Лекция 7. Аудит информационной безопасности (2 часа)

Информация - самый ценный ресурс в компании, а в некоторых случаях является и производственным ресурсом, от сохранности которого зависят важные технологические процессы. С развитием информационных технологий увеличивается риск утечки информации, заражение вирусами, вмешательства в работу системы. Важно осознавать состояние защищенности ресурсов в информационной системе, чтобы противостоять различным видам угрозы ее безопасности. Реальную помощь в этом может оказать исследование состояния безопасности информационной системы - аудит безопасности (системный процесс для получения объективных оценок состояния информационной системы по критериям безопасности).

Основной задачей аудита является оценка текущего состояния информационной безопасности в компании, а также соответствие поставленной задаче бизнеса по увеличению рентабельности предприятия.

Целью проведении аудита является разработка технических средств и комплекса, организационных мер для обеспечения защиты информационных ресурсов системы от угроз безопасности. Аудит безопасности позволяет обосновать решения по защите отдельно взятого предприятия.

Результатом проведения аудита является детальная информация о состоянии информационной системы.

Обеспечение безопасности - непрерывный процесс, объединяющий правовые, организационные, программные меры в защите информации. В основе такого процесса лежит анализ защищенности системы по динамике их развития и видам угроз.

Информационная система должна подвергаться в течение некоторого периода реорганизации, началом которой служит выявление уязвимости при проведении аудита.

В рамках аудита проводится проверка имеющихся элементов защиты информации и разработка отсутствующих, что позволит получить:

  • - документальное описание текущего состояния информационной системы организации;
  • - реальную политику информационной безопасности организации (данный документ определяет цель и последовательность мероприятий руководства организации в области информационной безопасности, причины, по которым информационная безопасность важна для организации);
  • - реально работающие должностные инструкции для персонала обслуживающего информационную систему, с отражением ответственности за допущенные нарушения;
  • - классификацию информационных ресурсов по типам, уровню секретности, местонахождению, форме представления и ответственным лицам;
  • - комплект необходимых внутренних нормативных документов (обязательство о неразглашении коммерческой тайны, положение о распределении и контроле прав доступа к информационным ресурсам, положение о парольной защите, положение об антивирусной защите, положение о резервировании данных, положение о служебном расследовании, положение о работе с ключевой информацией, инструкция пользователя сети, и т.п.);
  • - порядок предоставления прав доступа к ресурсам компьютерной сети;
  • - порядок резервирования и восстановления данных после сбоев;
  • - порядок антивирусной защиты;
  • - оценку и рекомендации по физической защите критически важного оборудования;
  • - порядок действий при возникновении нарушений;
  • - конкретные рекомендации и решения по организации (поддержанию) защищенного взаимодействия с удаленными сегментами сети филиалов;
  • - рекомендации по организации системы текущего контроля действий пользователей;
  • - отчет о реальной защищенности компьютерной сети от внутренних угроз, полученный в результате обследования техническими средствами (уязвимости рабочих станций, серверов, активного сетевого оборудования, разрабатываемых и использующихся автоматизированных систем, и пр.);
  • - отчет о защищенности сети организации от внешних угроз (со стороны публичных сетей);
  • - модель деятельности нарушителя;
  • - пирамиду угроз информационной безопасности;
  • - конкретные рекомендации по устранению выявленных уязвимостей, структурированные по значимости, сложности и срокам реализации;
  • - полную подготовку объектов информатизации к аттестации на соответствие требованиям по защите конфиденциальной информации и государственной тайны.

Как показывает практика, проведение данных работ позволяет качественно поднять уровень защищенности информационной системы организации без значительных материальных затрат на дополнительное оборудование и программное обеспечение. Следует отметить, что работы по проведению аудита ведутся с участием сотрудников заказчика, что позволяет им в дальнейшем самостоятельно поддерживать достигнутый уровень информационной безопасности.

Одним из условий реализации целей деятельности организаций банковской системы Российской Федерации (БС РФ) является обеспечение необходимого и достаточного уровня информационной безопасности (ИБ).

Основным из видов проверки уровня ИБ в организациях БС РФ является аудит И Б. Мировой опыт в области обеспечения И Б определяет аудит ИБ как важнейший процесс в непрерывном цикле процессов менеджмента ИБ организации.

Банк России является сторонником регулярного проведения аудита ИБ в организациях БС РФ.

Основными целями аудита ИБ организаций БС РФ являются:

  • - повышение доверия к организациям БС РФ;
  • - оценка соответствия ИБ организаций БС РФ критериям аудита ИБ, установленным согласно требованиям стандарта Банка России СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения».

Стандарт банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения»

Аудит информационной безопасности внедрен 2007.05.01.

1. Область применения

Настоящий стандарт распространяется на организации БС РФ, а также на организации, проводящие аудит ИБ организаций БС РФ, и устанавливает требования к проведению внешнего аудита ИБ организаций БС РФ.

Настоящий стандарт рекомендован для применения путем включения ссылок на него и использования устанавливаемых в нем положений и требований при разработке программ аудита ИБ, а также при разработке других нормативных документов организаций БС РФ по обеспечению ИБ.

Положения настоящего стандарта применяются на добровольной основе, если только в отношении конкретных положений обязательность нс установлена действующим законодательством, нормативным правовым актом Банка России или условиями договора.

2. Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты: ГОСТ Р 1.4-2004 Стандартизация в Российской Федерации. Стандарты организаций. Общие положения СТО БР ИББС-1.0

3. Термины и определения

В настоящем стандарте применены термины по СТО БР ИББС-1.0, а также следующие термины (в алфавитном порядке) с соответствующими определениями.

  • 3.1. Внешний аудит информационной безопасности организации банковской системы Российской Федерации; аудит информационной безопасности: систематический, независимый и документируемый процесс получения свидетельств аудита деятельности организации БС РФ по обеспечению ИБ и определения степени выполнения в организации БС РФ установленных критериев аудита ИБ, проводимый внешней по отношению к проверяемой независимой проверяющей организацией.
  • 3.2. Аудитор (эксперт): лицо, обладающее компетентностью для проведения аудита информационной безопасности.
  • 3.3. Аудиторская группа: один или несколько аудиторов, проводящих аудит информационной безопасности, при необходимости поддерживаемые техническими экспертами.
  • 3.4. Выводы аудита информационной безопасности; выводы аудита И Б: результат оценки собранных свидетельств аудита информационной безопасности на соответствие критериям аудита информационной безопасности.

Примечание. Выводы аудита информационной безопасности указывают на степень соответствия ИБ организации БС РФ критериям аудита ИБ.

3.5. Заказчик аудита информационной безопасности; заказчик аудита И Б: организация или лицо, заказавшие аудит информационной безопасности.

Примечание. Заказчик может быть проверяемой организацией или любой другой организацией, которая имеет законное право потребовать аудит информационной безопасности.

  • 3.6. Заключение но результатам аудита информационной безопасности (аудиторское заключение); заключение по результатам аудита И Б: качественная и/или количественная оценки степени соответствия установленным критериям аудита информационной безопасности, представленные аудиторской группой после рассмотрения всех выводов аудита информационной безопасности в соответствии с целями аудита информационной безопасности.
  • 3.7. Критерии аудита (самооценки) информационной безопасности; критерии аудита (самооценки) ИБ: совокупность требований в области информационной безопасности, определенных в соответствии с положениями СТО БР ИББС-1.0 или его частью, и характеризующая некоторый уровень информационной безопасности.

Примечание. Критерии аудита (самооценки) информационной безопасности используются для сопоставления с ними свидетельств аудита (самооценки) информационной безопасности.

3.8. Область аудита информационной безопасности; область аудита И Б: содержание и границы аудита информационной безопасности.

Примечание. Область аудита информационной безопасности обычно включает местонахождение, организационную структуру, виды деятельности проверяемой организации и процессы, которые подвергаются аудиту информационной безопасности, а также охватываемый период времени.

  • 3.9. Проверяемая организация: организация банковской системы Российской Федерации, в которой проводится аудит информационной безопасности.
  • 3.10. Проверяющая организация (аудиторская организация): организация, проводящая аудит информационной безопасности.
  • 3.11. Программа аудита информационной безопасности; программа аудита И Б: план деятельности по проведению одного или нескольких аудитов информационной безопасности (и других проверок информационной безопасности), запланированных на конкретный период времени и направленных на достижение конкретной цели.

Примечание. Программа аудита информационной безопасности включает всю деятельность, необходимую для планирования, проведения, контроля, анализа и совершенствования аудитов информационной безопасности (и других проверок информационной безопасности).

3.12. Свидетельства (доказательства) аудита (самооценки) информационной безопасности; свидетельства (доказательства) аудита (самооценки) ИБ: записи, изложение фактов или другая информация, которые имеют отношение к критериям аудита (самооценки) информационной безопасности и могут быть проверены.

Примечание. Свидетельства аудита (самооценки) информационной безопасности могут быть качественными или количественными.

  • 3.13. Самооценка информационной безопасности организации банковской системы Российской Федерации; самооценка ИБ: систематический и документируемый процесс получения свидетельств самооценки в деятельности организации БС РФ по обеспечению ИБ и установления степени выполнения в организации БС РФ установленных критериев самооценки ИБ. Самооценка ИБ выполняется самостоятельно сотрудниками организации БС РФ.
  • 3.14. Технический эксперт: лицо, предоставляющее аудиторской группе свои знания и/или опыт по специальным вопросам.
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >