RSS
FAQ: аудит информационной безопасности
Аудит информационной безопасности становится все более востребованной услугой в сфере it безопасности. Но следует отметить, что само содержание информационного аудита не вполне устоялось, и разные компании понимают его на свой лад. В настоящей статье приводятся ответы на наиболее часто задаваемые вопросы (FAQ, Frequently Asked Questions), связанные с аудитом информационной безопасности.
Что такое аудит безопасности? Несмотря на то что пока еще не сформировалось устоявшееся определение аудита безопасности, в общем случае его можно представить как документированный процесс сбора и анализа информации в целях получения объективной оценки уровня защищенности компании от возможных угроз безопасности.
Аудит может быть внешним или внутренним. Внешний аудит проводится независимой компанией, которая предоставляет консалтинговые услуги в области информационной безопасности, внутренний - силами службы внутреннего контроля компании, отделом информационной безопасности или ИТ.
Когда нужно проводить аудит информационной безопасности? Существует множество случаев, в которых целесообразно проводить аудит безопасности. В качестве примера можно привести следующие задачи, которые могут быть решены при помощи аудита:
оценка уровня эффективности существующих в компании средств защиты информации;
приведение действующей системы безопасности в соответствие с требованиями российского или международного законодательства;
систематизация и упорядочение существующих мер защиты информации;
подготовка технического задания на проектирование и разработку системы защиты информации;
обоснование инвестиций на развитие системы обеспечения информационной безопасности компании;
расследование инцидентов, связанных с нарушением информационной безопасности.
Кто инициирует проведение аудита? Как правило, инициатором процедуры аудита может являться руководство компании, отдел автоматизации или информационной безопасности, а также служба внутреннего контроля. В ряде случаев аудит может также проводиться по требованию страховых компаний или регулирующих органов.
Какие бывают виды аудита безопасности? В настоящее время можно выделить следующие основные виды аудита информационной безопасности:
тест на проникновение (penetration testing), направленный на оценку защищенности компании от внешних атак из сети Интернет;
оценка соответствия рекомендациям международного стандарта ISO 27001;
аудит безопасности, направленный на оценку соответствия требованиям стандарта информационной безопасности Банка России;
инструментальный анализ защищенности, ориентированный на выявление технологических уязвимостей в информационных системах компаний;
оценка соответствия требованиям Федерального закона "О персональных данных";
аудит наличия конфиденциальной информации на базе технологий конкурентной разведки;
комплексный аудит, базирующийся на всесторонней оценке рисков информационной безопасности.
Каждый из перечисленных видов аудита может проводиться по отдельности или в комплексе в зависимости от тех задач, которые необходимо решить компании. В качестве объекта аудита может выступать как автоматизированная система в целом, так и ее отдельные сегменты, в которых проводится обработка информации, подлежащей защите.
Какие работы входят в состав аудита безопасности? В общем случае аудит безопасности независимо от формы его проведения состоит из четырех основных этапов, каждый из которых предусматривает выполнение определенного круга задач.
Первоначально с компанией-заказчиком заключается соглашение о неразглашении, в рамках которого исполнитель берет на себя обязательства по сохранению в тайне всей конфиденциальной информации, которая будет получена им в процессе выполнения работ.
После подписания соглашения о неразглашении совместно с заказчиком разрабатывается регламент (техническое задание), устанавливающий состав и порядок проведения работ. Его основная задача заключается в определении границ, в рамках которых будет проведено обследование. Регламент является тем документом, который позволяет избежать взаимных претензий по завершении аудита, поскольку четко определяет обязанности сторон.
На третьем этапе в соответствии с согласованным регламентом осуществляется сбор исходной информации. Методы сбора информации включают интервьюирование сотрудников заказчика, заполнение опросных листов, анализ представленной организационно-распорядительной и технической документации, использование специализированных инструментальных средств.
Четвертый этап работ предполагает анализ собранной информации в целях оценки текущего уровня защищенности автоматизированной системы заказчика. По результатам проведенного анализа разрабатываются рекомендации по повышению уровня защищенности системы от угроз информационной безопасности.
Что заказчик получает в результате аудита безопасности? Результаты аудита безопасности оформляются в виде отчетного документа, который представляется заказчику. В общем случае этот документ состоит из следующих основных разделов:
определение границ, в рамках которых был проведен аудит безопасности;
описание структуры автоматизированной системы заказчика;
методы и средства, которые использовались в процессе проведения аудита;
отражение выявленных уязвимостей и недостатков, включая уровень их риска;
рекомендации по совершенствованию комплексной системы обеспечения информационной безопасности;
предложения по плану реализации первоочередных мер, направленных на минимизацию выявленных рисков.
Какие следующие шаги после аудита следует предпринять? Аудит информационной безопасности не является конечной целью. Это всего лишь первый шаг в построении системы безопасности. По его результатам необходимо составить план мероприятий по совершенствованию мер защиты компании с целью устранения выявленных недостатков. Как правило, выделяют следующие основные направления по повышению уровня информационной безопасности компании:
технологическое обеспечение безопасности, направленное на внедрение дополнительных программно-технических мер защиты;
кадровое обеспечение безопасности, связанное с внедрением процесса обучения и аттестации персонала по вопросам защиты информации;
нормативно-методическое обеспечение безопасности, направленное на разработку документов по защите информации, таких, как политики, регламенты, инструкции, положения и т.д.
Как часто необходимо проводить аудит информационной безопасности? Частота проведения аудита зависит от того, как часто в автоматизированную систему компании вносятся изменения - добавляются новые филиалы, вводятся в эксплуатацию новые информационные системы, модернизируется общесистемное и прикладное программное обеспечение и т.д. С точки зрения лучших практик рекомендуется проходить внешний аудит безопасности один раз в год. Что касается внутреннего аудита, то его следует проводить не реже одного раза в квартал.
В.Сердюк
К. т. н.,
генеральный директор
ЗАО "ДиалогНаука", CISSP
Что такое аудит безопасности? Несмотря на то что пока еще не сформировалось устоявшееся определение аудита безопасности, в общем случае его можно представить как документированный процесс сбора и анализа информации в целях получения объективной оценки уровня защищенности компании от возможных угроз безопасности.
Аудит может быть внешним или внутренним. Внешний аудит проводится независимой компанией, которая предоставляет консалтинговые услуги в области информационной безопасности, внутренний - силами службы внутреннего контроля компании, отделом информационной безопасности или ИТ.
Когда нужно проводить аудит информационной безопасности? Существует множество случаев, в которых целесообразно проводить аудит безопасности. В качестве примера можно привести следующие задачи, которые могут быть решены при помощи аудита:
оценка уровня эффективности существующих в компании средств защиты информации;
приведение действующей системы безопасности в соответствие с требованиями российского или международного законодательства;
систематизация и упорядочение существующих мер защиты информации;
подготовка технического задания на проектирование и разработку системы защиты информации;
обоснование инвестиций на развитие системы обеспечения информационной безопасности компании;
расследование инцидентов, связанных с нарушением информационной безопасности.
Кто инициирует проведение аудита? Как правило, инициатором процедуры аудита может являться руководство компании, отдел автоматизации или информационной безопасности, а также служба внутреннего контроля. В ряде случаев аудит может также проводиться по требованию страховых компаний или регулирующих органов.
Какие бывают виды аудита безопасности? В настоящее время можно выделить следующие основные виды аудита информационной безопасности:
тест на проникновение (penetration testing), направленный на оценку защищенности компании от внешних атак из сети Интернет;
оценка соответствия рекомендациям международного стандарта ISO 27001;
аудит безопасности, направленный на оценку соответствия требованиям стандарта информационной безопасности Банка России;
инструментальный анализ защищенности, ориентированный на выявление технологических уязвимостей в информационных системах компаний;
оценка соответствия требованиям Федерального закона "О персональных данных";
аудит наличия конфиденциальной информации на базе технологий конкурентной разведки;
комплексный аудит, базирующийся на всесторонней оценке рисков информационной безопасности.
Каждый из перечисленных видов аудита может проводиться по отдельности или в комплексе в зависимости от тех задач, которые необходимо решить компании. В качестве объекта аудита может выступать как автоматизированная система в целом, так и ее отдельные сегменты, в которых проводится обработка информации, подлежащей защите.
Какие работы входят в состав аудита безопасности? В общем случае аудит безопасности независимо от формы его проведения состоит из четырех основных этапов, каждый из которых предусматривает выполнение определенного круга задач.
Первоначально с компанией-заказчиком заключается соглашение о неразглашении, в рамках которого исполнитель берет на себя обязательства по сохранению в тайне всей конфиденциальной информации, которая будет получена им в процессе выполнения работ.
После подписания соглашения о неразглашении совместно с заказчиком разрабатывается регламент (техническое задание), устанавливающий состав и порядок проведения работ. Его основная задача заключается в определении границ, в рамках которых будет проведено обследование. Регламент является тем документом, который позволяет избежать взаимных претензий по завершении аудита, поскольку четко определяет обязанности сторон.
На третьем этапе в соответствии с согласованным регламентом осуществляется сбор исходной информации. Методы сбора информации включают интервьюирование сотрудников заказчика, заполнение опросных листов, анализ представленной организационно-распорядительной и технической документации, использование специализированных инструментальных средств.
Четвертый этап работ предполагает анализ собранной информации в целях оценки текущего уровня защищенности автоматизированной системы заказчика. По результатам проведенного анализа разрабатываются рекомендации по повышению уровня защищенности системы от угроз информационной безопасности.
Что заказчик получает в результате аудита безопасности? Результаты аудита безопасности оформляются в виде отчетного документа, который представляется заказчику. В общем случае этот документ состоит из следующих основных разделов:
определение границ, в рамках которых был проведен аудит безопасности;
описание структуры автоматизированной системы заказчика;
методы и средства, которые использовались в процессе проведения аудита;
отражение выявленных уязвимостей и недостатков, включая уровень их риска;
рекомендации по совершенствованию комплексной системы обеспечения информационной безопасности;
предложения по плану реализации первоочередных мер, направленных на минимизацию выявленных рисков.
Какие следующие шаги после аудита следует предпринять? Аудит информационной безопасности не является конечной целью. Это всего лишь первый шаг в построении системы безопасности. По его результатам необходимо составить план мероприятий по совершенствованию мер защиты компании с целью устранения выявленных недостатков. Как правило, выделяют следующие основные направления по повышению уровня информационной безопасности компании:
технологическое обеспечение безопасности, направленное на внедрение дополнительных программно-технических мер защиты;
кадровое обеспечение безопасности, связанное с внедрением процесса обучения и аттестации персонала по вопросам защиты информации;
нормативно-методическое обеспечение безопасности, направленное на разработку документов по защите информации, таких, как политики, регламенты, инструкции, положения и т.д.
Как часто необходимо проводить аудит информационной безопасности? Частота проведения аудита зависит от того, как часто в автоматизированную систему компании вносятся изменения - добавляются новые филиалы, вводятся в эксплуатацию новые информационные системы, модернизируется общесистемное и прикладное программное обеспечение и т.д. С точки зрения лучших практик рекомендуется проходить внешний аудит безопасности один раз в год. Что касается внутреннего аудита, то его следует проводить не реже одного раза в квартал.
В.Сердюк
К. т. н.,
генеральный директор
ЗАО "ДиалогНаука", CISSP
Другие новости по теме:
Аудит информационной безопасности компаний Защита персональных данных в кредитно-финансовых организациях Защита персональных данных в банках DIRECTUM BEL аккредетивал Оперативно-аналитический центр при Президенте Рес ... Стандарты Банка России в области информационной безопасности Как создать эффективную систему информационной безопасности