|
|
Обзор подготовлен
При поддержке
В настоящее время на рынке информационной безопасности всё чаще говорят об аудите информационной безопасности как об универсальной услуге, которая может быть использована для повышения уровня ИБ компании. При этом, как показывает практика, разные компании по-разному представляют себе данный вид услуг. В настоящем анализе приводятся ответы на наиболее часто задаваемые вопросы (FAQ, Frequently Asked Questions), связанные с аудитом информационной безопасности.
Несмотря на то, что в настоящее время ещё не сформировалось устоявшегося определения аудита безопасности, в общем случае его можно представить в виде документированного процесса сбора и анализа информации с целью получения объективной оценки уровня защищённости компании от возможных угроз безопасности.
Аудит может быть внешним или внутренним. Внешний аудит проводится независимой компанией, которая предоставляет консалтинговые услуги в области информационной безопасности. Внутренний аудит осуществляется силами службы внутреннего контроля компании, отделом информационной безопасности или ИТ.
Существует множество случаев, в которых целесообразно проводить аудит безопасности. В качестве примера можно привести следующие задачи, которые могут быть решены при его помощи.
Во-первых, когда нужна оценка уровня эффективности существующих в компании средств защиты информации.
Во-вторых, когда стоит задача приведения действующей системы безопасности в соответствие требованиям российского или международного законодательства.
В-третьих, нужна систематизация и упорядочивание существующих мер защиты информации. А затем, в-четвертых, возможно, при подготовке технического задания на проектирование и разработку системы защиты информации.
В-пятых (а, возможно, и во-первых), для обоснования инвестиций на развитие системы обеспечения информационной безопасности компании.
И, наконец, при расследовании инцидентов, связанных с нарушением информационной безопасности.
Как правило, инициатором процедуры аудита являются руководство предприятия, отдел автоматизации или информационной безопасности, а также служба внутреннего контроля. В ряде случаев аудит также может проводиться по требованию страховых компаний или регулирующих органов.
Основные виды аудита ИБ
№ | Решение (вендор) |
1. | Тест на проникновение (penetration testing), направленный на оценку защищённости компании от внешних атак из сети интернет |
2. | Оценка соответствия рекомендациям международного стандарта ISO 27001 |
3. | Аудит безопасности, направленный на оценку соответствия требованиям стандарта информационной безопасности Банка России |
4. | Инструментальный анализ защищенности, направленный на выявление технологических уязвимостей в информационных системах компаний |
5. | Оценка соответствия требованиям Федерального закона «О персональных данных» |
6. | Аудит наличия конфиденциальной информации на базе технологий конкурентной разведки |
7. | Комплексный аудит, базирующийся на всесторонней оценке рисков информационной безопасности |
Источник: «ДиалогНаука», 2008
В общем случае аудит безопасности, вне зависимости от формы его проведения, состоит из четырёх основных этапов, каждый из которых предусматривает выполнение определённого круга задач.
Первоначально с компанией-заказчиком заключается соглашение о неразглашении, в рамках которого исполнитель берёт на себя обязательства по сохранению в тайне всей конфиденциальной информации, которая будет получена им в процессе выполнения работ.
После подписания соглашения о неразглашении совместно с заказчиком разрабатывается регламент (техническое задание), устанавливающий состав и порядок проведения работ. Основная задача регламента заключается в определении границ, в рамках которых будет проведено обследование. Регламент является тем документом, который позволяет избежать взаимных претензий по завершению аудита, поскольку чётко определяет обязанности сторон.
На третьем этапе, в соответствии с согласованным регламентом, осуществляется сбор исходной информации. Методы сбора информации включают интервьюирование сотрудников заказчика, заполнение опросных листов, анализ предоставленной организационно-распорядительной и технической документации, использование специализированных инструментальных средств.
Четвертый этап работ предполагает проведение анализа собранной информации с целью оценки текущего уровня защищённости АС заказчика. По результатам проведённого анализа на четвёртом этапе проводится разработка рекомендаций по повышению уровня защищённости АС от угроз информационной безопасности.
Результаты аудита безопасности оформляются в виде отчётного документа, который предоставляется заказчику. В общем случае этот документ состоит из следующих нескольких разделов.
Сначала следует описание границ, в рамках которых был проведён аудит безопасности. Затем описывается структура АС заказчика. Очень часто детально описываются методы и средства, которые использовались в процессе проведения аудита.
Наверное, один из ключевых пунктов: описание выявленных уязвимостей и недостатков, включая уровень их риска. Как правило, аудитор приводит и рекомендации по совершенствованию комплексной системы обеспечения информационной безопасности. В заключение формулируются предложения по плану реализации первоочередных мер, направленных на минимизацию выявленных рисков.
Надо заметить, что аудит информационной безопасности не является конечной целью и является всего лишь первым шагом в построении системы безопасности. По его результатам необходимо составить план мероприятий по совершенствованию защиты компании с целью устранения выявленных недостатков.
Как правило, выделяют следующие основные направления по повышению уровня информационной безопасности компании: технологическое обеспечение безопасности, направленное на внедрение в компании дополнительные программно-технических мер защиты. Кадровое обеспечение безопасности, связанное с внедрением процесса обучения и аттестации персонала по вопросам защиты информации. И нормативно-методическое обеспечение безопасности, направленное на разработку документов по защите информации, таких как политики, регламенты, инструкции, положения и т.д.
Частота проведения аудита зависит от того, как часто в автоматизированную систему компании вносятся изменения – добавляются новые филиалы, вводятся в эксплуатацию новые информационные системы, модернизируется общесистемное и прикладное ПО и т.д. С точки зрения лучших практик рекомендуется проходить внешний аудит безопасности один раз в год. Что касается внутреннего аудита, то его рекомендуется проводить не реже одного раза в квартал.
Виктор Сердюк