Управление финансами Получите консультацию:
8 (800) 600-76-83

Бесплатный звонок по России

документы

1. Введение продуктовых карточек для малоимущих в 2021 году
2. Как использовать материнский капитал на инвестиции
3. Налоговый вычет по НДФЛ онлайн с 2021 года
4. Упрощенный порядок получения пособия на детей от 3 до 7 лет в 2021 году
5. Выплата пособий по уходу за ребенком до 1,5 лет по новому в 2021 году
6. Продление льготной ипотеки до 1 июля 2021 года
7. Новая льготная ипотека на частные дома в 2021 году
8. Защита социальных выплат от взысканий в 2021 году
9. Банкротство пенсионной системы неизбежно
10. Выплата пенсионных накоплений тем, кто родился до 1966 года и после
11. Семейный бюджет россиян в 2021 году

О проекте О проекте    Контакты Контакты    Загадки Загадки    Психологические тесты Интересные тесты
папка Главная » Полезные статьи » Об аудите информационной безопасности

Об аудите информационной безопасности

Статью подготовила доцент кафедры социально-гуманитарных дисциплин Волгушева Алла Александровна. Связаться с автором

Информационная безопасность

Вернуться назад на Информационная безопасность
Не забываем поделиться:


Сегодня информационные системы (ИС) играют ключевую роль в обеспечении эффективности работы коммерческих и государственных предприятий. Повсеместное использование ИС для хранения, обработки и передачи информации делает актуальными проблемы их защиты, особенно учитывая глобальную тенденцию к росту числа информационных атак, приводящих к значительным финансовым и материальным потерям. Для эффективной защиты от атак компаниям необходима объективная оценка уровня безопасности ИС - именно для этих целей и применяется аудит безопасности.

Определение аудита безопасности еще не устоялось, но в общем случае его можно описать как процесс сбора и анализа информации об ИС для качественной или количественной оценки уровня ее защищенности от атак злоумышленников. Существует множество случаев, когда целесообразно проводить аудит безопасности.

Это делается, в частности, при подготовке технического задания на проектирование и разработку системы защиты информации и после внедрения системы безопасности для оценки уровня ее эффективности. Возможен аудит, направленный на приведение действующей системы безопасности в соответствие требованиям российского или международного законодательства.

Аудит может также предназначаться для систематизации и упорядочения существующих мер защиты информации или для расследования произошедшего инцидента, связанного с нарушением информационной безопасности.

Как правило, для проведения аудита привлекаются внешние компании, которые предоставляют консалтинговые услуги в области информационной безопасности. Инициатором процедуры аудита может стать руководство предприятия, служба автоматизации или служба информационной безопасности.

В ряде случаев аудит также проводится по требованию страховых компаний или регулирующих органов. Аудит безопасности выполняется группой экспертов, численность и состав которой зависит от целей и задач обследования, а также от сложности объекта оценки.

Можно выделить следующие основные виды аудита информационной безопасности:

• экспертный аудит безопасности, в ходе которого выявляются недостатки в системе мер защиты информации на основе опыта экспертов, участвующих в процедуре обследования;
• оценка соответствия рекомендациям международного стандарта ISO 17799, а также требованиям руководящих документов ФСТЭК (Гостехкомиссии);
• инструментальный анализ защищенности ИС, направленный на выявление и устранение уязвимостей программно-аппаратного обеспечения системы;
• комплексный аудит, включающий в себя все вышеперечисленные формы проведения обследования.

Любой из перечисленных видов аудита может проводиться по отдельности или в комплексе, в зависимости от тех задач, которые решает предприятие. В качестве объекта аудита может выступать как ИС компании в целом, так и ее отдельные сегменты, в которых обрабатывается информация, подлежащая защите.

Проведение аудита безопасности

На первом этапе совместно с заказчиком разрабатывается регламент, устанавливающий состав и порядок проведения работ. Основная задача регламента - определить границы, в рамках которых будет проводиться обследование. Регламент позволяет избежать взаимных претензий по завершении аудита, поскольку четко определяет обязанности сторон.

Как правило, регламент содержит следующую основную информацию:

• состав рабочих групп от исполнителя и заказчика для проведения аудита;
• список и местоположение объектов заказчика, подлежащих аудиту;
• перечень информации, которая будет предоставлена исполнителю;
• перечень ресурсов, которые рассматриваются в качестве объектов защиты (информационные, программные, физические ресурсы и т. д.);
• модель угроз информационной безопасности, на основе которой проводится аудит;
• категории пользователей, которые рассматриваются в качестве потенциальных нарушителей;
• порядок и время проведения инструментального обследования ИС заказчика.

На втором этапе, в соответствии с согласованным регламентом, собирается исходная информация. Методы сбора информации включают интервьюирование сотрудников заказчика, заполнение опросных листов, анализ предоставленной организационно-распорядительной и технической документации, использование специализированных инструментальных средств.

Третий этап работ предполагает анализ собранной информации с целью оценки текущего уровня защищенности ИС предприятия. По результатам проведенного анализа на четвертом этапе разрабатываются рекомендации по повышению уровня защищенности ИС от угроз информационной безопасности.

Ниже мы подробнее рассмотрим этапы аудита, связанные со сбором информации, ее анализом и разработкой рекомендаций по повышению уровня защиты ИС.

Сбор исходных данных
Самое читаемое за неделю

документ Введение ковидных паспортов в 2021 году
документ Должен знать каждый: Сильное повышение штрафов с 2021 года за нарушение ПДД
документ Введение продуктовых карточек для малоимущих в 2021 году
документ Доллар по 100 рублей в 2021 году
документ Новая льготная ипотека на частные дома в 2021 году
документ Продление льготной ипотеки до 1 июля 2021 года
документ 35 банков обанкротятся в 2021 году


Задавайте вопросы нашему консультанту, он ждет вас внизу экрана и всегда онлайн специально для Вас. Не стесняемся, мы работаем совершенно бесплатно!!!

Также оказываем консультации по телефону: 8 (800) 600-76-83, звонок по России бесплатный!

Качество аудита безопасности во многом зависит от полноты и точности информации, полученной в процессе сбора исходных данных. Поэтому в нее необходимо включить следующее: организационно-распорядительную документацию, касающуюся вопросов информационной безопасности, сведения о программно-аппаратном обеспечении ИС, информацию о средствах защиты, установленных в ИС, и т. д.

Как уже отмечалось выше, для сбора исходных данных применяются следующие методы.

Интервьюирование сотрудников заказчика, обладающих необходимой информацией. Интервью обычно проводятся как с техническими специалистами, так и с представителями руководящего звена компании. Перечень вопросов, которые планируется обсудить в процессе интервью, согласовывается заранее.

Предоставление опросных листов по определенной тематике, которые сотрудники заказчика заполняют самостоятельно. В тех случаях, когда представленные материалы не полностью отвечают на необходимые вопросы, проводится дополнительное интервьюирование.

Анализ организационно-технической документации, используемой заказчиком.

Использование специализированного ПО, которое позволяет получить необходимую информацию о составе и настройках программно-аппаратного обеспечения ИС предприятия. Например, с помощью систем анализа защищенности (security scanners) можно провести инвентаризацию сетевых ресурсов и выявить уязвимости в них. В качестве примеров таких систем можно назвать Internet Scanner компании ISS и XSpider компании Positive Technologies.

Оценка уровня безопасности ИС

После сбора необходимой информации проводится ее анализ с целью оценки текущего уровня защищенности системы. В процессе такого анализа определяются риски информационной безопасности, которым подвержена компания. Фактически риск представляет собой интегральную оценку того, насколько эффективно существующие средства защиты способны противостоять информационным атакам.

Обычно выделяют две основные группы методов расчета рисков безопасности. Первая группа позволяет установить уровень риска путем оценки степени соответствия определенному набору требований к информационной безопасности.

В качестве источников таких требований могут выступать:

• нормативно-правовые документы предприятия, касающиеся вопросов информационной безопасности (политика безопасности, регламенты, приказы, распоряжения);
• требования действующего российского законодательства - руководящие документы ФСТЭК (Гостехкомиссии), СТР-К, требования ФСБ РФ, ГОСТы и т. д.;
• рекомендации международных стандартов - ISO 17799, OCTAVE, CoBIT, BS 7799-2 и т. д.;
• рекомендации компаний-производителей программного и аппаратного обеспечения - Microsoft, Oracle, Cisco и т. д.

Вторая группа методов оценки рисков информационной безопасности базируется на определении вероятности реализации атак, а также уровней их ущерба. Значение риска вычисляется отдельно для каждой атаки и в общем случае представляется как произведение вероятности проведения атаки a на величину возможного ущерба от этой атаки - Риск (a) = P(a) . Ущерб (a). Значение ущерба определяется собственником информационного ресурса, а вероятность атаки вычисляется группой экспертов, проводящих процедуру аудита. Вероятность в данном случае рассматривается как мера того, что в результате проведения атаки нарушители достигли своих целей и нанесли ущерб компании.

Методы обеих групп могут использовать количественные или качественные шкалы для определения величины риска информационной безопасности. В первом случае для риска и всех его параметров берутся численные выражения. Например, при использовании количественных шкал вероятность проведения атаки P(a) может выражаться числом в интервале [0,1], а ущерб от атаки - задаваться в виде денежного эквивалента материальных потерь, которые может понести организация в случае успешной атаки. При использовании качественных шкал числовые значения заменяются на эквивалентные им понятийные уровни. Каждому понятийному уровню в этом случае будет соответствовать определенный интервал количественной шкалы оценки. Количество уровней может варьироваться в зависимости от применяемых методик оценки рисков.

Для вычисления уровня риска по качественным шкалам применяются специальные таблицы, в которых в первом столбце задаются понятийные уровни ущерба, а в первой строке - уровни вероятности атаки. Ячейки же таблицы, расположенные на пересечении соответствующих строк и столбцов, содержат уровень риска безопасности.
интересное на портале
документ Тест "На сколько вы активны"
документ Тест "Подходит ли Вам ваше место работы"
документ Тест "На сколько важны деньги в Вашей жизни"
документ Тест "Есть ли у вас задатки лидера"
документ Тест "Способны ли Вы решать проблемы"
документ Тест "Для начинающего миллионера"
документ Тест который вас удивит
документ Семейный тест "Какие вы родители"
документ Тест "Определяем свой творческий потенциал"
документ Психологический тест "Вы терпеливый человек?"


При расчете значений вероятности атаки, а также уровня возможного ущерба используют статистические методы, экспертные оценки или элементы теории принятия решений. Статистические методы предполагают анализ уже накопленных данных о реально случавшихся инцидентах, связанных с нарушением информационной безопасности. На основе результатов такого анализа строятся предположения о вероятности проведения атак и уровнях ущерба от них в других ИС. Однако статистические методы не всегда удается применить из-за недостатка статистических данных о ранее проведенных атаках на ресурсы ИС, аналогичной той, которая выступает в качестве объекта оценки.

При использовании аппарата экспертных оценок анализируются результаты работы группы экспертов, компетентных в области информационной безопасности, которые на основе имеющегося у них опыта определяют количественные или качественные уровни риска. Элементы теории принятия решений позволяют применять для вычисления значения риска безопасности более сложные алгоритмы обработки результатов работы группы экспертов.

Существуют специализированные программные комплексы, позволяющие автоматизировать процесс анализа исходных данных и расчета значений рисков при аудите безопасности. Примеры таких комплексов - "Гриф" и "Кондор" компании Digital Security, а также "АванГард", разработанный в Институте системного анализа РАН.

Результаты аудита безопасности

На последнем этапе аудита информационной безопасности разрабатываются рекомендации по совершенствованию организационно-технического обеспечения защиты на предприятии. Такие рекомендации могут включать в себя различные типы действий, направленных на минимизацию выявленных рисков.

Уменьшение риска за счет дополнительных организационных и технических средств защиты, позволяющих снизить вероятность проведения атаки или уменьшить возможный ущерб от нее. Так, установка межсетевых экранов в точке подключения ИС к Интернету существенно снижает вероятность проведения успешной атаки на общедоступные информационные ресурсы ИС - такие, как Web-серверы, почтовые серверы и т. д.

Уклонение от риска путем изменения архитектуры или схемы информационных потоков ИС, что позволяет исключить проведение той или иной атаки. Например, физическое отключение от Интернета сегмента ИС, в котором обрабатывается конфиденциальная информация, позволяет избежать внешних атак на конфиденциальную информацию.

Изменение характера риска в результате принятия мер по страхованию. В качестве примеров изменения характера риска можно привести страхование оборудования ИС от пожара или страхование информационных ресурсов от возможного нарушения их конфиденциальности, целостности или доступности. В настоящее время ряд российских компаний уже предлагают услуги страхования информационных рисков.

Принятие риска, если он уменьшен до того уровня, на котором уже не представляет опасности для ИС.

Обычно рекомендации направлены не на полное устранение всех выявленных рисков, а лишь на их уменьшение до приемлемого уровня. При выборе мер для повышения уровня защиты ИС учитывается одно принципиальное ограничение - стоимость реализации этих мер не должна превышать стоимости защищаемых информационных ресурсов, а также убытков компании от возможного нарушения конфиденциальности, целостности или доступности информации.

В завершение процедуры аудита его результаты оформляются в виде отчетного документа, который предоставляется заказчику.

В общем случае этот документ состоит из следующих основных разделов:

• описание границ, в рамках которых проводился аудит безопасности;
• описание структуры ИС заказчика;
• методы и средства, которые использовались в процессе проведения аудита;
• описание выявленных уязвимостей и недостатков, включая уровень их риска;
• рекомендации по совершенствованию комплексной системы обеспечения информационной безопасности;
• предложения к плану реализации первоочередных мер, направленных на минимизацию выявленных рисков.

Аудит информационной безопасности - один из наиболее эффективных сегодня инструментов для получения независимой и объективной оценки текущего уровня защищенности предприятия от угроз информационной безопасности. Кроме того, результаты аудита дают основу для формирования стратегии развития системы обеспечения информационной безопасности организации. Однако необходимо понимать, что аудит безопасности - не разовая процедура, он должен проводиться на регулярной основе. Только в этом случае аудит будет приносить реальную отдачу и способствовать повышению уровня информационной безопасности компании.

тема

документ Национальная безопасность
документ Транспортная безопасность
документ Безопасность электронной коммерции
документ Информационная культура
документ Информационная модель
документ Информационная политика
документ Информационное обеспечение

Получите консультацию: 8 (800) 600-76-83
Звонок по России бесплатный!

Не забываем поделиться:


Загадки

Как можно наполнить половину бочки водой, не пользуясь никаким измерительным прибором?

посмотреть ответ


назад Назад | форум | вверх Вверх

Загадки

Стрелка покажет 1 или 2?



посмотреть ответ
важное

Новая помощь малому бизнесу
Изменения по вопросам ИП

Новое в расчетах с персоналом в 2023 г.
Отчет по сотрудникам в 2023 г.
НДФЛ в 2023 г
Увеличение вычетов по НДФЛ
Что нового в патентной системе налогообложения в 2023
Что важно учесть предпринимателям при проведении сделок в иностранной валюте в 2023 году
Особенности работы бухгалтера на маркетплейсах в 2023 году
Риски бизнеса при работе с самозанятыми в 2023 году
Что ждет бухгалтера в работе в будущем 2024 году
Как компаниям МСП работать с китайскими контрагентами в 2023 г
Как выгодно продавать бухгалтерские услуги в 2023 году
Индексация заработной платы работодателями в РФ в 2024 г.
Правила работы компаний с сотрудниками с инвалидностью в 2024 году
Оплата и стимулирование труда директора в компаниях малого и среднего бизнеса в 2024 году
Правила увольнения сотрудников коммерческих компаний в 2024 г
Планирование отпусков сотрудников в небольших компаниях в 2024 году
Как уменьшить налоги при работе с маркетплейсами
Как защитить свой товар от потерь на маркетплейсах
Аудит отчетности за 2023 год
За что и как можно лишить работника премии
Как правильно переводить и перемещать работников компании в 2024 году
Размещение рекламы в интернете в 2024 году
Компенсации удаленным сотрудникам и налоги с их доходов в 2024 году
Переход бизнеса из онлайн в офлайн в 2024 г
Что должен знать бухгалтер о сдельной заработной плате в 2024 году
Как рассчитать и выплатить аванс в 2024 г
Как правильно использовать наличные в бизнесе в 2024 г.
Сложные вопросы работы с удаленными сотрудниками
Анализ денежных потоков в бизнесе в 2024 г
Что будет с налогом на прибыль в 2025 году
Как бизнесу правильно нанимать иностранцев в 2024 г
Можно ли устанавливать разную заработную плату сотрудникам на одной должности
Как укрепить трудовую дисциплину в компании в 2024 г
Как выбрать подрядчика по рекламе
Как небольшому бизнесу решить проблему дефицита кадров в 2024 году
Профайлинг – полезен ли он для небольшой компании?
Пени по налогам бизнеса в 2024 и 2025 годах



©2009-2023 Центр управления финансами.