|
FAQ: АУДИТ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
В последние годы на рынке информационной безопасности
все чаще говорят об аудите информационной безопасности как об универсальной
услуге. Однако, как показывает практика, компании по-разному представляют себе
данный вид услуг. В настоящей статье приводятся ответы на наиболее часто
задаваемые вопросы (FAQ, Frequently Asked Questions), связанные с аудитом
информационной безопасности.
Что такое аудит безопасности? Несмотря на то что пока
еще не сформировалось устоявшееся определение аудита безопасности, в общем
случае его можно представить как документированный процесс сбора и анализа
информации в целях получения объективной оценки уровня защищенности компании от
возможных угроз безопасности.
Аудит может быть внешним или внутренним. Внешний
аудит проводится независимой компанией, которая предоставляет консалтинговые
услуги в области информационной безопасности, внутренний - силами службы
внутреннего контроля компании, отделом информационной безопасности или ИТ.
Когда нужно проводить аудит информационной
безопасности? Существует множество случаев, в которых целесообразно проводить
аудит безопасности. В качестве примера можно привести следующие задачи, которые
могут быть решены при помощи аудита:
оценка уровня эффективности существующих в компании
средств защиты информации;
приведение действующей системы безопасности в
соответствие с требованиями российского или международного законодательства;
систематизация и упорядочение существующих мер защиты
информации;
подготовка технического задания на проектирование и
разработку системы защиты информации;
обоснование инвестиций на развитие системы
обеспечения информационной безопасности компании;
расследование инцидентов, связанных с нарушением
информационной безопасности.
Кто инициирует проведение аудита? Как правило,
инициатором процедуры аудита может являться руководство компании, отдел
автоматизации или информационной безопасности, а также служба внутреннего
контроля. В ряде случаев аудит может также проводиться по требованию страховых
компаний или регулирующих органов.
Какие бывают виды аудита безопасности? В настоящее
время можно выделить следующие основные виды аудита информационной
безопасности:
тест на проникновение (penetration testing),
направленный на оценку защищенности компании от внешних атак из сети Интернет;
оценка соответствия рекомендациям международного
стандарта ISO 27001;
аудит безопасности, направленный на оценку
соответствия требованиям стандарта информационной безопасности Банка России;
инструментальный анализ защищенности, ориентированный
на выявление технологических уязвимостей в информационных системах компаний;
оценка соответствия требованиям Федерального закона
"О персональных данных";
аудит наличия конфиденциальной информации на базе
технологий конкурентной разведки;
комплексный аудит, базирующийся на всесторонней
оценке рисков информационной безопасности.
Каждый из перечисленных видов аудита может
проводиться по отдельности или в комплексе в зависимости от тех задач, которые
необходимо решить компании. В качестве объекта аудита может выступать как
автоматизированная система в целом, так и ее отдельные сегменты, в которых
проводится обработка информации, подлежащей защите.
Какие работы входят в состав аудита безопасности? В
общем случае аудит безопасности независимо от формы его проведения состоит из
четырех основных этапов, каждый из которых предусматривает выполнение
определенного круга задач.
Первоначально с компанией-заказчиком заключается
соглашение о неразглашении, в рамках которого исполнитель берет на себя
обязательства по сохранению в тайне всей конфиденциальной информации, которая
будет получена им в процессе выполнения работ.
После подписания соглашения о неразглашении совместно
с заказчиком разрабатывается регламент (техническое задание), устанавливающий
состав и порядок проведения работ. Его основная задача заключается в
определении границ, в рамках которых будет проведено обследование. Регламент
является тем документом, который позволяет избежать взаимных претензий по
завершении аудита, поскольку четко определяет обязанности сторон.
На третьем этапе в соответствии с согласованным
регламентом осуществляется сбор исходной информации. Методы сбора информации
включают интервьюирование сотрудников заказчика, заполнение опросных листов,
анализ представленной организационно-распорядительной и технической
документации, использование специализированных инструментальных средств.
Четвертый этап работ предполагает анализ собранной
информации в целях оценки текущего уровня защищенности автоматизированной
системы заказчика. По результатам проведенного анализа разрабатываются
рекомендации по повышению уровня защищенности системы от угроз информационной
безопасности.
Что заказчик получает в результате аудита
безопасности? Результаты аудита безопасности оформляются в виде отчетного
документа, который представляется заказчику. В общем случае этот документ
состоит из следующих основных разделов:
определение границ, в рамках которых был проведен
аудит безопасности;
описание структуры автоматизированной системы
заказчика;
методы и средства, которые использовались в процессе
проведения аудита;
отражение выявленных уязвимостей и недостатков,
включая уровень их риска;
рекомендации по совершенствованию комплексной системы
обеспечения информационной безопасности;
предложения по плану реализации первоочередных мер,
направленных на минимизацию выявленных рисков.
Какие следующие шаги после аудита следует
предпринять? Аудит информационной безопасности не является конечной целью. Это
всего лишь первый шаг в построении системы безопасности. По его результатам
необходимо составить план мероприятий по совершенствованию мер защиты компании
с целью устранения выявленных недостатков. Как правило, выделяют следующие
основные направления по повышению уровня информационной безопасности компании:
технологическое обеспечение безопасности,
направленное на внедрение дополнительных программно-технических мер защиты;
кадровое обеспечение безопасности, связанное с
внедрением процесса обучения и аттестации персонала по вопросам защиты
информации;
нормативно-методическое обеспечение безопасности,
направленное на разработку документов по защите информации, таких, как
политики, регламенты, инструкции, положения и т.д.
Как часто необходимо проводить аудит информационной
безопасности? Частота проведения аудита зависит от того, как часто в
автоматизированную систему компании вносятся изменения - добавляются новые
филиалы, вводятся в эксплуатацию новые информационные системы, модернизируется
общесистемное и прикладное программное обеспечение и т.д. С точки зрения лучших
практик рекомендуется проходить внешний аудит безопасности один раз в год. Что
касается внутреннего аудита, то его следует проводить не реже одного раза в
квартал.
В.Сердюк
К. т. н.,
генеральный директор
ЗАО "ДиалогНаука", CISSP
|
