасности, систем связи с внешней средой, корпоративной сети на предмет их соответствия бизнес-процессам, протекающим в компании, а также соответствия международным стандартам, с последующей оценкой рисков сбоев в их функционировании.

Проведение аудита ИБ преследует следующие цели: анализ возможности осуществления угроз безопасности по отношению к информационным системам (ИС); определение уровня защищенности ИС и выявление слабых мест в системе защиты; подготовка рекомендаций по повышению эффективности механизмов безопасности ИС; оценка соответствия защищенности ИС законодательным требованиям и стандартам.

Нормативная база и стандарты

В России и мире разработана обширная законодательная база в области защиты информации. Нормативные акты, которыми руководствуются при проведении аудита ИБ:

  • Законы РФ
  • Руководящие документы ФСБ и ФСТЭК
  • Международные стандарты и рекомендации (ISO/IEC);
  • Государственные стандарты РФ
  • Отраслевые стандарты и рекомендации (СТО БР ИББС, NIST, NERC, PCI DSS);
  • Рекомендации (Best Practice) на основе мирового опыта;
  • Нормативные акты и стандарты предприятия.

В последнее время в разных странах появилось новое поколение стандартов в области ИБ, посвященных практическим аспектам организации и управления ИБ. Особого внимания заслуживает британский стандарт BS7799 и ассоциированные документы, как наиболее проработанные и апробированные.

Многие организации, желающие пройти сертификацию на соответствие требованиям британского стандарта BS7799, уже имеют системы управления качеством, сертифицированные по стандартам ISO 9001 или 9002. Аудит системы ИБ можно совместить с сертификацией на соответствие этим стандартам как на первоначальном этапе, так и при контрольных проверках.

Отечественные и зарубежные стандарты вполне совместимы, зарубежные отличаются, в основном, большей детализацией многих аспектов.

Преимущества проведения аудита ИБ для Вашего бизнеса

Проведение регулярного аудита систем информационной безопасности позволит:

  • предотвратить утечку конфиденциальной информации из компании;
  • выявить наиболее узкие места в компании с точки зрения информационной безопасности;
  • повысить престиж и укрепить репутацию компании в глазах клиентов и партнеров (получение сертификата соответствия международным стандартам);
  • повысить культуру информационной безопасности среди сотрудников компании (запрет на скачивание конфиденциальной информации, раздача прав доступа к информации в соответствии с категориями пользователей, подписание соглашения о конфиденциальности и пр.).

Виды аудита ИБ

Существует несколько подходов к классификации аудита в области информационной безопасности на предприятии. Рассмотрим некоторые из них:

Внешний и внутренний аудит. Внешний аудит — это, как правило, разовое мероприятие, проводимое по инициативе руководства организации или акционеров. Внешний аудит рекомендуется (а для ряда финансовых учреждений и акционерных обществ требуется) проводить регулярно. Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании документа, обычно носящего название «Положение о внутреннем аудите», и в соответствии с планом.

В зависимости от стадии проведения:

  1. Первичный аудит – проводится на этапе формирования бизнес-требований к внедряемой информационной системе. Основная цель – формирование концепции ИБ в рамках данной ИС для решения проблем реализации требований нормативных документов.
  2. Проектный аудит – проводится на этапе формирования функциональных и технических требований к внедряемой ИС. Основная цель – формирование конкретных требований к ИС по обеспечению безопасности, определение необходимых средств защиты.
  3. Аттестационный аудит – проводится после завершения работ по построению ИС. Основная цель – подтверждение соответствия принятых мер в части ИБ требуемым стандартам.
  4. Плановый аудит – проводится на протяжении всего жизненного цикла ИС. Основная цель – контроль (подтверждение) уровня информационной безопасности ИС, проверка соблюдения пользователями ИС политик безопасности.

В зависимости от типа проверки:

  1. Документальная проверка. Проверка нормативных документов по вопросам информационной безопасности организации на соответствие международным стандартам, рекомендациям и практикам ИБ.
  2. Анализ конфигураций ИС. Анализ конфигураций оборудования, настроек ИС и сервисов.
  3. Инструментальный аудит. Выявление уязвимостей программного и аппаратного обеспечения систем средствами автоматизированной проверки.
  4. Тест на проникновение. Анализ уязвимостей и моделирование атак злоумышленника.

Независимо от применяемых типов аудита ИБ не стоит забывать, что наиболее эффективным является комплексный подход к аудиту. Проверки требований к техническим и программным средствам защиты недостаточно. Не менее важной составляющей является проверка достаточности организационных мер защиты. Информационная безопасность должна быть обеспечена как на техническом, так и на организационно- административном уровне.

Этапы аудита ИБ

Работы по аудиту информационной безопасности включают в себя ряд последовательных этапов:

  1. Инициирование процедуры аудита руководством компании
  2. Сбор информации аудита. Организация должна представить сведения о собственной структуре, текущей деятельности, проектах и т.д. Кроме того, потребуется описание используемых информационных технологий, включающее схему сети, а также список всего прикладного программного обеспечения, используемого в организации.
  3. Анализ данных аудита
  4. Выработка рекомендаций
  5. Подготовка аудиторского отчета

Подготовительные мероприятия включают подготовку документации и проведение внутренней проверки соответствия системы управления ИБ требованиям стандарта. Документация должна содержать:

  • политику безопасности;
  • границы защищаемой системы;
  • оценки рисков;
  • управление рисками;
  • описание инструментария управления ИБ;
  • ведомость соответствия (документ, основная цель которого – дать аргументированное обоснование имеющим место отклонениям от требований стандарта. После завершения внутренней проверки устраняются выявленные несоответствия, которые организация сочтет нужным устранить).

Результатом проведения аудита, в последнее время, все чаще становится сертификат, удостоверяющих соответствие обследуемой ИС требованиям признанного международного стандарта. Наличие такого сертификата позволяет организации получать конкурентные преимущества, связанные с большим доверием со стороны клиентов и партнеров.

Программные продукты, предназначенные для анализа и управления рисками: программное обеспечение RiskWatch, система COBRA, программный продукт Buddy System.
Сроки проведения: Трудоемкость процедуры аудита в крупных организациях может занимать до 25-30 человеко-дней работы аудитора. В связи с высокой активностью злоумышленников рекомендуется проводить аудит информационных систем на предмет безопасности как минимум 1 раз в год.

При планировании проверки состояния системы информационной безопасности важно не только точно выбрать вид аудита, исходя из потребностей и возможностей компании, но и не ошибиться с выбором исполнителя.

При проведении аудита ИБ своими силами Ваша компания, с одной стороны, имеет четкое понимание специфики собственной информационной системы и не несет дополнительных финансовых затрат. Но, с другой стороны, сталкивается с отсутствием персонала с достаточной квалификацией и вероятностью получить субъективную оценку корпоративной ИС.

Привлекая внешних аудиторов, вместе с высоким уровнем экспертизы и наработанной базой знаний подрядчика Вы получите объективную оценку состояния информационной безопасности в Вашей организации.

Не стоит забывать, что вопрос обеспечения информационной безопасности лежит на стыке с вопросом экономической безопасности на предприятии, и рассматривать эти проблемы желательно в комплексе.

Заказать консультацию

Статьи по теме:

http://www.seconline.ru/
http://www.allcio.ru/safety/75267.html
www.iso27000.ru
http://bezopasnik.org/