70.29K
Category: financefinance

Аудит безопасности информационной системы

1.

Аудит безопасности
информационной системы

2.

Аудит информационных систем — это проверка используемых компанией
информационных систем, систем безопасности, систем связи с внешней средой,
корпоративной сети на предмет их соответствия бизнес-процессам, протекающим в
компании, а также соответствия международным стандартам, с последующей оценкой
рисков сбоев в их функционировании.

3.

Аудит информационной безопасности — системный процесс получения объективных
качественных и количественных оценок о текущем состоянии информационной
безопасности компании в соответствии с определенными критериями и показателями
безопасности.

4.

В «Концепции аудита информационной безопасности систем информационных
технологий и организаций», разрабатываемой ФСТЭК России, вводится два понятия,
относящихся к аудиту информационной безопасности:
— аудит информационной безопасности системы информационных технологий —
систематический, независимый и документированный процесс получения свидетельств
аудита и объективного их оценивания с целью установления степени выполнения
требований по обеспечению состояния защищенности системы информационных
технологий;
— аудит информационной безопасности организации — периодический, независимый
от объекта аудита и документированный процесс получения свидетельств аудита и
объективной их оценки с целью установления степени выполнения в организациях
установленных требований по обеспечению информационной безопасности.

5.

В любом случае, основной задачей аудита информационной безопасности является
проверка и оценка текущего состояния информационной безопасности.
Результаты квалифицированно выполненного аудита информационной безопасности
организации позволяют построить оптимальную по эффективности и затратам
корпоративную систему защиты, адекватную текущим задачам и целям.

6.

Аудит информационной безопасности позволяет получить наиболее полную и
объективную оценку защищенности информационной системы, локализовать
имеющиеся проблемы и разработать эффективную программу построения системы
обеспечения информационной безопасности организации.
Основной целью аудита информационной безопасности является установление степени
соответствия применяемых в организации защитных мер выбранным критериям аудита
информационной безопасности.

7.

По содержанию аудит информационной безопасности разделяется на аудит
информационной
безопасности
системы
информационных
технологий,
эксплуатирующихся в организации; и аудит информационной безопасности
организации.

8.

Задачей аудита информационной безопасности системы информационных технологий,
эксплуатирующихся в организации, является проверка состояния защищенности
конфиденциальной информации в организации от внутренних и внешних угроз, а
также программного и аппаратного обеспечения, от которого зависит бесперебойное
функционирование системы информационных технологий.
Данный вид подразумевает как документальный, так и инструментальный аудит
состояния защищенности информации при ее сборе, обработке, хранении с
использованием различных систем информационных технологий.

9.

Задачей аудита информационной безопасности организации является проверка
состояния защищенности интересов (целей) организации в процессе их реализации в
условиях внутренних и внешних угроз, а также предотвращение утечки защищаемой
конфиденциальной
информации,
возможных
несанкционированных
и
непреднамеренных воздействий на защищаемую информацию.

10.

По форме аудит информационной безопасности может быть внутренним и внешним.
Внутренний аудит информационной безопасности проводится силами штатного
персонала самой организации или от ее имени для внутренних целей и может служить
основанием для принятия декларации о соответствии требованиям стандартов или
нормативных документов по защите информации и обеспечению информационной
безопасности.
Внешний аудит информационной безопасности проводится внешними независимыми
коммерческими организациями, имеющими лицензии на осуществление аудиторской
деятельности в области информационной безопасности.

11.

Проведение аудита информационной безопасности основывается на ряде принципов,
следование которым является предпосылкой для обеспечения объективных заключений
по результатам аудита информационной безопасности.
Эти принципы должны быть признаны и соблюдены всеми сторонами, участвующими
в аудите информационной безопасности. Выполнение принципов способствует
повышению безопасности организации и системы информационных технологий.

12.

Принципы, относящиеся к аудиту информационной безопасности:
Независимость аудита информационной безопасности. Аудит информационной
безопасности должен проводиться независимыми организациями или независимыми
аудиторами. Независимость является основанием для беспристрастности при
проведении аудита информационной безопасности и объективности при
формировании заключения по результатам аудита информационной безопасности.
Независимость аудиторов и аудиторских организаций должна обеспечиваться рядом
условий и ограничений, обязательных при выполнении аудиторской деятельности в
области информационной безопасности.

13.

Полнота аудита информационной безопасности. Аудит информационной
безопасности должен охватывать все области информационной безопасности и
защитные меры, указанные в договоре на проведение аудита информационной
безопасности.
Кроме того, полнота аудита информационной безопасности определяется
достаточностью предоставленных материалов, документов и уровнем их
релевантности. Полнота аудита информационной безопасности является необходимым
условием для формирования объективных заключений по результатам аудита
информационной безопасности.

14.

Оценка на основе свидетельств аудита информационной безопасности. Оценка на
основе свидетельств является единственным способом, позволяющим получить
повторяемое заключение по результатам аудита, что повышает к нему доверие. Для
повторяемости заключения свидетельства аудита информационной безопасности
должны быть воспроизводимыми.

15.

Необходимость понимания аудитором деятельности проверяемой организации.
При проведении аудита аудитор должен понимать деятельность проверяемой
организации в достаточной степени, чтобы идентифицировать и правильно оценивать
события, процессы, относящиеся к области информационной безопасности, с учетом
возможностей применения методов и способов оценки рисков, которые могут
оказывать существенное влияние на достоверность проверяемых данных, на ход
проведения проверки или на выводы, содержащиеся в аудиторском заключении.
До проведения проверки аудиторская организация должна получить первоначальные
знания особенностей отрасли, права собственности, управления и деятельности
организации, подлежащей аудиту, и оценить их достаточность для проведения аудита.

16.

Компетентность и этичность. Доверие процессу аудита зависит от компетентности
тех, кто проводит аудит, и от этичности их поведения. Компетентность базируется на
личных качествах аудитора и способности применять знания и навыки. Этичность
поведения подразумевает ответственность, неподкупность, умение хранить тайну,
беспристрастность.

17.

Основные виды аудита информационной безопасности:
Экспертный аудит безопасности, в ходе которого выявляются недостатки в системе
мер защиты информации на основе опыта экспертов, участвующих в процедуре
обследования. Этот вид аудита можно условно представить как сравнение состояния
информационной безопасности с «идеальным» описанием, которое базируется на
следующем:
— требования, которые были предъявлены руководством в процессе проведения
аудита;
— описание «идеальной» системы безопасности, основанное на аккумулированном в
компании-аудиторе мировом и частном опыте.

18.

Активный аудит (инструментальный анализ защищенности информационной
системы), направленный на выявление и устранение уязвимостей программноаппаратного обеспечения системы.
Это исследование состояния защищенности информационной системы с точки зрения
хакера (или некоего злоумышленника, обладающего высокой квалификацией в области
информационных технологий).
Суть активного аудита состоит в том, что с помощью специального программного
обеспечения (в том числе систем анализа защищенности) и специальных методов
осуществляется сбор информации о состоянии системы сетевой защиты.

19.

Результатом активного аудита являются информация обо всех уязвимостях, степени их
критичности и методах устранения, сведения о широкодоступной информации
(информация, доступная любому потенциальному нарушителю) сети заказчика.

20.

Один из методов активного аудита — исследование производительности и
стабильности системы, или стресс-тестирование. Оно направлено на определение
критических точек нагрузки, при которой система вследствие атаки на отказ в
обслуживании или повышенной загруженности перестает адекватно реагировать на
легитимные запросы пользователей.

21.

Другой, очень «эффектной» услугой аудиторов является тест на проникновение,
который во многом похож на «внешний» активный аудит, но по своей сути аудитом не
является. Основная цель данного тестирования — демонстрация «успехов», которых
может достигнуть хакер, действующий при текущем состоянии системы сетевой
защиты.

22.

Любой из перечисленных видов аудита может проводиться по отдельности или в
комплексе, в зависимости от тех задач, которые решает предприятие. В качестве
объекта аудита может выступать как информационная система компании в целом, так и
ее отдельные сегменты, в которых обрабатывается информация, подлежащая защите.
English     Русский Rules