Будник М.Н.

Государственное высшее учебное заведение «Национальный горный университет», Украина

Аудит информационной безопасности предприятия

    В настоящее время с развитием информационных технологий всё чаще встаёт вопрос о защите информации, единственным решением которого является проведение аудита информационной безопасности.

Аудит информационной безопасности – системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности [1].

    Существует множество случаев, в которых целесообразно проводить аудит безопасности. Так, например:

·        Аудит автоматизированной системы с целью подготовки технического задания на проектирование и разработку системы защиты информации.

·        Аудит автоматизированной системы после внедрения системы безопасности для оценки уровня ее эффективности.

·        Аудит, направленный на приведение системы безопасности, действующей в соответствие требованиям украинского или международного законодательства.

·        Аудит, предназначенный для систематизации и упорядочивания существующих мер защиты информации.

·        Аудит в целях расследования инцидента, произошедшего, связанного с нарушением информационной безопасности.

    Различают внешний и внутренний аудит.                                                     Внешний аудит — это, как правило, разовое мероприятие, проводимое по инициативе руководства организации или акционеров. Внешний аудит рекомендуется проводить регулярно.

    Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании «Положения о внутреннем аудите» и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации.

Основными целями аудита информационной безопасности является:

·        Независимая оценка текущего состояния системы безопасности.

·        Идентификация, оценка опасности и ликвидация уязвимостей.

·        Технико-экономическое обоснование внедряемых механизмов безопасности.

·        Обеспечение соответствия требованиям действующего законодательства и международным стандартам.

·        Минимизация ущерба от инцидентов безопасности.

Аудит безопасности информационных систем позволяет:

·        Получить полную и объективную оценку степени защищенности информационной системы.

·        Выявить и описать имеющиеся проблемы.

·        Выработать и обосновать требования к системе безопасности в рамках заданных критериев.

·        Оценить уровень затрат на создание или модернизацию системы ИБ.

·        Разработать эффективную программу создания или модернизации системы обеспечения информационной безопасности предприятия-заказчика до заданного уровня.

·        Обеспечить предсказуемость результатов действий по обеспечению информационной безопасности  и внедрить прозрачную плановую систему затрат.

Работы по аудиту безопасности ИС включают в себя ряд последовательных этапов:

·        Постановка задачи и уточнение границ работ.

·        Сбор и анализ информации.

·        Выработку рекомендаций.

·        Подготовку аудиторского отчета.

Постановка задачи и уточнение границ работ.

На данном этапе проводятся сбор исходных данных от заказчика, их предварительный анализ, а также организационные мероприятия по подготовке проведения аудита:

·    Уточняются цели и задачи аудита.

·    Формируется рабочая группа.

·    Подготавливается и согласовывается техническое задание на проведение аудита.

Сбор и анализ информации.

    На этом этапе собирается информация и дается оценка следующих мер и средств:

·    Организационных мер в области информационной безопасности.

·    Программно-технических средств защиты информации.

·    Обеспечения физической безопасности.

Анализируются следующие характеристики построения и функционирования корпоративной информационной системы:

·    Организационные характеристики.

·    Организационно-технические характеристики.

·    Технические характеристики, связанные с архитектурой ИС.

·    Технические характеристики, связанные с конфигурацией сетевых устройств и серверов ИС.

·    Технические характеристики, связанные с использованием встроенных механизмов информационной безопасности.

    Выработка рекомендаций.

    Рекомендации, выдаваемые аудитором по результатам анализа состояния ИС, определяются используемым подходом, особенностями обследуемой ИС, состоянием дел с информационной безопасностью и степенью детализации, используемой при проведении аудита. В любом случае, рекомендации аудитора должны быть конкретными и применимыми к данной ИС, экономически обоснованными, аргументированными (подкрепленными результатами анализа) и отсортированными по степени важности.

    Подготовка отчетных документов

    Аудиторский отчет является основным результатом проведения аудита. Он содержит описание целей проведения аудита, характеристику обследуемой ИС, указание границ проведения аудита и используемых методов, результаты анализа данных аудита, выводы, обобщающие эти результаты и содержащие оценку уровня защищенности ИС или соответствие ее требованиям стандартов, и, конечно, рекомендации специалистов  по устранению существующих недостатков и совершенствованию системы защиты.

Литература:

1.С.А. Петренко С.А. Аудит безопасности Intranet, 2002.-387 с.

2.Астахов А. Аудит безопасности информационных систем,2002.          

3.Аудит информационной безопасности. Свободная библиотека - Википедия (Электронный ресурс) / Способ доступа: URL: http://www.wikipedia.org/.