Loading AI tools
З Вікіпедії, вільної енциклопедії
Аудит інформаційної безпеки — системний процес одержання об'єктивних якісних і кількісних оцінок про поточний стан інформаційної безпеки компанії у відповідності з визначеними критеріями та показниками безпеки.
Інформаційна безпека[1] — стан збереження інформаційних ресурсів і захищеності законних прав особистості і суспільства в інформаційній сфері.
Аудит дозволяє оцінити поточну безпеку функціонування інформаційної системи, оцінити й прогнозувати ризики, управляти їх впливом на бізнес-процеси фірми, коректно й обґрунтовано підійти до питання забезпечення безпеки її інформаційних активів, стратегічних планів розвитку, маркетингових програм, фінансових і бухгалтерських відомостей, вмісту корпоративних баз даних. У кінцевому рахунку, грамотно проведений аудит безпеки інформаційної системи дозволяє домогтися максимальної віддачі від коштів, інвестованих у створення та обслуговування системи безпеки фірми.
Основні напрямки аудиту інформаційної безпеки деталізуються на наступні: атестацію; контроль захищеності інформації; спеціальні дослідження технічних засобів і проектування об'єктів в захищеному виконанні[2].
Зовнішній аудит — це, як правило, разовий захід, що проводиться за ініціативою керівництва організації або акціонерів. Зовнішній аудит рекомендується (а для деяких фінансових установ і акціонерних товариств потрібно) проводити регулярно.
Внутрішній аудит являє собою безперервну діяльність, яка здійснюється на підставі документа, що зазвичай носить назву «Положення про внутрішній аудит», та у відповідності з планом, підготовка якого здійснюється підрозділом внутрішнього аудиту та затверджується керівництвом організації. Аудит безпеки інформаційних систем є однією з складових ІТ—аудиту.
Цілями проведення аудиту безпеки є:
— аналіз ризиків, пов'язаних з можливістю здійснення загроз безпеки у відношенні до ресурсів ІС;
— оцінка поточного рівня захищеності ІС;
— локалізація вузьких місць у системі захисту ІС;
— оцінка відповідності ІС існуючим стандартам в галузі інформаційної безпеки;
— вироблення рекомендацій щодо впровадження нових та підвищення ефективності існуючих механізмів безпеки ІС[3].
Представлені Аудитору рапорти про інциденти СІБ повинні містити документацію про так звані «слабкі точки» СІБ.
У число додаткових завдань, що стоять перед внутрішнім аудитором, крім надання допомоги зовнішнім аудиторам, можуть також входити: — розробка політик безпеки та інших організаційно—розпорядчих документів із захисту інформації та участь у їх впровадженні в роботу організації; — постановка завдань для ІТ—персоналу, що стосуються забезпечення захисту інформації; — участь у навчанні користувачів і обслуговчого персоналу ІС питань забезпечення інформаційної безпеки; — участь у розборі інцидентів, пов'язаних з порушенням інформаційної безпеки; — інші завдання.
Роботи з аудиту безпеки ІС включають в себе ряд послідовних етапів, які в цілому відповідають етапам проведення комплексного ІТ—аудиту автоматизованої системи, що включає в себе:
На етапі ініціювання процедури аудиту повинні бути вирішені наступні організаційні питання:
На етапі ініціювання процедури аудиту мають бути визначені межі проведення обстеження. План і межі проведення аудиту обговорюються на робочому зборах, в яких беруть участь аудитори, керівництво компанії і керівники структурних підрозділів.
Етап збору інформації аудиту є найбільш складним і тривалим. Це пов'язано переважно з відсутністю необхідної документації на інформаційну систему і з необхідністю щільної взаємодії аудитора з багатьма посадовими особами організації.
Компетентні висновки щодо стану справ у компанії з інформаційною безпекою можуть бути зроблені аудитором лише за умови наявності всіх необхідних вихідних даних для аналізу. Перший пункт аудиторського обстеження починається з отримання інформації про організаційну структуру користувачів ІС і обслуговуючих підрозділів. Призначення і принципи функціонування ІС багато в чому визначають існуючі ризики й вимоги безпеки, що пред'являються до системи. Далі, аудитору потрібно більш детальна інформація про структуру ІС. Це дозволить усвідомити, яким чином здійснюється розподіл механізмів безпеки структурними елементами та рівнями функціонування ІС.
Методи аналізу даних, що використовуються аудиторами, визначаються вибраними підходами до проведення аудиту, які можуть істотно розрізнятися.
Перший підхід, найскладніший, базується на аналізі ризиків. Спираючись на методи аналізу ризиків, аудитор визначає для обстежуваної ІС індивідуальний набір вимог безпеки, найбільшою мірою враховує особливості даної ІС, середовища її функціонування та існуючі в даному середовищі загрози безпеки.
Другий підхід, найбільш практичний, спирається на використання стандартів інформаційної безпеки. Стандарти визначають базовий набір вимог безпеки для широкого класу ІС, який формується в результаті узагальнення світової практики. Стандарти можуть визначати різні набори вимог безпеки, в залежності від рівня захищеності ІС, який потрібно забезпечити, її приналежності (комерційна організація або державна установа), а також призначення (фінанси, промисловість, зв'язок і т. ін.). Від аудитора в даному випадку потрібно правильно визначити набір вимог стандарту, відповідність яким потрібно забезпечити.
Третій підхід, найбільш ефективний, припускає комбінування двох перших. Базовий набір вимог безпеки, що пред'являються до ІС, визначається стандартом. Додаткові вимоги, в максимальному ступені враховують особливості функціонування даної ІС, формуються на основі аналізу ризиків.
Рекомендації, що видаються аудитором за результатами аналізу стану ІС, визначаються використовуваним підходом, особливостями обстежуваної ІС, станом справ з безпекою і ступенем деталізації, що використовується при проведенні аудиту. У будь-якому випадку, рекомендації аудитора повинні бути конкретними і застосовними до даної ІС, економічно обґрунтованими, аргументованими (підкріпленими результатами аналізу) і відсортованими за ступенем важливості. При цьому заходи щодо забезпечення захисту організаційного рівня практично завжди мають пріоритет над конкретними програмно—технічними методами захисту. У той же час не варто чекати від аудитора, як результату проведення аудиту, видачі технічного проекту підсистеми інформаційної безпеки, або детальних рекомендацій щодо впровадження конкретних програмно—технічних засобів захисту інформації. Це вимагає більш детального опрацювання конкретних питань організації захисту, хоча внутрішні аудитори можуть брати в цих роботах найактивнішу участь.
Аудиторський звіт є основним результатом проведення аудиту. Його якість характеризує якість роботи аудитора. Він повинен, принаймні, містити опис цілей проведення аудиту, характеристику обстежуваної ІС, вказівку меж проведення аудиту і використовуваних методів, результати аналізу даних аудиту, висновки, що узагальнюють ці результати та містять оцінку рівня захищеності АС або відповідність її вимогам стандартів, і, звичайно, рекомендації аудитора по усуненню наявних недоліків і вдосконалення системи захисту.
Серед українських аудитових компаній, Державне підприємство «Українські спеціальні системи» пропонує проводити аудит інформаційної безпеки на об'єктах інформаційної діяльності замовника, з метою визначення стану захищеності ІС та/або ІТС, засобами якої обробляється конфіденційна чи інша критична інформація Замовника, а також відповідності ІС та/або ІТС стандартам та нормативним документам в державному, комерційному та банківському секторі. Аудит ІС та/або ІТС проводиться на відповідність вимогам:
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.