Аудит информационной безопасности

Аудит информационной безопасности – независимая или проводимая штатной группой аудиторов услуга по оценке текущего состояния системы информационной безопасности на основании определенных критериев безопасности, с последующей выработкой рекомендаций.

Своевременно проведенный аудит ИБ дает возможность:

• получить объективную оценку защищенности информационной системы (ИС);
• анализировать и прогнозировать информационные риски;
• оценивать степень соответствия защищенности ИС стандартам в сфере ИБ;
• разработать рекомендации по введению новых и доработке текущих средств и методов защиты ИС;
• расчёта затрат на систему ИБ.

Направленность аудита информационной безопасности зависит от многих факторов. Можно выделить основные:

Аттестация и разработка объектов информатизации в защищенном исполнении:

• автоматизированных систем (АС), средств обработки информации;
• выделенных помещений и технических средств (ТС), расположенных и установленных в них.

Анализ защищенности каналов, по которым циркулируют документы, содержащие информацию ограниченного распространения: поиск ТКУИ (Технические каналы утечки информации) и методов нелегального доступа к данным документам.

Специальные исследования ТС (ПЭВМ, средства связи и обработки информации) с целью проверки наличия ПЭМИН (Побочные электромагнитные излучения и наводки).

Тестирование на проникновение. Целью тестирования является проверка способности ИС компании противостоять попыткам проникновения в сеть и несанкционированного воздействия на информацию.

Аудит ИБ делится на внешний и внутренний с тем различием, что при внешнем аудите вся работа проводится нанятой аудиторской компанией, как правило, единоразово, но с определенной периодичностью, и инициируется руководством. Внутренний подразумевает непрерывную деятельность, выполняемую специальной группой, состоящей из сотрудников компании, на основе утвержденного руководством плана.

Аудит информационной безопасности, как правило, состоит из пяти этапов:

Инициирование. Данный этап предназначен для решения организационных вопросов. В результате необходимо подготовить:

• в случае работы внешней компанией – договор на оказание услуги, иначе – в должностном регламенте ответственного за данное направление должны быть закреплены обязанности в части, касающейся проведения аудита;
• программа выполнения аудита;
• положение об аудите, которое определяет порядок содействия аудитору и предоставления информации со стороны сотрудников по требованию.

Сбор информации. На данном этапе осуществляется сбор организационных и технических данных со всех объектов инфраструктуры, подвергнутых аудиту.

Анализ выявленных данных. В основном определяется подходом к организации аудита.

Разработка рекомендаций. Рекомендации являются конкретными, обоснованными с экономической точки зрения и расположенными по степени критичности.

Подготовка отчетной документации. Отчет, как правило, включает:

• цель и методы проведения аудита;
• список объектов ИС, подвергнутых аудиту;
• описание текущих рисков, угроз и выявленных уязвимостей;
• результаты анализа, содержащие резюме для руководства компании;
• предлагаемые защитные меры и рекомендации по модернизации системы ИБ.