Аудит информационной безопасности

системный процесс получения объективных качественных и количественных оценок о текущем

состоянии информационной безопасности в соответствии с определенными критериями и показателями безопасности

организации или акционеров
Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется

на основании «Положения о внутреннем аудите» и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации

угроз безопасности в отношении ресурсов ИС
оценка текущего уровня защищенности ИС;
локализация

узких мест в системе защиты ИС;
оценка соответствия ИС существующим стандартам в области информационной безопасности;
выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.

задач для ИТ персонала, касающихся обеспечения защиты информации;
участие в обучении

пользователей и обслуживающего персонала ИС вопросам обеспечения информационной безопасности;
участие в разборе инцидентов, связанных с нарушением информационной безопасности;

информации аудита
Анализ данных аудита
Выработка рекомендаций
Подготовка аудиторского отчета

инициативе руководства компании, которое в данном вопросе является основной заинтересованной

стороной. Поддержка руководства компании является необходимым условием для проведения аудита.
Аудит представляет собой комплекс мероприятий, в которых помимо самого аудитора, оказываются задействованными представители большинства структурных подразделений компании

вопросы:
права и обязанности аудитора должны быть четко определены и документально

закреплены в его должностных инструкциях, а также в положении о внутреннем (внешнем) аудите;
аудитором должен быть подготовлен и согласован с руководством план проведения аудита;
в положении о внутреннем аудите должно быть закреплено, в частности, что сотрудники компании обязаны оказывать содействие аудитору и предоставлять всю необходимую для проведения аудита информацию.

и информационных ресурсов;
Площадки (помещения), попадающие в границы обследования;
Основные виды угроз

безопасности, рассматриваемые при проведении аудита;
Организационные (законодательные, административные и процедурные), физические, программно-технические и прочие аспекты обеспечения безопасности, которые необходимо учесть в ходе проведения обследования, и их приоритеты (в каком объеме они должны быть учтены).

длительным. Это связано с большим объемом необходимой документации на информационную

систему и с необходимостью плотного взаимодействия аудитора со многими должностными лицами организации.

организации и дисциплины. Он должен начинаться с определения ролей и

распределения ответственности среди должностных лиц, занимающихся информационной безопасностью.

к проведению аудита, которые могут существенно различаться.

методы анализа рисков, аудитор определяет для обследуемой ИС индивидуальный набор

требований безопасности, в наибольшей степени учитывающий особенности данной ИС, среды ее функционирования и существующие в данной среде угрозы безопасности.

Стандарты определяют базовый набор требований безопасности для широкого класса ИС,

который формируется в результате обобщения мировой практики. Стандарты могут определять разные наборы требований безопасности, в зависимости от уровня защищенности ИС, который требуется обеспечить, ее принадлежности (коммерческая организация, либо государственное учреждение), а также назначения (финансы, промышленности, связь и т.п.)

требований безопасности, предъявляемых к ИС, определяется стандартом. Дополнительные требования, в

максимальной степени учитывающие особенности функционирования данной ИС, формируются на основе анализа рисков.

любой системы информационной безопасности. Он включает в себя мероприятия по

обследованию безопасности ИС, с целью определения того какие ресурсы и от каких угроз надо защищать, а также в какой степени те или иные ресурсы нуждаются в защите. Определение набора адекватных контрмер осуществляется в ходе управления рисками. Риск определяется вероятностью причинения ущерба и величиной ущерба, наносимого ресурсам ИС, в случае осуществления угрозы безопасности.

иных ресурсов для организации;
Идентификация существующих угроз безопасности и уязвимостей, делающих

возможным осуществление угроз;
Вычисление рисков, связанных с осуществлением угроз безопасности.

(серверы, рабочие станции, активное сетевое оборудование и т. п.);
Персонал(сотрудники, пользователи).

идентифицировать только те ресурсы, которые определяют функциональность ИС и существенны

с точки зрения обеспечения безопасности. Важность (или стоимость) ресурса определяется величиной ущерба, наносимого в случае нарушения конфиденциальности, целостности или доступности этого ресурса.

повреждена или разрушена;
Нарушена целостность программного обеспечения.

умышленные действия персонала ИС;
сбои в работе ИС, вызванные ошибками в

программном обеспечении или неисправностями аппаратуры.

и технические средства, а также персонал
Анализ групп задач, решаемых системой,

и бизнес процессов
Построение (неформальной) модели ресурсов ИС, определяющей взаимосвязи между информационными, программными, техническими ресурсами и персоналом, их взаимное расположение и способы взаимодействия
Оценка критичности информационных ресурсов, а также программных и технических средств
Определение критичности ресурсов с учетом их взаимозависимостей
Определение наиболее вероятных угроз безопасности в отношении ресурсов ИС и уязвимостей защиты, делающих возможным осуществление этих угроз
Оценка вероятности осуществления угроз, величины уязвимостей и ущерба, наносимого организации в случае успешного осуществления угроз
Определение величины рисков для каждой тройки: угроза – группа ресурсов – уязвимость

требованиям стандарта, аудитор, полагаясь на свой опыт, оценивает применимость требований

стандарта к обследуемой ИС и ее соответствие этим требованиям. Данные о соответствии различных областей функционирования ИС требованиям стандарта, обычно, представляются в табличной форме. Из таблицы видно, какие требования безопасности в системе не реализованы. Исходя из этого, делаются выводы о соответствии обследуемой ИС требованиям стандарта и даются рекомендации по реализации в системе механизмов безопасности, позволяющих обеспечить такое соответствие.

используемым подходом, особенностями обследуемой ИС, состоянием дел с информационной безопасностью

и степенью детализации, используемой при проведении аудита.

отчета может существенно различаться в зависимости от характера и целей

проводимого аудита.

аудита и используемых методов;
результаты анализа данных аудита;
выводы, обобщающие эти

результаты и содержащие оценку уровня защищенности ИС или соответствие ее требованиям стандартов;
рекомендации аудитора по устранению существующих недостатков и совершенствованию системы защиты.