Аудит информационной безопасности

Аудит информационной безопасности

Информационные технологии на сегодняшний день играют ключевую роль в обеспечении эффективного выполнения бизнес-процессов различных коммерческих компаний. Вместе с тем повсеместное использование информационных технологий в деятельности компаний приводит к повышению актуальности проблем, связанных с защитой данных. За последние несколько лет, как в России, так и в зарубежных странах наблюдается увеличение числа атак на автоматизированные системы, приводящих к значительным финансовым и материальным потерям. Для объективной оценки текущего уровня безопасности автоматизированных систем применяется аудит безопасности, о котором и будет рассказано в рамках настоящей статьи.

В настоящее время специалистами используется несколько определений аудита, но наиболее часто применяется следующее: аудит информационной безопасности — процесс получения объективных качественных и количественных оценок текущего состояния информационной безопасности компании в соответствии с определенными критериями и показателями безопасности.

Виды аудита информационной безопасности

Можно выделить следующие основные виды аудита информационной безопасности:

Инструментальный анализ защищенности автоматизированной системы. Данный вид аудита направлен на выявление и устранение уязвимостей программного и аппаратного обеспечения системы.

Инструментальный анализ заключается в проведении специалистами по информационной безопасности атак на исследуемую автоматизированную систему. При этом могут применяться любые программные и аппаратные средства, доступные злоумышленникам. Основное назначение инструментального анализа – периодические проверки с целью выявления новых уязвимостей. Кроме того, данный вид аудита может применяться при обнаружении факта утечки информации ограниченного доступа с целью недопущения повторных утечек.

В общем случае инструментальный анализ состоит из двух частей:

1) исследование защищенности автоматизированной системы от удаленных атак – сканируются доступные хосты из сети заказчика, проводятся сетевые атаки с целью получения несанкционированного доступа к защищаемой информации или административным ресурсам.

2) выявление угроз информационной безопасности, исходящих от сотрудников компании или проникших в офис злоумышленников – проводится анализ способов аутентификации сотрудников компании, механизмов разделения прав доступа, определяется защищенность информации при передаче по локальной сети.

В ходе проведения  инструментального анализа в основном выявляются уязвимости, связанные с устаревшими версиями программных продуктов и некорректной их настройкой, хотя и могут быть выявлены существенные недочеты в корпоративной политике безопасности.

Оценка автоматизированных систем на предмет соответствия рекомендациям международных стандартов и требованиям руководящих документов ФСТЭК, ГОСТов, отраслевых стандартов.

Данный вид аудита является исследованием системы защиты информации на предмет соответствия требованиям официальных документов, например российских — «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» (ГОСТ Р ИСО/МЭК 15408-2002) или зарубежных — «Информационные технологии. Управление информационной безопасностью» — ISO/IEC 17799, WebTrust и других.

Особенностью аудита на соответствие стандартам является его связь с другой услугой — сертификацией. В случае  успешного прохождения аудита компания получит сертификат соответствия своей системы защиты информации. А это — серьезный плюс к имиджу любой публичной организации, особенно работающей с зарубежными партнерами. Следует отметить, что в государственных организациях, работающих с информацией, составляющей государственную тайну, сертификация системы защиты информации обязательна. Другой особенностью аудита на предмет соответствия стандартам является то, что право выдавать сертификаты имеют только организации, имеющие необходимые лицензии на право осуществления подобных видов деятельности или являющиеся специализированными аттестационными центрами.

Отчет о проведении такого вида аудита в общем случае содержит следующую информацию: степень соответствия проверяемой автоматизированной системы выбранным стандартам, количество и категории полученных несоответствий и замечаний, рекомендации по построению или модификации системы обеспечения информационной безопасности, которые позволят привести ее в соответствие с рассматриваемыми стандартами.

К результатам может добавиться также степень соответствия системы защиты информации внутренним требованиям руководства организации-заказчика.

Экспертный аудит защищенности автоматизированной системы. В процессе проведения данного вида аудита должны быть выявлены недостатки в системе защиты информации на основе имеющегося опыта экспертов, участвующих в процедуре обследования.

Экспертный аудит заключается в подробном исследовании системы защиты автоматизированной системы заказчика и в ее сравнении с некоторой идеальной моделью обеспечения информационной безопасности. Причем идеальная модель в каждом конкретном случае может меняться в зависимости от требований заказчика и собственного опыта компании-аудитора.

Результатом экспертного исследования является подготовка и предоставление клиентам отчета, в котором содержится информация о найденных уязвимостях системе защиты и недочетах в пакете организационно-распорядительных документов, а также предложения по их устранению. Кроме того, эксперты могут дать рекомендации по выбору и применению систем защиты информации и других дополнительных специальных технических средств.

Каждый из вышеперечисленных видов аудита может проводиться отдельно или в комплексе в зависимости от тех задач, которые необходимо решить в организации. В качестве объекта аудита может выступать как автоматизированная система компании в целом, так и её отдельные сегменты, в которых проводится обработка информации ограниченного доступа.

Состав работ по аудиту информационной безопасности

В общем случае аудит безопасности вне зависимости от формы его проведения состоит из четырёх основных этапов:

  1. Разработка регламента проведения аудита
  2. Сбор исходных данных
  3. Анализ полученных данных
  4. Разработка рекомендаций по повышению уровня защиты автоматизированной системы

На первом этапе совместно с заказчиком разрабатывается регламент, устанавливающий состав и порядок проведения работ. Основная задача регламента заключается в определении границ, в рамках которых будет проведено обследование. Регламент является тем документом, который позволяет избежать взаимных претензий по завершении аудита, поскольку чётко определяет обязанности сторон.

На втором этапе в соответствии с согласованным регламентом осуществляется сбор исходной информации. Методы сбора информации включают интервьюирование сотрудников заказчика, анализ предоставленной организационно-распорядительной и технической документации, использование специализированных инструментальных средств. На данном этапе собирается информация следующих типов:

  • Организационно-распорядительная документация по вопросам информационной безопасности (политика информационной безопасности компании, руководящие документы, регламенты работы пользователей с информационными ресурсами)
  • Информация об аппаратном обеспечении хостов (перечень серверов, рабочих станций, коммутационного оборудования автоматизированной системы; информация об аппаратной конфигурации серверов, данные о периферийном оборудовании)
  • Информация об общесистемном ПО (информация об операционных системах и СУБД, используемых в исследуемой системе)
  • Информация о прикладном ПО (перечень прикладного ПО общего и специального назначения; описание функциональных  задач, решаемых с помощью прикладного ПО)
  • Информация о средствах защиты, установленных в автоматизированной системе (информация о производителе средства защиты, сведения о конфигурации средств защиты, схема установки средств защиты)
  • Информация о топологии автоматизированной системы (топология локальной сети, сведения о типах каналов связи и используемых в автоматизированной системе сетевых протоколах, схема информационных потоков)

Третий этап работ предполагает проведение анализа собранной информации с целью оценки текущего уровня защищённости автоматизированной системы заказчика.

В процессе анализа определяются риски информационной безопасности, которым может быть подвержена компания.

Фактически риск представляет собой интегральную оценку того, насколько эффективно существующие средства защиты способны противостоять атакам с использованием информационных технологий.

В зависимости от вида аудита используются  две основные группы методов расчёта рисков безопасности. Первая группа методов позволяет установить уровень риска путём оценки степени соответствия определённому набору требований по обеспечению информационной безопасности.

В качестве источников таких требований могут выступать:

  • Нормативно-правовые документы предприятия, касающиеся вопросов информационной безопасности;
  • Требования действующего российского законодательства – руководящие документы ФСТЭК (Гостехкомиссии), СТР-К, требования ФСБ РФ, ГОСТы и др.;
  • Рекомендации международных стандартов – ISO 17799, OCTAVE, CoBIT и др.;
  • Рекомендации компаний-производителей программного и аппаратного обеспечения – Microsoft, Oracle, Cisco и др.

Данная группа методов используется при проведении оценки автоматизированных систем на предмет соответствия стандартам и руководящим документам.

Вторая группа методов оценки рисков информационной безопасности используется при проведении инструментального анализа защищенности и базируется на определении вероятности реализации атак, а также уровней их ущерба. В данном случае значение риска вычисляется отдельно для каждой атаки и в общем случае представляется как произведение вероятности проведения атаки на величину возможного ущерба от этой атаки. Значение ущерба определяется собственником информационного ресурса, а вероятность атаки вычисляется группой экспертов, проводящих процедуру аудита.

Методы первой и второй группы могут использовать количественные или качественные шкалы для определения величины риска информационной безопасности. В первом случае риск и все его параметры выражаются в числовых значениях. Так, например, при использовании количественных шкал вероятность проведения атаки может выражаться числом в определенном интервале, а ущерб атаки может задаваться в виде денежного эквивалента материальных потерь, которые может понести организация в случае успешного проведения атаки.

При использовании качественных шкал числовые значения заменяются на эквивалентные им понятийные уровни. Каждому понятийному уровню в этом случае будет соответствовать определённый интервал количественной шкалы оценки.

При расчете значений вероятности проведения атаки, а также уровня возможного ущерба могут использоваться статистические методы, методы экспертных оценок или элементы теории принятия решений.

По результатам проведённого анализа на четвёртом этапе проводится разработка рекомендаций по повышению уровня защищённости автоматизированной системы от угроз информационной безопасности.

Такие рекомендации могут включать в себя следующие типы действий, направленных на минимизацию выявленных рисков:

  • уменьшение риска за счёт использования дополнительных организационных и технических средств защиты, позволяющих снизить вероятность проведения атаки или уменьшить возможный ущерб от неё. Так, например, установка межсетевых экранов в точке подключения автоматизированной системы к сети Интернет позволяет существенно снизить вероятность проведения успешной атаки на общедоступные информационные ресурсы системы, такие как Web-серверы, почтовые серверы и т.д.;
  • уклонение от риска путём изменения архитектуры или схемы информационных потоков автоматизированной системы, что позволяет исключить возможность проведения той или иной атаки. Так, например, физическое отключение от сети Интернет сегмента автоматизированной системы, в котором обрабатывается конфиденциальная информация, позволяет исключить атаки на конфиденциальную информацию из этой сети;
  • изменение характера риска в результате принятия мер по страхованию. В качестве примеров такого изменения характера риска можно привести страхование оборудования автоматизированной системы от пожара или страхование информационных ресурсов от возможного нарушения их конфиденциальности, целостности или доступности;
  • принятие риска в том случае, если он уменьшен до того уровня, на котором он не представляет опасности для автоматизированной системы.

Как правило, разработанные рекомендации направлены не на полное устранение всех выявленных рисков, а лишь на их уменьшение до приемлемого остаточного уровня. При выборе мер по повышению уровня защиты автоматизированной системы учитывается одно принципиальное ограничение – стоимость их реализации не должна превышать стоимость защищаемых информационных ресурсов.

В завершении процедуры аудита его результаты оформляются в виде отчётного документа, который предоставляется заказчику. В общем случае этот документ состоит из следующих основных разделов:

  • описание границ, в рамках которых был проведён аудит безопасности;
  • описание структуры автоматизированной системы заказчика;
  • методы и средства, которые использовались в процессе проведения аудита;
  • описание выявленных уязвимостей и недостатков, включая уровень их риска;
  • рекомендации по совершенствованию комплексной системы обеспечения информационной безопасности;
  • предложения по плану реализации первоочередных мер, направленных на минимизацию выявленных рисков.

Заключение

Аудит информационной безопасности является сегодня одним из наиболее эффективных инструментов для получения независимой и объективной оценки текущего уровня защищённости предприятия от угроз информационной безопасности. Кроме того, результаты аудита используются для формирования стратегии развития системы защиты информации в организации. Необходимо помнить, что аудит безопасности не является однократной процедурой, а должен проводиться на регулярной основе. Только в этом случае аудит будет приносить реальную пользу и способствовать повышению уровня информационной безопасности компании.

Блог автора



  • 14.12.2017
    Пять способов найти злоумышленника в сети

    Мы все знаем, что атаки в конечном счете пресекаются, единственный вопрос, который остается, — как их найти быстро! Хорошая новость: атака в своем начале очень активна.Злоумышленник может быть идентифицирован и остановлен, если вы знаете, как выглядят некоторые ключевые моменты, которые помогут вам в его обнаружении.

Архив

Архив

ГЛАВА 2. ЭТАПНОСТЬ РАБОТ ПО ПРОВЕДЕНИЮ АУДИТА ИНФОРМАЦИОННЫХ СИСТЕМ ПРЕДПРИЯТИЯ

Основные этапы аудита информационных систем предприятия

Работы по аудиту ИС включают в себя ряд последовательных этапов, которые в целом соответствуют этапам проведения комплексного ИТ аудита АС, который включает в себя следующее:

· инициирование процедуры аудита;

· сбор информации аудита;

· анализ данных аудита;

· выработка рекомендаций;

· подготовка аудиторского отчета;

· инициирование процедуры аудита.

Аудит проводится не по инициативе аудитора, а по инициативе руководства компании, которое в данном вопросе является основной заинтересованной стороной. Поддержка руководства компании является необходимым условием для проведения аудита.

Аудит представляет собой комплекс мероприятий, в которых помимо самого аудитора, оказываются задействованными представители большинства структурных подразделений компании. Действия всех участников этого процесса должны быть скоординированы. Поэтому на этапе инициирования процедуры аудита должны быть решены следующие организационные вопросы:

Ø права и обязанности аудитора должны быть четко определены и документально закреплены в его должностных инструкциях, а также в положении о внутреннем (внешнем) аудите;

Ø аудитором должен быть подготовлен и согласован с руководством план проведения аудита;

Ø в положении о внутреннем аудите должно быть закреплено, в частности, что сотрудники компании обязаны оказывать содействие аудитору и предоставлять всю необходимую для проведения аудита информацию.

Инициирование процедуры аудита

На этапе инициирования процедуры аудита должны быть определены границы проведения обследования. Одни информационные подсистемы компании не являются достаточно критичными и их можно исключить из границ проведения обследования. Другие подсистемы могут оказаться недоступными для аудита из-за соображений конфиденциальности.

Границы проведения обследования определяются в следующих терминах:

· Список обследуемых физических, программных и информационных ресурсов;

· Площадки (помещения), попадающие в границы обследования;

· Основные виды угроз безопасности, рассматриваемые при проведении аудита;

Организационные (законодательные, административные и процедурные), физические, программно-технические и прочие аспекты обеспечения безопасности, которые необходимо учесть в ходе проведения обследования, и их приоритеты (в каком объеме они должны быть учтены).

План и границы проведения аудита обсуждается на рабочем собрании, в котором участвуют аудиторы, руководство компании и руководители структурных подразделений.

Сбор информации аудита

Этап сбора информации аудита, является наиболее сложным и длительным. Это связано с отсутствием необходимой документации на информационную систему и с необходимостью плотного взаимодействия аудитора со многими должностными лицами организации.

Компетентные выводы относительно положения дел в компании могут быть сделаны аудитором только при условии наличия всех необходимых исходных данных для анализа. Получение информации об организации, функционировании и текущем состоянии ИС осуществляется аудитором в ходе специально организованных интервью с ответственными лицами компании, путем изучения технической и организационно-распорядительной документации, а также исследования ИС с использованием специализированного программного инструментария. Остановимся на том, какая информация необходима аудитору для анализа.

Первый пункт аудиторского обследования начинается с получения информации об организационной структуре пользователей ИС и обслуживающих подразделений. В связи с этим аудитору требуется следующая документация:

· Схема организационной структуры пользователей;

· Схема организационной структуры обслуживающих подразделений.

На следующем этапе аудитора интересует информация о назначении и функционировании ИС. Аудитор задает опрашиваемым примерно следующие вопросы:

· Какие услуги и каким образом предоставляются конечным пользователям?

· Какие основные виды приложений, функционирует в ИС?

· Количество и виды пользователей, использующих эти приложения?

Ему понадобиться также следующая документация, конечно, если таковая вообще имеется в наличие (что, вообще говоря, случается нечасто):

· Функциональные схемы;

· Описание автоматизированных функций;

· Описание основных технических решений;

· Другая проектная и рабочая документация на информационную систему.

Далее, аудитору требуется более детальная информация о структуре ИС. Это позволит уяснить, каким образом осуществляется распределение механизмов по структурным элементам и уровням функционирования ИС. Типовые вопросы, которые обсуждаются в связи с этим во время интервью, включают в себя:

· Из каких компонентов (подсистем) состоит ИС?

· Функциональность отдельных компонент?

· Где проходят границы системы?

· Какие точки входа имеются?

· Как ИС взаимодействует с другими системами?

· Какие каналы связи используются для взаимодействия с другими ИС?

· Какие каналы связи используются для взаимодействия между компонентами системы?

· По каким протоколам осуществляется взаимодействие?

· Какие программно-технические платформы используются при построении системы?

На этом этапе аудитору необходимо запастись следующей документацией:

· Структурная схема ИС;

· Схема информационных потоков;

· Описание структуры комплекса технических средств информационной системы;

· Описание структуры программного обеспечения;

· Описание структуры информационного обеспечения;

· Размещение компонентов информационной системы.

Подготовка значительной части документации на ИС, обычно, осуществляется уже в процессе проведения аудита. Когда все необходимые данные по ИС, включая документацию, подготовлены, можно переходить к их анализу.

Анализ данных аудита

Используемые аудиторами методы анализа данных определяются выбранными подходами к проведению аудита, которые могут существенно различаться.

Первый подход, самый сложный, базируется на анализе рисков. Опираясь на методы анализа рисков, аудитор определяет для обследуемой ИС индивидуальный набор требований, в наибольшей степени учитывающий особенности данной ИС, среды ее функционирования. Данный подход является наиболее трудоемким и требует наивысшей квалификации аудитора. На качество результатов аудита, в этом случае, сильно влияет используемая методология анализа и управления рисками и ее применимость к данному типу ИС.

Второй подход, самый практичный, опирается на использование стандартов.

Стандарты определяют базовый набор требований для широкого класса ИС, который формируется в результате обобщения мировой практики. Стандарты могут определять разные наборы требований, в зависимости от уровня защищенности ИС, который требуется обеспечить, ее принадлежности (коммерческая организация, либо государственное учреждение), а также назначения (финансы, промышленности, связь и т.п.). От аудитора в данном случае требуется правильно определить набор требований стандарта, соответствие которым требуется обеспечить для данной ИС. Необходима также методика, позволяющая оценить это соответствие. Из-за своей простоты (стандартный набор требований для проведения аудита уже заранее определен стандартом) и надежности (стандарт — есть стандарт и его требования никто не попытается оспорить), описанный подход наиболее распространен на практике (особенно при проведении внешнего аудита).

Он позволяет при минимальных затратах ресурсов делать обоснованные выводы о состоянии ИС.

Третий подход, наиболее эффективный, предполагает комбинирование первых двух. Базовый набор требований, предъявляемых к ИС, определяется стандартом. Дополнительные требования, в максимальной степени учитывающие особенности функционирования данной ИС, формируются на основе анализа рисков. Этот подход является намного проще первого, т.к. большая часть требований уже определена стандартом, и, в то же время, он лишен недостатка второго подхода, заключающего в том, что требования стандарта могут не учитывать специфики обследуемой ИС.



Дата добавления: 2016-03-27; просмотров: 1085 | Нарушение авторских прав


Похожая информация:


Поиск на сайте:


Есть в наличии

Аудит информационных технологий

Учебник для вузов

Грекул В.И.

2015 г.

154 стр.

Тираж 500 экз.

Учебное издание

Формат 60х90/16 (145×215 мм)

Исполнение: в мягкой обложке

ISBN 978-5-9912-0528-3

ББК 32.973

УДК 004.05

Гриф УМО
Рекомендовано УМО вузов РФ в области экономики, менеджмента, логистики и бизнес-информатики в качестве учебника для студентов вузов, обучающихся по направлению подготовки «Бизнес-информатика»

Аннотация

Приведены базовые сведения о практиках и технологиях, применяемых в компаниях для организации и поддержки ИТ, рассмотрены процедуры проведения исследования и анализа применения информационных технологий и их влияния на деятельность организации. Приведено описание различных видов ИТ-аудита, соответствующих им целей и задач, требований к профессиональной подготовке аудиторов, методик проведения аудиторских проверок. В основу книги положен курс лекций, читаемых автором в Национальном исследовательском университете «Высшая школа экономики».

Для студентов вузов, обучающихся по направлению «Бизнес-информатика», будет полезен специалистам в области управления информационными системами и реинжиниринга бизнес-процессов, системным аналитикам, бизнес-аналитикам и консультантам по информационным технологиям.

Введение

1. Организация проекта аудита информационных технологий
1.1. Общая характеристика проектов аудита ИТ
1.2. Планирование проекта
1.2.1. Определение проекта
1.2.2. Анализ рисков
1.2.3. Процедуры внутреннего управления заказчика
1.2.4. План проверок
1.3. Исполнение проекта аудита
1.3.1. Уточнение плана проверок
1.3.2. Процедуры сбора данных при аудите
1.3.3. Проверка существования процедур управления
1.3.4. Проверка эффективности процедур управления
1.3.5. Использование результатов самопроверок
1.3.6. Анализ особых ситуаций
1.3.7. Формирование заключений
1.3.8. Документация проекта аудита
1.3.9. Подготовка итогового отчета по аудиту
1.4. Вопросы для самостоятельного контроля знаний

2. Оценка организации руководства информационными технологиями
2.1. Задачи аудита
2.2. Методики и практики руководства ИТ
2.2.1. Организация руководства ИТ
2.2.2. ИТ-стратегия
2.2.3. Политики, процедуры и стандарты
2.2.4. Управление рисками
2.2.5. Управление информационными технологиями
2.2.6. Организационная структура ИТ-службы
2.3. Вопросы для самостоятельного контроля знаний

3. Оценка управления жизненным циклом ИТ
3.1. Задачи аудита
3.2. Методики и практики управления жизненным циклом ИТ
3.2.1. Управление программами и портфелями проектов
3.2.2. Управление проектами
3.2.3. Оценка стоимости и сроков исполнения ИТ-проектов
3.2.4. Управление жизненным циклом программных продуктов и информационных систем
3.2.5. Управление созданием инфраструктуры
3.2.6. Управление жизненным циклом бизнес-процессов
3.3. Вопросы для самостоятельного контроля знаний

4. Оценка управления ИТ-сервисами
4.1. Задачи аудита
4.2. Методики и практики управления ИТ-сервисами
4.2.1. Организация эксплуатации информационных систем
4.2.2. Управление ИТ-сервисами
4.2.3. Организация функционирования инфраструктуры
4.3. Вопросы для самостоятельного контроля знаний

5. Оценка безопасности информационных ресурсов
5.1.

Задачи аудита
5.2. Методики и практики обеспечения безопасности информационных ресурсов
5.2.1. Основные принципы обеспечения информационной безопасности
5.2.2. Роли и распределение ответственности в обеспечении информационной безопасности
5.2.3. Инвентаризация и классификация активов
5.2.4. Управление доступом
5.2.5. Точки доступа и методы входа
5.2.6. Защита информации в хранилищах
5.2.7. Управление исправлениями
5.2.8. Обеспечение физической безопасности активов
5.3. Вопросы для самостоятельного контроля знаний

6. Оценка обеспечения непрерывности и аварийного восстановления бизнеса
6.1. Задачи аудита
6.2. Методики и практики обеспечения непрерывности и восстановления бизнеса
6.2.1. Типы аварий и катастроф
6.2.2. Процессы обеспечения непрерывности бизнеса
6.2.3. Основные показатели восстановления процессов и систем
6.2.4. Разработка стратегии восстановления
6.2.5. Технологии для восстановления систем
6.2.6. Планирование обеспечения непрерывности и восстановления бизнеса
6.3. Вопросы для самостоятельного контроля знаний

7. Таблица ключей: номера правильных ответов на вопросы самопроверки

Литература

ГЛАВА 2. ЭТАПНОСТЬ РАБОТ ПО ПРОВЕДЕНИЮ АУДИТА ИНФОРМАЦИОННЫХ СИСТЕМ ПРЕДПРИЯТИЯ

Основные этапы аудита информационных систем предприятия

Работы по аудиту ИС включают в себя ряд последовательных этапов, которые в целом соответствуют этапам проведения комплексного ИТ аудита АС, который включает в себя следующее:

· инициирование процедуры аудита;

· сбор информации аудита;

· анализ данных аудита;

· выработка рекомендаций;

· подготовка аудиторского отчета;

· инициирование процедуры аудита.

Аудит проводится не по инициативе аудитора, а по инициативе руководства компании, которое в данном вопросе является основной заинтересованной стороной.

Поддержка руководства компании является необходимым условием для проведения аудита.

Аудит представляет собой комплекс мероприятий, в которых помимо самого аудитора, оказываются задействованными представители большинства структурных подразделений компании. Действия всех участников этого процесса должны быть скоординированы. Поэтому на этапе инициирования процедуры аудита должны быть решены следующие организационные вопросы:

Ø права и обязанности аудитора должны быть четко определены и документально закреплены в его должностных инструкциях, а также в положении о внутреннем (внешнем) аудите;

Ø аудитором должен быть подготовлен и согласован с руководством план проведения аудита;

Ø в положении о внутреннем аудите должно быть закреплено, в частности, что сотрудники компании обязаны оказывать содействие аудитору и предоставлять всю необходимую для проведения аудита информацию.

Инициирование процедуры аудита

На этапе инициирования процедуры аудита должны быть определены границы проведения обследования. Одни информационные подсистемы компании не являются достаточно критичными и их можно исключить из границ проведения обследования.

Другие подсистемы могут оказаться недоступными для аудита из-за соображений конфиденциальности.

Границы проведения обследования определяются в следующих терминах:

· Список обследуемых физических, программных и информационных ресурсов;

· Площадки (помещения), попадающие в границы обследования;

· Основные виды угроз безопасности, рассматриваемые при проведении аудита;

Организационные (законодательные, административные и процедурные), физические, программно-технические и прочие аспекты обеспечения безопасности, которые необходимо учесть в ходе проведения обследования, и их приоритеты (в каком объеме они должны быть учтены).

План и границы проведения аудита обсуждается на рабочем собрании, в котором участвуют аудиторы, руководство компании и руководители структурных подразделений.

Сбор информации аудита

Этап сбора информации аудита, является наиболее сложным и длительным. Это связано с отсутствием необходимой документации на информационную систему и с необходимостью плотного взаимодействия аудитора со многими должностными лицами организации.

Компетентные выводы относительно положения дел в компании могут быть сделаны аудитором только при условии наличия всех необходимых исходных данных для анализа. Получение информации об организации, функционировании и текущем состоянии ИС осуществляется аудитором в ходе специально организованных интервью с ответственными лицами компании, путем изучения технической и организационно-распорядительной документации, а также исследования ИС с использованием специализированного программного инструментария. Остановимся на том, какая информация необходима аудитору для анализа.

Первый пункт аудиторского обследования начинается с получения информации об организационной структуре пользователей ИС и обслуживающих подразделений. В связи с этим аудитору требуется следующая документация:

· Схема организационной структуры пользователей;

· Схема организационной структуры обслуживающих подразделений.

На следующем этапе аудитора интересует информация о назначении и функционировании ИС. Аудитор задает опрашиваемым примерно следующие вопросы:

· Какие услуги и каким образом предоставляются конечным пользователям?

· Какие основные виды приложений, функционирует в ИС?

· Количество и виды пользователей, использующих эти приложения?

Ему понадобиться также следующая документация, конечно, если таковая вообще имеется в наличие (что, вообще говоря, случается нечасто):

· Функциональные схемы;

· Описание автоматизированных функций;

· Описание основных технических решений;

· Другая проектная и рабочая документация на информационную систему.

Далее, аудитору требуется более детальная информация о структуре ИС. Это позволит уяснить, каким образом осуществляется распределение механизмов по структурным элементам и уровням функционирования ИС. Типовые вопросы, которые обсуждаются в связи с этим во время интервью, включают в себя:

· Из каких компонентов (подсистем) состоит ИС?

· Функциональность отдельных компонент?

· Где проходят границы системы?

· Какие точки входа имеются?

· Как ИС взаимодействует с другими системами?

· Какие каналы связи используются для взаимодействия с другими ИС?

· Какие каналы связи используются для взаимодействия между компонентами системы?

· По каким протоколам осуществляется взаимодействие?

· Какие программно-технические платформы используются при построении системы?

На этом этапе аудитору необходимо запастись следующей документацией:

· Структурная схема ИС;

· Схема информационных потоков;

· Описание структуры комплекса технических средств информационной системы;

· Описание структуры программного обеспечения;

· Описание структуры информационного обеспечения;

· Размещение компонентов информационной системы.

Подготовка значительной части документации на ИС, обычно, осуществляется уже в процессе проведения аудита. Когда все необходимые данные по ИС, включая документацию, подготовлены, можно переходить к их анализу.

Анализ данных аудита

Используемые аудиторами методы анализа данных определяются выбранными подходами к проведению аудита, которые могут существенно различаться.

Первый подход, самый сложный, базируется на анализе рисков. Опираясь на методы анализа рисков, аудитор определяет для обследуемой ИС индивидуальный набор требований, в наибольшей степени учитывающий особенности данной ИС, среды ее функционирования. Данный подход является наиболее трудоемким и требует наивысшей квалификации аудитора. На качество результатов аудита, в этом случае, сильно влияет используемая методология анализа и управления рисками и ее применимость к данному типу ИС.

Второй подход, самый практичный, опирается на использование стандартов. Стандарты определяют базовый набор требований для широкого класса ИС, который формируется в результате обобщения мировой практики. Стандарты могут определять разные наборы требований, в зависимости от уровня защищенности ИС, который требуется обеспечить, ее принадлежности (коммерческая организация, либо государственное учреждение), а также назначения (финансы, промышленности, связь и т.п.).

От аудитора в данном случае требуется правильно определить набор требований стандарта, соответствие которым требуется обеспечить для данной ИС. Необходима также методика, позволяющая оценить это соответствие. Из-за своей простоты (стандартный набор требований для проведения аудита уже заранее определен стандартом) и надежности (стандарт — есть стандарт и его требования никто не попытается оспорить), описанный подход наиболее распространен на практике (особенно при проведении внешнего аудита). Он позволяет при минимальных затратах ресурсов делать обоснованные выводы о состоянии ИС.

Третий подход, наиболее эффективный, предполагает комбинирование первых двух. Базовый набор требований, предъявляемых к ИС, определяется стандартом. Дополнительные требования, в максимальной степени учитывающие особенности функционирования данной ИС, формируются на основе анализа рисков. Этот подход является намного проще первого, т.к.

большая часть требований уже определена стандартом, и, в то же время, он лишен недостатка второго подхода, заключающего в том, что требования стандарта могут не учитывать специфики обследуемой ИС.



Дата добавления: 2016-03-27; просмотров: 1084 | Нарушение авторских прав


Похожая информация:


Поиск на сайте:


Записи созданы 1517

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Похожие записи

Начните вводить, то что вы ищите выше и нажмите кнопку Enter для поиска. Нажмите кнопку ESC для отмены.

Вернуться наверх