Экспертиза и аудит информационной безопасности осуществляется с целью выявления недостатков и уязвимых мест в системе компьютерной безопасности организации, а также для оценки эффективности ее работы. Понятие аудита по отношению к системам информационной защиты трактуется несколько иначе, нежели классический смысл, вкладываемый в этот термин. Подобная проверка по-другому может именоваться как оценка соответствия, аттестация или сертификация. В любом случае, аудит информационной безопасности представляет собой анализ информационной защиты компании, которая проводится с одной из следующих целей:
- Оценка соответствия системы существующим нормативным требованиям.
- Определение уровня обоснованности и правомерности всех принимаемых решений в области безопасности.
Оценка эффективности и правильности работы системы может осуществляться по инициативе организации с целью повышения уровня ее информационной защищенности. В том случае, если компании необходимо установить соответствие систем безопасности нормативным предписаниям, фирма не может отказаться от проведения аудита, он осуществляется в обязательном порядке. Причем, если будут выявлены какие-либо отклонения от предписанных норм, организации грозит приостановление деятельности, штраф или иные санкции, предусмотренные законодательством.
Особенно важным проведение экспертиза и аудита информационной безопасности становится в ситуации, когда компания по роду своей деятельности работает с конфиденциальными данными ее пользователей или клиентов. Защита подобной информации от доступа мошенников и прочих злоумышленников является не просто предосторожностью, по первейшей обязанностью организации.
Основные направления осуществления экспертизы и аудита информационной безопасности
Экспертиза и аудит информационной безопасности представляют собой комплексное, всестороннее исследование всех информационных систем заказчика, включая средства обмена информацией с его контрагентами. Совокупность информационных ресурсов при проведении анализа подразделяется на следующие компоненты:
- Организация специальных мероприятий по защите информационных ресурсов.
- Программно-аппаратные средства защиты информационных систем.
- Физическая безопасность информационной инфраструктуры.
При анализе организации защиты информации эксперт исследует следующие ее аспекты:
- Алгоритм осуществления бизнес-процессов, а именно методы обработки защищенных данных, механизмы обмена данными между структурными подразделениями организации, способы трансляции данных контрагентам и так далее.
- Пакет распорядительных документов, регулирующих данную сферу – должностные инструкции, положения, приказы и др.
При экспертизе программно-аппаратных средств защиты информационных систем особое внимание уделяется следующим моментам:
- Особенности конфигурационной настройки систем информационной защиты.
- Техническая документация, сопровождающая системы и средства информационной защиты.
- Обнаружение возможных уязвимых мест системы (производится с использованием специальных технических средств).
Под физической безопасностью информационной инфраструктуры понимают ограничение доступа для посторонних лиц в помещения, в которых находится специальное оборудование, а также в помещения, где обрабатываются конфиденциальные сведения.
Задачи, решаемые специалистами в области экспертизы и аудита информационной безопасности
В ходе проведения экспертных мероприятий специалисты в области экспертизы и аудита информационной безопасности решают множество задач, связанных с компьютерными системами, обеспечивающими защиту предприятия от противоправных действий преступников и конкурентов. Круг проблем, рассматриваемых специалистами, определяется существующими недостатками системы, предполагаемыми пробелами в защите и целями организации, являющейся инициатором исследования. Наиболее часто в ходе осуществления экспертизы решаются следующие задачи:
- Анализ событий, фактов и обстоятельств, представляющих угрозу информационной безопасности предприятия. Иное название данного комплекса экспертных действий – аудит сферы внешних информационных угроз.
- Экспертиза действующих на момент проведения исследования нормативных актов с целью оценки соответствия рабочей система данным документам.
- Поиск потенциально опасных узлов и подсистем действующей системы информационной безопасности.
- Оценка совокупности прав доступа членов организации и прогноз сохранения целостности информационной защиты предприятия.
Порядок проведения экспертизы и аудита информационной безопасности
Существуют определенные правила относительно последовательности мероприятий, производимых в ходе экспертизы и аудита информационной безопасности. На первом этапе, который называется инициирование процесса аудита, происходит назначение данной проверки – принудительно или по желанию организации. Заключается договор на проведение данных мероприятий. На втором этапе происходит сбор информации. Для этого компания предоставляет все необходимые документы и сведения – по запросу специалиста. Кроме того, эксперт получает доступ к информационным системам организации и исследует их с помощью специальных средств. Следующим шагом является доскональный анализ всех полученных на предыдущем этапе данных. Эксперт исследует полученные данные и формулирует профессиональные выводы о состоянии систем информационной безопасности организации. На четвертом этапе, полагаясь на результаты проведенного анализа, эксперт приступает к формированию рекомендаций по устранению недостатков системы, исправлению уязвимых и слабых мест, подготовке специальных документов и мероприятий и так далее. На пятом, заключительном, этапе специалист, производивший исследование, приступает к составлению экспертного заключения или аудиторского отчета. Данный документ представляет собой основной смысл и результат проведения экспертизы или аудита информационной безопасности. Он содержит описание всех произведенных работ, выводы и рекомендации специалиста, а также ответы на поставленные перед ним вопросы.
Правовые основы проведения экспертизы и аудита информационной безопасности
Требования к организации систем информационной безопасности, а также к проведению мероприятий по информационной защите зафиксированы в государственном стандарте ГОСТ Р ИСО/МЭК 27001-2006. Данный стандарт представляет собой пакет наилучших технологий управления информационной защитой и информационной безопасностью на крупных предприятиях. Российский стандарт является аналогом международного стандарта в данной области – ISO/IEC 27001:2005. Следует отметить, что небольшие фирмы, включая банки и прочие финансовые организации, не имеют возможности полностью выполнить прописанные в стандарте требования.
Вопросы, которые ставятся перед специалистом по проведению экспертизы и аудита информационной безопасности
- Какова общая политика организации в области информационной безопасности?
- Обнаружены ли в ходе проведения экспертизы (аудита) слабые места систем информационной защиты?
- Каковы слабые места системы? Каким образом они могут быть исправлены?
- Каким образом организован доступ в помещения, в которых находится специальное оборудование?
- Каким образом устроена физическая безопасность помещений, в которых происходит обработка конфиденциальных данных?
- Соответствует ли организация информационной безопасности на предприятии требованиям стандарта?
- Каковы конфигурационные особенности системы защиты безопасности? Заключаются ли в ней какие-либо ошибки или уязвимые места?
- Какие недостатки или недочеты содержит пакет распорядительных документов?
- Каким образом налажены бизнес-процессы компании? Являются ли технологии их проведения оптимальными с точки зрения информационной безопасности?
- Есть ли недостатки в технической документации систем и средств информационной защиты?
- Безопасна ли передача данных контрагентам организации?
- Возможно ли нарушение конфиденциальности данных при переправке их между структурными подразделениями организации?
- Соответствуют ли требованиям стандарта методы обработки защищенных и конфиденциальных данных?