аудита информационной безопасности
Цели и задачи 
Цель работы: анализ критериев и формирования выводов при проведении аудита информационной безопасности.
Введение и актуальность
Проверка и анализ документов позволяют аудитору получить свидетельства аудита ИБ, обладающие наибольшей полнотой и удобством восприятия и использования по сравнению с другими методами получения свидетельств аудита ИБ. Однако данные свидетельства аудита ИБ могут иметь разный уровень достоверности, что определяется их характером и источником, а также эффективностью организации внутреннего контроля компании за подготовкой и обработкой представляемой документации.
Выводы аудита ИБ и подтверждающие их свидетельства аудита ИБ должны рассматриваться и анализироваться аудиторами вместе с представителями проверяемой компании для получения подтверждений того, что свидетельства, полученные в рамках проведенного аудита, являются верными и понятными. При наличии нерешенных вопросов необходима их фиксация в протоколах совещаний с отражением в отчете по итогам проведенного аудита ИБ.
1.2. Критерии
Критерии аудита информационной безопасности: совокупность требований в области информационной безопасности, которые определены в соответствии с требованиями положений стандартов, характеризующие определенный уровень информационной безопасности.
Рассмотрим критерии, используемые оценке результатов аудита информационной безопасности.
Перечень критериев для компаний, в которых проводится аудит ИБ, определяется следующим образом [5]:
для компаний любого профиля деятельности, в которых эксплуатируются объекты ключевых систем информационной инфраструктуры и (или) осуществляется обработка конфиденциальной информации, являющейся собственностью государства, используются положения международного стандарта ИСО/МЭК 17799, учитываются принятые и действующие руководящие документы и положения Гостехкомиссии России по аттестации объектов информатизации и автоматизированных систем, сертификации по РД и ИСО/МЭК 15408 СЗИ и продуктов ИТ в составе АС.;
для негосударственных компаний, в информационных системах которых проводится обработка конфиденциальной информации, не являющейся государственной собственностью, используются положения международного стандарта ИСО/МЭК 17799, принятые и действующие руководящие документы и положения Гостехкомиссии России по вопросам сертификации по РД и ИСО/МЭК 15408 СЗИ и продуктов ИТ в составе АС.
Также при проведении аудита ИБ используются отраслевые стандарты информационной безопасности. Для банковских учреждений - СТО БР ИББС-1.0.
Оценка эффективности системы информационной безопасности может носить как качественный, так и количественный характер. Так, требования качественного характера могут определяться как соответствует/не соответствует и в ряде случаев не могут дать объективную картину о состоянии информационной безопасности. Для более полной оценки состояния информационной безопасности разрабатываются различные методики количественного оценивания параметров защиты информации.
Необходимыми условиями при проведении количественного оценивания состояния защиты информации являются [3]:
определение перечня проверяемых критериев;
определение параметров важности каждого из критериев;
система оценивания каждого из параметров.
Результатом проведения аудита в количественной методологии является рейтинговая оценка по каждому из критериев и интегральная оценка общего состояния информационной безопасности.
Так, например, для параметра «Антивирусная защита» в качестве критериев принимаются параметры:
актуальность антивирусных модулей программного обеспечения;
актуальность антивирусных баз;
количество модулей обнаруженного вредоносного ПО (статистика заражений);
количество инцидентов, связанных с заражениями объектов информационной системы.
Кроме того, при аудите системы антивирусной защиты оцениваются организационные факторы:
наличие Положения об антивирусной защите;
наличие назначенных приказом специалистов, ответственных за антивирусную защиту;
регулирование оборота внешних носителей информации (флеш-накопителей, дисков, мобильных устройств и др).
Для аудита криптографической защиты информации принимаются следующие параметры:
ограничение доступа к рабочей станции, использующей криптосредства;
организация учета ключевых носителей информации;
организация хранения документации, содержащей ключевую информацию;
организация использования ключевых носителей информации;
организация обучения пользователей работе с криптографическими средствами.
Для оценки физической защиты проводится оценка организации системы видеонаблюдения, охранно-пожарной сигнализации, пропускной системы, определение перечня выделенных помещений с ограниченным доступом.
В случае аудита систем, требующих защиты от утечек по физическим каналам, проводится анализ степени защищенности от перехвата информации по каналам различной физической природы (оптическому, вещественному, электромагнитному, звуковому).
Для параметра оценки защищенности информационных систем от НСД оценивается организация парольной защиты (наличие регламентирующего Положения, организация смены паролей, требований к их сложности, требований к хранению парольных карточек, при необходимости – использование аппаратных аутентификаторов, исключения случаев авторизации под чужими учетными данными). Анализируются права доступа в программах на соответствие должностным инструкциям.
Защита системных ресурсов оценивается по параметрам уровня доступа к ресурсам файлового сервера, типам хранимой информации.
Для анализа использования ресурсов сети Интернет проводится анализ организации разграничения доступа к внешним ресурсам, наличие собственного почтового сервера, анализ корпоративной корреспонденции.
В рамках анализа работы с персональными данными анализируется порядок хранения документов на бумажных и электронных носителях.
Заключение и вывод
В рамках данной работы проведен анализ технологий аудита информационной безопасности. Показано, что целями аудита являются: как проверки со стороны уполномоченных государственных организаций, так и приведение в соответствие системы защиты информации существующим стандартам, проводимое по запросу руководства компании. Рассмотрены вопросы формирования выводов по результатам проведенного аудита, критерии при аудите, принципы формирования оценки уровня информационной безопасности в соответствии с имеющимися стандартами.
Аудит информационной безопасности может производиться:
- государственными уполномоченными организациями;
- компаниями, имеющими лицензии на данный вид деятельности;
- подразделениями компаний, курирующими вопросы информационной безопасности в рамках внутренних проверок.
Стадии аудита включают: категорирование системы информационной безопасности, определение списка стандартов, соответствующих присвоенной категории, анализ фактически реализованных средств защиты информации утвержденным стандартам.
Существующее законодательство предполагает наложение существенных санкций при выявлении фактов нарушения в архитектуре информационной безопасности вплоть до прекращения деятельности. Таким образом, данному вопросу со стороны руководства компаний необходимо уделять повышенное внимание.
Нужна похожая работа?
Оставь заявку на бесплатный расчёт
Промокоды сервисов
0 промокода
0 промокода
1 промокода
6 промокода
5 промокода
0 промокода
0 промокода
1 промокода
0 промокода
0 промокода
0 промокода
0 промокода
-
На выбор по дисциплине «Технология и организация туроперторской и турагентской деятельности» Читать
-
изучение развития наблюдательности у младших школьников в процессе обучения естествознанию Читать
-
Жизненный цикл организации и управление организацией. Читать
-
Принцип максимального правдоподобия. Сравнение оценок МНК и метода максимального правдоподобия при нормальном Читать
-
Проблема исследования темперамента личности в психологической науке Читать
-
Даниэль Дефо — писатель, журналист, памфлетист и полемист. Читать
