Организация аудита информационной безопасности информационной системы
Организация аудита информационной безопасности информационной системыАндрушка Игорь Молдавская Экономическая АкадемияTIE - 238ВведениеСовременная информационная система организации представляет собой распределенную и неоднородную систему, использующую различные программно-аппаратные компоненты и имеющую точки выхода в сети общего пользования (например, Интернет). В связи с этим значительно усложняется задача правильного и безопасного конфигурирования компонент и обеспечения защищенного взаимодействия между ними, и, как следствие, увеличивается количество уязвимых мест в системе.Наличие уязвимостей в системе дает возможность потенциальному нарушителю провести успешную атаку и нанести ущерб деятельности организации. Появление «слабых мест» может быть обусловлено различными причинами, как объективного (например, недоработки в базовом программном обеспечении), так и субъективного характера (например, неправильная настройка оборудования).Выявление и устранение уязвимостей, а также оценка общего уровня защищенности является чрезвычайно важной составляющей обеспечения безопасности, позволяющей существенно повысить уровень защищенности информационных и иных ресурсов системы.Рис. 1 Роль аудита информационной безопасностиЦели и назначение аудитаК основным целям аудита информационной безопасности можно отнести следующие:Получение объективной и независимой оценки текущего состояния защищенности информационных ресурсов.Получение максимальной отдачи от средств, инвестируемых в создание системы информационной безопасности.Оценка возможного ущерба от несанкционированных действий.Разработка требований к построению системы защиты информации.Определение зон ответственности сотрудников подразделений.Расчет необходимых ресурсов.Разработка порядка и последовательности внедрения системы информационной безопасности.Аудит может проводится в следующих вариантах:Комплексный аудит – перед созданием системы информационной безопасностиТочечный – формирование требований к проведению модернизации системы защитыПериодичный – внешняя регламентная проверка уровня защищенности системы. Проверочный – экспертиза и оценка используемых, либо планируемых к использованию систем и решений.Этапы аудитаПроцесс аудита информационных систем можно представить в виде своеобразных весов (рис. 2), где на одной чаше рассматриваются системы безопасности доступа, на другой — контроль бизнес-процессов, а в качестве опоры служит техническая инфраструктура, которая, в свою очередь, основана на принятых методах авторизации, конфигурации системы, а также на политиках и процедурах, принятых в организации.Рис. 2 Процесс аудита информационных системРаботы по аудиту безопасности ИС включают в себя ряд последовательных этапов (рис. 3), которые в целом соответствуют этапам проведения комплексного аудита ИС, который включает в себя следующее:комплексное обследование - включает сбор информации об используемых информационных ресурсах - системное программное обеспечение, локальные сети и телекоммуникации, прикладные системы, а также анализ существующих организационно-правовых процессов. По результатам обследования формируется (уточняется) перечень критичных ресурсов и разрабатывается перечень угроз для данных ресурсов;проведение оценки защищенности - включает работы по обнаружению уязвимостей технических средств, анализу технологической защищенности, а также адекватности организационных процедур. На основе выявленных недостатков проводиться оценка рисков, включающая основные способы преодоления системы защиты, степень критичности и возможность реализации;аттестация системы - включает мероприятия по обследованию (оценки) существующих мер и мероприятий по защите информации, оценки их адекватности, а также соответствие требования ведущих стандартов;по результатам Аудита разрабатывается План исправления выявленных недостатков. Задача планирования состоит в определении приоритетов исправления обнаруженных недостатков, разработки очередности и методологии их устранения. Дополнительно предусматривается разработка концептуальных и процедурных документов, таких как Концепция информационной безопасности, Общие требования и рекомендации по защите информации, Политики безопасности и др.Рис 3. Этапы проведения аудита информационной безопасностиВ зависимости от целей и способа проведения аудита информационной безопасности инициатором этого мероприятия, как уже было отмечено выше, является заинтересованная сторона. Наиболее часто инициатором аудита является организация в лице его руководства.Как правило на этапе обследования решаются следующие организационные вопросы:права и обязанности аудитора четко определяются и документально закрепляются в его должностных инструкциях, а также в положении о внутреннем (внешнем) аудите; аудитором подготавливается и согласовывается с руководством план проведения аудита информационной безопасности. На этапе обследования также определяются границы проведения обследования. Границы проведения обследования обычно определяются в следующих терминах:список обследуемых физических, программных и информационных ресурсов; площадки (помещения), попадающие в границы обследования; основные виды угроз безопасности, рассматриваемые при проведении аудита; организационные (законодательные, административные и процедурные), физические, программно-технические и прочие аспекты обеспечения безопасности, которые необходимо учесть в ходе проведения обследования, и их приоритеты (в каком объеме они должны быть учтены). Далее следует сбор информации аудита, который является наиболее сложным и длительным. Это, как правило, с...