Аудит информационной безопасности предприятия — это совокупность мероприятий, включающих тестирование информационных систем на проникновение, внутренний аудит информационной безопасности, анализ защищенности программного обеспечения и разработку рекомендаций по устранению выявленных уязвимостей.
По сути, аудит безопасности информационных систем представляет собой независимую экспертизу, которая подразделяется на внешнюю и внутреннюю. Внешняя экспертиза является разовым мероприятием, инициатором которого выступает руководитель или совет акционеров. Внутренний аудит проводится непрерывно, чтобы своевременно выявить уязвимости в сфере информационной безопасности.
Аудит преследует следующие цели:
• оценку актуальной степени защиты систем информации;
• оценку защиты каналов, по котором может быть осуществлена утечка конфиденциальной информации;
• анализ средств информационной защиты, приведение их в соответствие с современными стандартами;
• корректировку документации, относящейся к сфере информационной безопасности, приведение ее к современным мировым стандартам;
• моделирование ситуаций, в ходе которых может случиться утечка информации;
• предоставление рекомендаций по устранению уязвимости информационных систем.
Виды проводимого информационного аудита зависят от способов и средств проверки, результата проверки и эталонного идеала, к которому в итоге необходимо стремиться.
Аудит информационной безопасности можно условно поделить на: активный аудит, экспертный аудит и аудит на соответствие стандартам.
Активный. Это независимая экспертиза защищенности информационных систем предприятия с точки зрения хакера. Его суть сводится к оценке системы сетевой защиты с помощью специального программного обеспечения и уникальных методов. Отдельное внимание уделяется активному внутреннему аудиту информационной безопасности, который сводится к моделированию возможных действий внутреннего злоумышленника.
Экспертный. Предполагает сравнение описания информационной безопасности предприятия с идеальной системой, основанной на мировом и частном опыте.
Аудит на соответствие стандартам. Это сравнение состояния информационной безопасности с неким абстрактным описанием на основе международных и национальных стандартов.
Аудит информационной безопасности можно проводить как собственными силами, так и с привлечением независимых экспертов. Преимущества второго способа очевидны — высокий профессионализм сотрудников, постоянное совершенствование знаний и навыков, использование передовых методов выявления уязвимостей.
Независимо от формы, аудит безопасности состоит из 4-х основных этапов:
1. Формирование регламента проведения независимой экспертизы. Документ разрабатывается совместно с заказчиком и включает состав и порядок проведения работ. Приоритетная цель регламента аудита информационной безопасности — определение границ, в рамках которых будет проводиться обследование информационных систем. В нем прописывается все обязанности и права сторон — заказчика и исполнителя.
2. Сбор данных для обследования. На этом этапе осуществляется сбор сведений о информационной системе безопасности предприятия через интервьюирование сотрудников, анализ информационно-распорядительной документации, информации об общесистемном ПО и т.д.
3. Анализ имеющейся информации. На данном этапе проводится оценка текущего уровня защищенности автоматизированной информационной системы заказчика с помощью разнообразных методов. На практике используется 2 группы методов аудита информационной безопасности. Первая группа методов позволяет оценить уровень риска информационной системы предприятия посредством анализа соответствия определенному набору требований по обеспечению защиты сведений. Вторая группа методов проведения аудита информационной безопасности предусматривает определение вероятности наступления атак и финансового ущерба от них.
4. Разработка рекомендаций по предотвращению выявленных уязвимостей или повышению уровня информационной безопасности системы в целом. Специалисты подробно расписывают действия, направленные на минимизацию выявленных угроз. Они могут включать снижение рисков за счет внедрения дополнительных средств защиты, изменение архитектуры и схемы информационных потоков и т.д.
Аудит информационной безопасности организации — наиболее эффективный инструмент, позволяющий получить объективные сведения о текущем уровне защищенности информационных систем. План аудита информационной безопасности должен учитывать все возможные риски компрометации системы, только в этом случае экспертиза принесет реальную пользу.
Регламент аудита информационной безопасности устанавливает состав и порядок проведения работ во время аудита. Являясь основным документом, определяющим границы проводимого обследования, регламент четко определяет обязанности сторон.
Задавайте вопросы нашему консультанту, он ждет вас внизу экрана и всегда онлайн специально для Вас. Не стесняемся, мы работаем совершенно бесплатно!!!
Также оказываем консультации по телефону: 8 (800) 600-76-83, звонок по России бесплатный!
• список объектов, подлежащих аудиту, и их местоположение;
• порядок и время проведения программного и инструментального обследования системы;
• состав рабочих групп как со стороны заказчика, так и со стороны Исполнителя;
• перечень ресурсов, подлежащих обследованию;
• перечень информации, которую предоставят исполнителю;
• Модель угроз информационной безопасности;
• категории пользователей, считающихся потенциальными нарушителями.
На основе составленного регламента аудита информационной безопасности осуществляется все взаимодействие исполнителя и заказчика.
План аудита согласуется с заказчиком и, как правило, содержит следующие данные:
• цель проведения аудита ИБ;
• критерии проведения аудита ИБ;
• область аудита ИБ;
• даты и срока проведения аудита ИБ;
• роли членов аудиторской группы;
• результаты анализа на выходе.
Методы аудита информационной безопасности можно классифицировать как экспертно-аналитические, экспертно-инструментальные и моделирование действий злоумышленника.
Экспертно-аналитические методы заключаются в анализе и оценке состояния безопасности информационной среды на основе экспертной оценки. Экспертно-инструментальные методы – проведение анализа при помощи специального инструментария. Моделирование действий злоумышленника или так называемый «дружественный взлом» системы защиты информации – реализуется уже после проведения ранее исследований как заключительный контрольный этап аудита информационной безопасности.
Результатами аудита информационной безопасности могут быть:
• уменьшение риска компрометации информационной системы за счет внедрения технических или организационных средств защиты, направленных на снижение вероятности;
• хакерской атаки или ущерба от нее;
• исключение возможности проведения информационной атаки за счет изменения схемы информационного потока и архитектуры;
• минимизация негативного воздействия от риска за счет применения мер по страхованию;
• уменьшение риска до тех пор, пока он перестает представлять опасность для информационной системы.
Статью подготовила специалист по международным стандартам финансовой отчетности Меликова Мария Марковна. 
