Главная

Аудит информационной безопасности - что это такое?

Александр Панасенко 05 Апреля 2021 - 11:09
...

ИС или информационные системы – важнейшая составляющая работы коммерческих, государственных компаний. Их организация определяет эффективность деятельности, сохранность данных. Информационные системы применяют для хранения, обработки, передачи информации (в том числе секретной), поэтому сегодня остро стоит вопрос по предотвращению хищений. Для минимизации рисков возможных атак нужна объективная оценка качества защиты ИС. Ее могут сделать только специалисты, услуга носит название аудита информационной безопасности.

Суть услуги

Аудит ИБ – основной инструмент контроля качества защиты информационных активов организаций. Услуга предоставляется в рамках ИТ-аудита либо как отдельный технический проект. Аудит ИБ необходим для создания безопасных условий хранения, применения информации.

При проверке действующей системы информационной безопасности на предприятии реализуются такие типы исследований:

  • техническое;
  • методическое.

Первое обычно состоит из инструментальной и общей проверки, второе еще часто называют организационным. Аудит обычно заказывают в сторонних организациях – внешних консалтинговых компаниях, которые работают в сфере информационной безопасности. Инициатором проверки может быть служба автоматизации, ИБ либо руководство конкретной организации. Иногда ее требуют страховые компании, регулирующие инстанции. Проверки инфраструктуры проводит так называемая экспертная группа. Ее состав определяют с учетом технических параметров объекта аудита, текущих задач.

Заказывать или нет?

При наличии соответствующих проблем и «показаний» однозначно заказывать. Профессиональный аудит ИС даст организации широкий перечень преимуществ, позволит получить адекватную, комплексную оценку состояния системы на текущий момент времени и рекомендации относительно улучшения положения дел.

Вот, что вам даст аудит информационной безопасности:

  • Понимание степени защиты текущей ИТ инфраструктуры. Специалисты, которые проводят проверки, имеют соответствующую квалификацию, богатый опят в решении профильных задач. Они точно и грамотно ответят на поставленные вопросы.
  • Реальные способы для оптимизации инфраструктуры ИС, бизнес-процессов с учетом действующих в отрасли требований, предъявляемых к ИБ, увеличения качества внутреннего контроля.
  • Надежную защиту информационных данных – от утечек, хищений, несанкционированного распространения. Минимизируется влияние человеческого фактора, повышается доступность, конфиденциальность, целостность систем. Уровень безопасности возрастет на всех действующих уровнях – приложений, ОС, виртуальных, физических, сетевых инфраструктур.
  • Сокращение затрат на обеспечение ИБ в ИТ сегменте и на предприятии в целом.

Также в разы снижаются риски утраты репутации в результате недостаточно качественного обеспечения безопасности информационных систем предприятия.

Аудит: назначение и цели

К целям проверки ИБ на предприятии можно отнести:

  1. Необходимость в получении независимой, объективной оценки текущего состояния степени защиты ИС.
  2. Получение максимума отдачи от инвестируемых в подготовку систем ИБ средств.
  3. Оценка вероятного ущерба от любых несанкционированных действий извне.
  4. Разработка требований к выстраиванию систем по защите информации.
  5. Определение зон ответственности всех сотрудников действующих подразделений.
  6. Расчет ресурсов, которые нужны для работы.
  7. Разработка последовательности, порядка внедрения СИБ.

Аудит информационной безопасности может быть точечным, комплексным, периодичным, проверочным. Комплексный обычно запускают до создания системы информационной безопасности, точечный позволит получить актуальные рекомендации по модернизации действующих решений. Периодичный предполагает внешние регламентные проверки степени защиты систем. Проверочные нужны для экспертизы, оценки применяемых либо планируемых к применению решений, систем.

Этапы проведения

Проверка систем безопасности предполагает выполнение широкого перечня операций. На одной чаше будут стоять системы безопасности доступа, а на другой – организация контроля за проведением бизнес-процессов с опорой на техническую инфраструктуру. Та основывается на используемых авторизационных методиках, конфигурациях систем, процедурах, политиках, принятых в конкретной компании.

В состав комплексного мониторинга входит набор последовательных этапов, которые будут в целом отвечать этапам выполнения комплексной проверки. Основные действия:

  1. Комплексное исследование – включает сбор всех доступных данных об информресурсах, их анализ, проверку телекоммуникаций, локальных сетей, прикладных систем. По результатам обследований будет сформирован список критичных ресурсов, разработан полный перечень угроз для них.
  2. Оценка степени защищенности – включает работы по обнаружению всех уязвимостей техсредств, анализу качества защиты, адекватности организационных мероприятий. На основе выявленных недостатков будет проведена оценка рисков. Она включает полный перечень способов по преодолению систем защиты, возможностей реализации, степеней критичности.
  3. Выполнение аттестации системы – включает мероприятия по исследованию, оценке существующих на данный момент мероприятий, мер защиты информационных данных, оценки их адекватности, соответствия действующим стандартам.

План исправлений всех обнаруженных недостатков будет подготовлен в конце проверки. Задача планирования заключается в расстановке приоритетов и направлений по обнаружению недостатков, разработке очередности, методологии устранения имеющихся проблем. Дополнительно нужно будет разработать процедурную, концептуальную документацию. Когда это будет сделано, аудит можно считать завершенным.

Особенности исследования

На первом этапе решаются такие организационные вопросы – выбирают аудитора, определяют его обязанности, права, все детали сотрудничества согласовывают с руководством, прописывают в договоре. Дополнительно нужно будет установить границы проведения обследования. Они определяются как перечень информационных, программных, физических ресурсов, перечень площадок (помещений), которые попадают в зону обследования.

Прописывают все угрозы безопасности, которые рассматриваются в рамках аудита. Физические, организационные, программные, технические аспекты, заслуживающие особенного внимания, также определяются на данном этапе. После можно будет начинать собирать информацию для проверки. Аудитор сделает компетентные выводы только в том случае, если ему будут предоставлены все данные для анализа. Получение сведений о текущем состоянии ИС, организации, функционировании осуществляется в процессе интервью с ответственными представителями. Также аудитор обязательно внимательно исследует ИС сам с применением специализированного ПО.

Для обеспечения полноценной информбезопасности организации нужно будет четко спланировать процесс, предусмотреть все дисциплинарные нюансы. Начать следует с определения ролей, разделения ответственности между должностными лицами, которые курируют рассматриваемые вопросы. Первый момент в аудиторском обследовании – это получение данных по организационной структуре пользователей ИС, подразделений, которые осуществляют обслуживание. Аудитор собирает документы, задает интересующие вопросы, разрабатывает план действий.

Принципы работы, назначение ИС во многом определяют требования к безопасности, риски. Дальше аудитор будет заниматься непосредственно вопросами назначения информсистем. Ему потребуется документация по схемам информационных потоков, автоматизации текущих функций, описанию структур комплексов средств технической защиты, ПО, пр. Обязательно владение полной информацией о структурных особенностях ИС. Это позволит понять, как именно распределяются механизмы обеспечения безопасности с учетом элементов структуры, уровней функционирования ИС.

Самый сложный рабочий метод – анализ рисков. Аудитор использует все известные техники анализа и определяет индивидуальный перечень требований безопасности для исследуемой ИС. Они должны учитывать данные рабочих сред, особенности их функционирования. Подход трудоемкий, требует от аудитора высокого уровня квалификации. На качество итогов проверки будет оказывать непосредственное влияние применяемая методология, особенности управления рисками.

Определение рисков

После первого этапа осуществляется второй – а именно определение рисков для таких категорий:

  • угроза;
  • ресурсная группа;
  • степень уязвимости.

Указанный перечень задач является общим, для их решения применяют неформальные, формальные, качественные, количественные, автоматизированные, ручные методы анализа рисков. Суть подхода остается неизменной.

Для оценки рисков удобно использовать количественные и качественные шкалы. Главное, чтобы текущие значения были корректно ранжированы, идентифицированы с учетом степени критичности их значений для компании. На основе данных, полученных в ходе анализа, может быть разработана система мероприятий, которые являются первоочередными для реализации.

Другой подход – наиболее практичный – предполагает использование стандартов инфобезопасности, действующих в отрасли. Эти стандарты определяют базовый перечень требований для широкого класса информационных систем. Общие критерии, правила действий составляются на основании мирового опыта, полученного чисто практическим путем. Аудитору нужно будет корректно определить перечень требований согласно стандарту. Это позволит получить оптимальные результаты при минимальных затратах ресурсов. Во втором случае аудитор рассматривает схемы ведения бизнеса, оценивает применимости требований стандартов по отношению к обследуемым ИС, их взаимное соответствие. Основываясь на таких значениях, нужно будет определить, какие требования не реализованы в системе вообще, а какие требуют доработки.

Есть еще один подход – самый эффективный. Он представляет собой комбинацию первых двух методологий. Базовый перечень определяется с учетом выбранного стандарта. Дополнительные требования по максимуму учитывают особенности функционирования ИС. Подход куда проще в реализации, чем первый, но не лишен недостатков второй схемы. Требования стандартов не всегда учитывают особенности конкретной информационной системы.

Подготовка рекомендаций: что включает

Предпоследний этап аудита информбезопасности предполагает выработку рекомендаций для заказчика. Это делает аудитор с учетом состояния ИС, ее особенностей, положения дел в сегменте информационной безопасности, уровня детализации.

Рекомендации должны быть индивидуальными, конкретными и применимыми в определенных условиях. Аргументация каждого вывода и совета обязательна, дополнительно производится сортировка по степени важности. Мероприятия, направленные на обеспечение защиты организационного уровня, всегда имеют определенный приоритет в сравнении с конкретными техническими и программными методиками.

Отчетная документация

Результаты проверки, рекомендации аудитора – все это оформляется согласно регламенту в виде отдельных документов. Аудиторский отчет будет главным результатом завершенного аудита. Его качество будет характеризировать уровень работы аудитора. Структура отчета часто зависит от целей, характера проверки, но определенные разделы в отчете должны быть обязательно. Это:

  • цели выполнения анализа;
  • параметры обследуемой ИС;
  • границы аудита, используемых техник;
  • результаты анализа;
  • выводы по проведенным работам, экспертная оценка степени защищенности, ее соответствие действующим требованиям, стандартам;
  • рекомендации по устранению текущих недостатков, доработкам систем защиты.

В идеале в результате проведения аудита минимизируются риски ухудшения репутации компании в результате недостаточного уровня обеспечения информбезопасности.

Заказать услугу аудита

Чтобы заказать комплексную проверку информационных систем своей организации, обратитесь за помощью в профильную компанию. Вы сможете выполнить все необходимые обследования системы, выявить проблемные, узкие места, все возможные неточности, допущенные в процессе реализации проекта. Впоследствии будет предоставлен детальный отчет с полным перечнем рекомендаций по устранению всех обнаруженных угроз, рисков, оптимизации действующей системы под ключ.

Сканирование на предмет уязвимостей проводится:

  • изнутри – включает сканирование с уже известными данными учета, для максимально глубокого анализа сети;
  • извне – или блэк бокс.

Оптимально сразу будет выполнить ревизию используемого оборудования – активного и серверного. Отдельно проверяется программное обеспечение – на предмет безопасности, для определения проблемных сегментов. Например, ПО без поддержки, не обновляемое желательно будет заменить на более безопасные аналоги.

Для анализа инфраструктуры на предмет корректности ее построения делают проверку качества доступа изнутри и снаружи, отдельно мониторят ресурсы Интернет. Обязательно проверяют контроль доступа к доступным сервисам компании, оценивают степень их защищенности. Нужно будет проанализировать инфраструктурные сервисы и понять, каково текущее состояние информационных систем, обратить внимание на слабые места, устранить их.

Специалисты не только дадут рекомендации по улучшению ситуации, но и помогут в их реализации. Начинать всегда нужно с обычных консультационных услуг, заканчивать полным внедрением сервисом. После заказчик получит услуги поддержки новых систем, конфигураций, оптимизации настроение оборудования.

Отдельно разрабатываются и внедряются профили модулей безопасности. Защиты всех имеющихся информсистем будут выставлены в режим активной блокировки угроз (по умолчанию активирован мониторинг, а он пропускает атаки), те защиты, которые не относятся к ИС, просто отключают. Предпринимаются все доступные действия для минимизации рисков проверок (если это необходимо). Обязательно оптимизируются правила межсетевых экранов согласно передовым стандартам.

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2024. Все права защищены.

Рекламные коды ОРД: JapBIIgg8, JapBINit6, JapBIR7iO, JapBIM8gm, LdtCKaTR6