Интернет 

Аудит информационной безопасности. Сбор информации аудита

Сакральная фраза – «владение информацией – владение миром» актуальна как никогда. Потому, сегодня «красть информацию» присуща большинству злоумышленников. Избежать этого можно путем внедрения ряда защиты от атак, а также своевременное проведение аудита информационной безопасности. Аудит информационной безопасности – понятие новое, которое подразумевает актуально и динамическое развивающееся направление оперативного и стратегического менеджмента, которое касается безопасности информационной системы.

Информационный аудит – теоретические основы

Объем информации в современном мире растет стремительно быстро, так как во всем мире наблюдается тенденция глобализации использования компьютерной техники во всем слоях человеческого общества. В жизни рядового человека, информационные технологии являются основной составляющей.

Это выражается в использовании Интернета, как в рабочих целях, так и с целью игры и развлечения. Параллельно с развитием информационных технологий, растет монетизация сервисов, а значит и количество времени, которое затрачивается на совершение разных платежных операций с использованием пластиковых карт. В их число входит безналичный расчет за разные товары и потребленные услуги, транзакции в платежной системе онлайн банкинга, обмен валют, прочие платежные операции. Это все влияет на пространство во всемирной паутине, делая ее больше.

Информации о владельцах карт становится также, больше. Это является основой для расширения поля деятельности мошенников, которые на сегодняшний день, ухищряются произвести колоссальную массу атак, среди которых атаки поставщика услуг и конечного пользователя. В последнем случае, предотвратить атаку можно за счет использования соответствующего ПО, а вот если это касается вендора, необходимо применение комплекса мер, которые минимизируют перебои работы, утечку данных, взломы сервиса. Это осуществляется за счет своевременного проведения аудита информационной безопасности.

Задача, которую преследует информационные аудит лежит в своевременной и точной оценке состояния безопасности информации в текущий момент конкретного субъекта хозяйствования, а также соответствие поставленной цели и задачи ведения деятельности, с помощью которого должно производиться повышение рентабельности и эффективности экономической деятельности.

Иными словами, аудит информационной безопасности – это проверка того или иного ресурса на возможность противостоять потенциальным или реальным угрозам.

  • Аудит информационной безопасности преследует следующие цели:
  • Оценить состояние информационной системы информации на предмет защищенности.
  • Аналитическом выявлении потенциальных рисков, которые связаны с внешним проникновением в информационную сеть.
  • Выявлением локализации прорех в системе безопасности.
  • Аналитическом выявлении соответствия между уровнем безопасности и действующим стандартам законодательной базы.
  • Инициирование новых методов защиты, их внедрение на практике, а также создание рекомендаций, с помощью которых будет происходить усовершенствование проблем средств защиты, а также поиск новых разработок в данном направлении.

Применяется аудит при:

  • Полной проверке объекта, который задействован в информационном процессе. Частности, речь идет о компьютерных системах, системах средств коммуникации, при приеме, передаче, а также обработке данных определенного объема информации, технических средств, систем наблюдения т.д.
  • Полной проверке электронных технических средств, а также компьютерных системе на предмет воздействия излучения и наводок, которые будут способствовать их отключению.
  • При проверке проектной части, в которые включены работы по созданию стратегий безопасности, а также их практического исполнения.
  • Полной проверке надежности защиты конфиденциальной информации, доступ к которой ограничен, а также определение «дыр» с помощью которых данная информация обнародуется с применением стандартных и нестандартным мер.

Когда возникает необходимость проведения аудита?

Важно отметить, что необходимость проведения информационного аудита возникает при нарушении защиты данных. Также, проверка рекомендована к проведению при:

  • Слиянии компании.
  • Расширении бизнеса.
  • Поглощении или присоединении.
  • Смене руководства.

Виды аудита информационных систем

На сегодняшний день, существует внешний и внутренний информационный аудит.

Для внешнего аудита характерно привлечение посторонних, независимых экспертов, которые имеют право на осуществление таковой деятельности. Как правило, данный вид проверки носит разовый характер и инициируется руководителем предприятия, акционером или органами правоохранения. Проведение внешнего аудита не является обязательным, носит, скорее всего, рекомендованный характер. Однако есть нюансы, закрепленные законодательством, при которых внешний аудит информационной безопасности является обязательным. К примеру, под действие закона попадают финансовые учреждения, акционерные общества, а также финансовые организации.

Внутренний аудит безопасности информационных потоков представляет собой постоянный процесс, проведение которого регламентировано соответствующим документом «Положением о проведении внутреннего аудита». Это мероприятие, в рамках компании имеет аттестационный характер, проведение которого отрегулировано соответствующим приказом по предприятию. За счет проведения внутреннего аудита, в компании обеспечивается за счет специального подразделения в компании.

Аудит классифицируют также как:

  • Экспертный.
  • Аттестационный.
  • Аналитический.

Экспертный включает в себя проверку состояния защиты информационных потоков и систем, которые основываются на опыте экспертов и тех, кто проводит эту проверку.

Аттестационный вид аудита касается систем, а также мер безопасности, в частности их соответствие принятым стандартам в международном обществе, а также соответствующими государственными документами, которые регулирую правовую основу данной деятельности.

Аналитический вид аудита касается проведения глубокого анализа информационной системы, с применением технических приспособлений. Данные действия должны быть направлены на то, чтобы выявить уязвимые места программно-аппаратного комплекса.

Методика и средства для проведения аудита на практике

Аудит проводится поэтапно и включает в себя:

Первый этап считается самым простым. Он определяет права и обязанности проводящего аудит, разработку пошагового плана действий и согласование с руководством. При этом на собрании сотрудников определяются границы анализа.

На втором этапе применяются большие объемы потребления ресурсов. Это обосновано тем, что изучается вся техническая документация, которая касается программно-аппаратного комплекса.

Третий этап проводится с помощью одного из трех методов, а именно:

  • Анализа рисков.
  • Анализа соответствия стандартам и законодательству.
  • Комбинации анализа рисков и соответствия закона.

Четвертый этап позволяет систематизировать полученные данные провести глубокий анализ. При этом проверяющий обязательно должен быть компетентным в этом вопросе.

Как пройти , чтобы не возникло проблем? Для чего нужна такая проверка? Наша статья расскажет об этом.

Что такое аудиторская проверка и какие виды аудита бывают? Об этом написано .

Вы узнаете, что такое налоговая проверка и для каких целей она нужна.

После проведения проверки обязательно должно быть составлено заключение, которое отражено в соответствующем отчетном документе. В отчете, как правило, отражаются такие сведенья:

  1. Регламент проведенного аудита.
  2. Структуру системы информационных потоков на предприятии.
  3. Какими методами и средствами была проведена проверка
  4. Точное описание уязвимых мест и недостатков, с учетом риска и уровня недостатков.
  5. Рекомендованные действия по устранению опасных мест, а также улучшению комплекса всей системы.
    Реальные практические советы, с помощью которых должны быть реализованы мероприятия, направлены на минимизацию рисков, которые были выявлены при проверке.

Аудит информационной безопасности на практике

На практике, довольно распространенным безобидным примером, является ситуация при которой сотрудник А, занимающийся закупками торгового оборудования вел переговоры с помощью определенной программы «В».

При этом сама программа является уязвимой, а при регистрации, сотрудник не указал ни электронного адреса, ни номера, а использовал альтернативный абстрактный адрес почты с несуществующим доменом.

По итогу, злоумышленник может зарегистрировать аналогичный домен и создать регистрационный терминал. Это позволит ему отправлять сообщения компании, которая владеет сервисом программы «В», с просьбой выслать утерянный пароль. При этом сервер будет отправлять почту на существующий адрес мошенника, так как у него работает редирект. В результате этой операции, мошенник имеет доступ к переписке, оглашает поставщику иные информационные данные, и управляет направлением груза по неизвестному, для сотрудника, направлению.

Актуальность информационного аудита в современном мире, становится все более востребование, в виду роста числа пользователей, как пространства всемирной паутины, так и применения различных способов монетизации в различных сервисах. Таким образом, данные каждого из пользователей становятся доступными для злоумышленников. Защитить их можно путем выявления очага проблемы – слабых мест информационных потоков.

Вконтакте

На предприятии должен проводиться аудит информационной безопасности. Рассмотрим, для чего это нужно и как осуществить проверку. Почти вся деятельность организаций связана с компьютерными обработками сведений.

Растет количество и объем операций, требующих широкого использования компьютеризированной информационной системы.
При наличии ошибок может блокироваться работа системы.

Может вызываться цепная реакция, в результате чего уменьшается доходность компаний и теряется их репутация. Именно поэтому стоит уделять особое внимание аудиту ИБ.

Что нужно знать

Проведение аудита ИБ – важная процедура, при которой преследуются определенные цели и выполняется ряд задач.

Необходимые термины

Информационной безопасности называют системную процедуру, при которой получают объективные качественные и количественные оценки о текущем положении информационной безопасности предприятия.

При этом придерживаются определенных критериев и показателей безопасности. Под информационной безопасностью понимают сохранность информационных ресурсов и защиту законного права личности и общества в информационной отрасли.

Зачем это нужно?

С помощью аудита можно дать оценку текущей безопасности работы информационной системы, оценку и прогнозирования рисков, управлять их воздействием на бизнес-процесс.

При грамотном проведении проверки возможна максимальная отдача от средств, что инвестируются в создание и обслуживание системы безопасности компании.

Цель осуществления аудиторской процедуры:

  • анализ риска;
  • оценивание текущих уровней защищенности информационной системы;
  • локализация узкого места в защитной системе;
  • дать рекомендации, как внедрить и повысить эффективность механизма безопасности информационной системы.

Задача:

  • разработать политику безопасности по защите данных;
  • установить задачи для ИТ-сотрудников;
  • разбирать инциденты, что связаны с нарушениями информационной безопасности.

Правовое регулирование

Главные законодательные положения:

  1. Методическая документация.

Аудит информационной безопасности предприятия

Основное направление проверки информационной безопасности:

Аттестация
  • аттестуются автоматизированные системы, средства связи, обработки и передачи данных;
  • аттестуются помещения, что используются при ведении переговоров;
  • аттестуются технические средства, что устанавливаются в выделенном помещении
Контроль защищенных данных
  • выявляются технические каналы утечки данных;
  • контролируется эффективность используемых средств защищенности данных
Специальное исследование средств технического характера
  • исследуется ЭВМ, средство связи и обработки данных;
  • локальная вычислительная система;
  • оформляются результаты исследования согласно нормам Гостехкомиссии
Проектируются объекты в защищенных исполнениях
  • разрабатывается концепция безопасности информации;
  • проектируются автоматизированные системы, обработки данных в защищенных исполнениях;
  • проектируются помещения, что необходимы для осуществления переговоров

Применяемые методики

Возможно использование методики:

Экспертного аудита, при котором оценивают степень защиты того компонента информационной системы Состоит из нескольких стадий:
  • проведение анализа информационных систем;
  • анализируются значимые активы;
  • формируются модели угрозы, нарушителей;
  • анализируются требования к безопасности среды данных;
  • оценивается текущее состояние;
  • разрабатываются рекомендации по устранению недостатков;
  • создается отчетная рекомендация
Активного аудита При проведении теста возможна оценка защищенности информационных систем, обнаружение слабых мест, проверка надежности существующего механизма защиты систем от незаконных действий. Компания получает детальные отчеты с результатами анализа.Объект тестирования на проникновение – внешний сервер, сетевое оборудование, отдельный сервис.

Есть несколько видов тестирования:

  1. Метод «черного ящика». Тест проводится без наличия знания об объекте, что тестируется. Сведения собираются при помощи общего доступного источника.
  2. Метод «белого ящика». Объекты исследуются более детально. Могут запросить дополнительные документы, исходный код, доступы к объектам. Тестом моделируется ситуация, что возможна при утечках данных.
  3. Метод «серого ящика». Игнорируют известные данные и сочетают методы, что указаны выше.

Этапы проведения работ по тестам предусматривают:

  • осуществление анализа доступных сведений;
  • осуществление инструментального сканирования, когда применяются специализированные средства;
  • проведение детального анализа вручную;
  • проведение анализа и оценки недостатков
Проверка web–приложений Нужна, чтобы обнаружить и идентифицировать уязвимые места. Обязательно:
  • проведение автоматического сканирования;
  • использование метода черного и белого ящика;
  • оценивание риска;
  • подготовка рекомендаций;
  • реализация рекомендаций
Комплексного аудита Возможна систематизация угрозы безопасности информации и предоставление предложения по устранению недостатков. Осуществляется техническая проверка сетей, проводится тестирование на проникновение и т. д.
Аудита соответствия стандартам Анализируется и оценивается система управления риском безопасности информации, политика регламента, принципы управления активами и сотрудниками

Составление плана

При проведении аудита информационной безопасности составляют план работ и определения целевой задачи. Заказчики и исполнители должны согласовать область и структуру компании, которую затрагивает проверка.

Оговаривают ответственность каждой стороны. В плане должна отражаться:

  • цель проверки;
  • критерии;
  • области проверки с учетом идентификации организационной и функциональной единицы и процесса, что подлежит аудиту;
  • дата и место проведения аудита;
  • длительность проверки;
  • роль и обязательства членов аудиторских групп и сопровождающих лиц.

Возможно также включение:

  • списка представителей проверяемого предприятия, что будет оказывать услуги сопровождения аудиторской группы;
  • разделов отчета;
  • технического обеспечения;
  • рассмотрения вопросов конфиденциальности;
  • сроков и целей следующей проверки информационной безопасности.

План анализируют и представляют проверяемому предприятию до того, как будет проводиться аудит. Пересмотренный документ согласовывают вовлеченной стороной до продолжения аудита.

Проведение внутреннего аудита

Аудит включает такие действия:

  • инициируется процесс (определяют и закрепляют в документации права и обязательства аудитора, готовится план проведения аудита);
  • собираются данные;
  • анализируется информация;
  • вырабатываются рекомендации;
  • готовится отчет.

Для осуществления аудита определяют критерии, что отражены в нормативной документации. Сначала организуют проверку, анализируют документы и осуществляют подготовку к аудиту ИБ на месте его осуществления.

Обязательно назначают руководство аудиторских групп, определяют цели и область проверки, возможности, устанавливают начальные контакты с аудируемым предприятием.

Нюансы для малого предприятия

На малом предприятии обеспечению информационной безопасности уделяют не так много внимания, как на крупных фирмах.

Хотя техническая ситуация является таковой, что защита ИБ необходима как раз для малых компаний. Такие предприятия имеют небольшой ИТ-бюджет, что позволил бы купить все оборудование, ПО.

Именно поэтому аудит позволил бы своевременно устанавливать уязвимые места, проверив:

  • как используется межсетевой экран для обеспечения безопасности информации;
  • обеспечено ли защиту электронной почты (есть ли необходимые антивирусы);
  • обеспечено ли антивирусную защиту;
  • как организовано работы в 1С предприятие;
  • как настроено ПК пользователей;
  • как используется Proxy-сервер;
  • обеспечено ли защиту информационной среды компании

При процедуре в банке

  • проверка вокруг ПК;
  • проверка с применением ПК.

Контроль может быть общим и прикладным. Общими считают операции, что обеспечивают уверенность в непрерывности работы компьютерной системы.

Осуществляются такие виды контроля:

  • организационный;
  • контроль компьютеров;
  • операционных системы;
  • контролирование доступа;
  • контроль помещения с техническими объектами;
  • разработок и поддержания функционирования систем.

Прикладным контролем называют запрограммированный процесс определенного прикладного программного обеспечения и ручные процессы.

Он необходим, чтобы обеспечить обоснованную уверенность в том, что автоматическая обработка информации является полной, точной и правильной.

Представлен:

  • контролем ввода (это самое слабое место в информационных системах);
  • обработок;
  • вывода.

Программа проверок информационной системы банковских учреждений включает:

Участие внутренних аудиторов При разработке систем и прикладного пакета программы
Обзор и подтверждение Проверяющим лицом изменений программного обеспечения
Проведение аудита внутреннего контроля И тестов с соблюдением постоянства и последовательности
Проверку документации компьютерного обеспечения Есть ли документы, обновляются ли они, отражают ли реальную ситуацию
Проведение проверок программного обеспечения На факт того, нет ли несанкционированных изменений, целостны ли сведения
Проведение оценки купленного программного обеспечения На соответствие описанию подготовленных систем
Ежеквартальная проверка и возобновление плана действий При форс-мажоре и критической ситуации

Чтобы не были допущены нежелательные проникновения и атаки в будущем, стоит:

Аудитор может проводить такие работы:

Организация для государственных информационных систем

Рассмотрим на примере школы. Осуществление аудита включает 3 стадии. Сначала учреждение должно представить все необходимые документы.

Определяют цель, задачи проверки, составляют . Устанавливают, что будет входить в состав аудиторской группы. Составляют программ проверки.

Сама проверка осуществляется в соответствии с программой аудита, что разрабатывалась и согласовывалась с руководством школы.

Проверяется и оценивается, насколько качественны нормативные документы, эффективны технические меры по защите данных, а также действия сотрудников. Устанавливают:

  • правильно ли классифицировано ИСПДн;
  • достаточны ли представленные сведения;
  • выполняются ли требования по обеспечению безопасности информации.

При проведении технической проверки используют экспертные, экспертно-документальные, инструментальные методы. По итогам проверки готовят , где прописаны недочеты и даны рекомендации по их устранению.

Сертификация систем менеджмента

Проверка и сертификация соответствия стандартам направлены на усовершенствование управление предприятием, укрепление доверия.

Хотя и установлено международные стандарты, на данный момент сертификацию на соответствие ISO 17799 не проводят, поскольку отсутствует его 2 часть с описанием сертификации соответствия британским стандартам BS 7799.

Проводят сертификацию на соответствие британским стандартам. Проверка соответствия стандартам осуществляется аудиторскими/консалтинговыми фирмами, что являются членами UKAS

Сертификаты по BS 7799-2 влияют на качество построения систем управления ИБ. Решается ряд технических вопросов.

Государственных стандартов на управление системами не принято, а значит, аналог – Специальные требования и рекомендации по защите сведений технического плана Гостехкомиссии России.

Оформление результатов

При завершении аудита составляется отчетный документ, что передается заказчикам. Отчет должен содержать такие сведения:

  • рамки регламент проведения аудита;
  • структуру информационной системы предприятия;
  • методы и средства, что применяются при проведении аудита;
  • описания обнаруженных уязвимых моментов и недостатков с учетом уровня их риска;
  • рекомендации по улучшению комплексных систем обеспечения ИБ;
  • предложения к планам реализации мероприятия, что должны минимизировать выявленные риски.

В отчете должна отражаться полная, четкая и точная информация по проверке безопасности информации. Указывается, где проводился аудит, кто является заказчиком и исполнителем, какова цель проверки.

Отчеты могут включать и такие данные:

  • план проверки;
  • список сопровождающих аудиторов лиц;
  • краткая суть процедуры, с учетом элемента неопределенности и проблем, что могут отражаться на надежности заключения по итогам проверки;
  • любые отрасли, что не охвачены проверкой и т. д.

Аудит информационной безопасности – это эффективный инструмент, который позволяет получить независимую и объективную оценку текущей стадии защищенности от ряда угроз.

Результат проверки даст основание для формирования стратегий развития систем по обеспечению ИБ компании.
Но стоит помнить, что аудит безопасности не является разовой процедурой.

Его проведение обязательно на постоянной основе. Только в таком случае будет реальная отдача и появится возможность усовершенствования безопасности информации.

Этап сбора информации аудита, является наиболее сложным и длительным. Это связано с отсутствием необходимой документации на информационную систему и с необходимостью плотного взаимодействия аудитора со многими должностными лицами организации.

Компетентные выводы относительно положения дел в компании с информационной безопасностью могут быть сделаны аудитором только при условии наличия всех необходимых исходных данных для анализа. Получение информации об организации, функционировании и текущем состоянии ИС осуществляется аудитором в ходе специально организованных интервью с ответственными лицами компании, путем изучения технической и организационно-распорядительной документации, а также исследования ИС с использованием специализированного программного инструментария. Остановимся на том, какая информация необходима аудитору для анализа.

Обеспечение информационной безопасности организации – это комплексный процесс, требующий четкой организации и дисциплины. Он должен начинаться с определения ролей и распределения ответственности среди должностных лиц, занимающихся информационной безопасностью. Поэтому первый пункт аудиторского обследования начинается с получения информации об организационной структуре пользователей ИС и обслуживающих подразделений. В связи с этим аудитору требуется следующая документация:

· Схема организационной структуры пользователей;

· Схема организационной структуры обслуживающих подразделений.

Обычно, в ходе интервью аудитор задает опрашиваемым следующие вопросы:

· Кто является владельцем информации?

· Кто является пользователем (потребителем) информации?

· Кто является провайдером услуг?

Назначение и принципы функционирования ИС во многом определяют существующие риски и требования безопасности, предъявляемые к системе. Поэтому на следующем этапе аудитора интересует информация о назначении и функционировании ИС. Аудитор задает опрашиваемым примерно следующие вопросы:



· Какие услуги и каким образом предоставляются конечным пользователям?

· Какие основные виды приложений, функционирует в ИС?

· Количество и виды пользователей, использующих эти приложения?

Ему понадобиться также следующая документация, конечно, если таковая вообще имеется в наличие (что, вообще говоря, случается нечасто):

· Функциональные схемы;

· Описание автоматизированных функций;

· Описание основных технических решений;

· Другая проектная и рабочая документация на информационную систему.

Далее, аудитору требуется более детальная информация о структуре ИС. Это позволит уяснить, каким образом осуществляется распределение механизмов безопасности по структурным элементам и уровням функционирования ИС. Типовые вопросы, которые обсуждаются в связи с этим во время интервью, включают в себя:

· Из каких компонентов (подсистем) состоит ИС?

· Функциональность отдельных компонент?

· Где проходят границы системы?

· Какие точки входа имеются?

· Как ИС взаимодействует с другими системами?

· Какие каналы связи используются для взаимодействия с другими ИС?

· Какие каналы связи используются для взаимодействия между компонентами системы?

· По каким протоколам осуществляется взаимодействие?

· Какие программно-технические платформы используются при построении системы?

На этом этапе аудитору необходимо запастись следующей документацией:

· Структурная схема ИС;

· Схема информационных потоков;

· Описание структуры комплекса технических средств информационной системы;

· Описание структуры программного обеспечения;

· Описание структуры информационного обеспечения;

· Размещение компонентов информационной системы.

Подготовка значительной части документации на ИС, обычно, осуществляется уже в процессе проведения аудита. Когда все необходимые данные по ИС, включая документацию, подготовлены, можно переходить к их анализу.

Анализ данных аудита

Используемые аудиторами методы анализа данных определяются выбранными подходами к проведению аудита, которые могут существенно различаться.

Первый подход, самый сложный, базируется на анализе рисков. Опираясь на методы анализа рисков, аудитор определяет для обследуемой ИС индивидуальный набор требований безопасности, в наибольшей степени учитывающий особенности данной ИС, среды ее функционирования и существующие в данной среде угрозы безопасности. Данный подход является наиболее трудоемким и требует наивысшей квалификации аудитора. На качество результатов аудита, в этом случае, сильно влияет используемая методология анализа и управления рисками и ее применимость к данному типу ИС.

Второй подход, самый практичный, опирается на использование стандартов информационной безопасности. Стандарты определяют базовый набор требований безопасности для широкого класса ИС, который формируется в результате обобщения мировой практики. Стандарты могут определять разные наборы требований безопасности, в зависимости от уровня защищенности ИС, который требуется обеспечить, ее принадлежности (коммерческая организация, либо государственное учреждение), а также назначения (финансы, промышленности, связь и т.п.). От аудитора в данном случае требуется правильно определить набор требований стандарта, соответствие которым требуется обеспечить для данной ИС. Необходима также методика, позволяющая оценить это соответствие. Из-за своей простоты (стандартный набор требований для проведения аудита уже заранее определен стандартом) и надежности (стандарт - есть стандарт и его требования никто не попытается оспорить), описанный подход наиболее распространен на практике (особенно при проведении внешнего аудита). Он позволяет при минимальных затратах ресурсов делать обоснованные выводы о состоянии ИС.

Третий подход, наиболее эффективный, предполагает комбинирование первых двух. Базовый набор требований безопасности, предъявляемых к ИС, определяется стандартом. Дополнительные требования, в максимальной степени учитывающие особенности функционирования данной ИС, формируются на основе анализа рисков. Этот подход является намного проще первого, т.к. большая часть требований безопасности уже определена стандартом, и, в то же время, он лишен недостатка второго подхода, заключающего в том, что требования стандарта могут не учитывать специфики обследуемой ИС.

Аудит представляет собой независимую экспертизу отдельных областей функционирования организации. Различают внешний и внутренний аудит. Внешний аудит - это, как правило, разовое мероприятие, проводимое по инициативе руководства организации или акционеров. Рекомендуется проводить внешний аудит регулярно, а, например, для многих финансовых организаций и акционерных обществ это является обязательным требованием со стороны их учредителей и акционеров. Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании «Положения о внутреннем аудите» и в соответствии с планом, подготовка которого осуществляется подразделениями службы безопасноти и утверждается руководством организации.

Целями проведения аудита безопасности являются:

анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов;

Оценка текущего уровня защищенности ИС;

Локализация узких мест в системе защиты ИС;

Оценка соответствия ИС существующим стандартам в области информационной безопасности;

Аудит безопасности предприятия (фирмы, организации) должен рассматриваться как конфиденциальный инструмент управления, исключающий в целях конспирации возможность предоставления информации о результатах его деятельности сторонним лицам и организациям.

Для проведения аудита безопасности предприятия может быть рекомендована следующая последовательность действий.

1. Подготовка к проведению аудита безопасности:

выбор объекта аудита (фирма, отдельные здания и помещения, отдельные системы или их компоненты);

Составление команды аудиторов-экспертов;

Определение объема и масштаба аудита и установление конкретных сроков работы.

2. Проведение аудита:

общий анализ состояния безопасности объекта аудита;

Регистрация, сбор и проверка статистических данных и результатов инструментальных измерений опасностей и угроз;

Оценка результатов проверки;

Составление отчета о результатах проверки по отдельным составляющим.

3. Завершение аудита:

составление итогового отчета;

Разработка плана мероприятий по устранению узких мест и недостатков в обеспечении безопасности фирмы.

Для успешного проведения аудита безопасности необходимо:

Активное участие руководства фирмы в его проведении;

Объективность и независимость аудиторов (экспертов), их компетентность и высокая профессиональность;

Четко структурированная процедура проверки;

Активная реализация предложенных мер обеспечения и усиления безопасности.

Аудит безопасности, в свою очередь, является действенным инструментом оценки безопасности и управления рисками. Предотвращение угроз безопасности означает в том числе и защиту экономических, социальных и информационных интересов предприятия.

Отсюда можно сделать вывод, что аудит безопасности становится инструментом экономического менеджмента.

В зависимости от объема анализируемых объектов предприятия определяются масштабы аудита:

Аудит безопасности всего предприятия в комплексе;

Аудит безопасности отдельных зданий и помещений (выделенные помещения);

Аудит оборудования и технических средств конкретных типов и видов;

Аудит отдельных видов и направлений деятельности: экономической, экологической, информационной, финансовой и т. д.

Следует подчеркнуть, что аудит проводится не по инициативе аудитора, а по инициативе руководства предприятия, которое в данном вопросе является основной заинтересованной стороной. Поддержка руководства предприятия является необходимым условием для проведения аудита.

Аудит представляет собой комплекс мероприятий, в которых помимо самого аудитора, оказываются задействованными представители большинства структурных подразделений компании. Действия всех участников этого процесса должны быть скоординированы. Поэтому на этапе инициирования процедуры аудита должны быть решены следующие организационные вопросы:

Права и обязанности аудитора должны быть четко определены и документально закреплены в его должностных инструкциях, а также в положении о внутреннем (внешнем) аудите;

Аудитором должен быть подготовлен и согласован с руководством план проведения аудита;

В положении о внутреннем аудите должно быть закреплено, в частности, что сотрудники предприятия обязаны оказывать содействие аудитору и предоставлять всю необходимую для проведения аудита информацию.

На этапе инициирования процедуры аудита должны быть определены границы проведения обследования. Если какие-то информационные подсистемы предприятия не являются достаточно критичными, их можно исключить из границ проведения обследования.

Другие подсистемы могут оказаться недоступными для аудита из-за соображений конфиденциальности.

Границы проведения обследования определяются в следующих категориях:

1. Список обследуемых физических, программных и информационных ресурсов.

2. Площадки (помещения), попадающие в границы обследования.

3. Основные виды угроз безопасности, рассматриваемые при проведении аудита.

4. Организационные (законодательные, административные и процедурные), физические, программно-технические и прочие аспекты обеспечения безопасности, которые необходимо учесть в ходе проведения обследования, и их приоритеты (в каком объеме они должны быть учтены).

План и границы проведения аудита обсуждается на рабочем собрании, в котором участвуют аудиторы, руководство компании и руководители структурных подразделений.

Для понимания аудита ИБ как комплексной системы может быть использована его концептуальная модель, показанная на рис. 1.1. Здесь выделены главные составляющие процесса:

Объект аудита:

Цель аудита:

Рис. 1.1 .

предъявляемые требования;

Используемые методы;

Масштаб:

Исполнители;

Порядок проведения.

С точки зрения организации работ при проведении аудита ИБ выделяют три принципиальных этапа:

1. сбор информации;

Ниже более подробно рассмотрены эти этапы.

Сбор, обработка, хранение и использование персональных данных осуществляются во многих сферах деятельности общества и государства. Например, в финансовой и налоговой сфере, при пенсионном, социальном и медицинском страховании, в оперативно-розыскной деятельности, трудовой и других областях общественной жизни.

В различных сферах деятельности под персональными данными понимаются часто не совпадающие наборы сведений. Определения персональных данных содержатся в различных федеральных законах, причем объем сведений определяется в них по разному.

С развитием информационных технологий всё большее значение приобретает защита коммерческой информации, позволяющая компании поддерживать конкурентоспособность своих товаров, организовывать работу с партнерами и клиентами, снижать риски возникновения санкций со стороны регуляторов.

Защитить коммерческую тайну компании и привлечь виновных в разглашении к ответственности возможно, введя режим коммерческой тайны, т. е. приняв правовые, организационные и технические меры по охране конфиденциальности информации.

На сегодняшний день вирусные атаки по-прежнему происходят с пугающей частотой. Самыми эффективными являются атаки, осуществляемые с использованием файлов, открываемых обычными приложениями. Например, вредоносный код может содержаться в файлах Microsoft Word или PDF-документах. Такая атака называется эксплойтом и не всегда определяется обычным антивирусом.

Palo Alto Networks Traps обеспечивает расширенную защиту рабочих станций от целенаправленных вредоносных атак, предотвращает эксплуатацию уязвимостей операционной системы и приложений.

Рекомендации по защите информации при работе в системах ДБО

В последнее время участились случаи мошеннических действий в системах дистанционного банковского обслуживания (ДБО), направленные на хищение секретных ключей пользователей и денежных средств организаций. В статье мы рассмотрели практические меры, необходимые для снижения вероятности кражи денежных средств и привели рекомендации по реагированию на возможные мошеннические действия.



Есть вопросы?

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам:

Отправить