Как провести аудит информационной безопасности. Аудит безопасности и методы его проведения

Целью сбора информации является формирование свидетельств ау­дита.

Процесс сбора и обработки информации осуществляется по следую­щей схеме:

Выбор источников информации;

Сбор информации;

Формирование свидетельств аудита.

Выбор источников информации

Выбор источников информации осуществляется аудитором в зави­симости от объема и сложности проверки.

Источниками исходной информации для аудитора в ходе проверки выступают:

Документы, регламентирующие деятельность подразделения и/или процессы (положение о подразделении, должностные инст­рукции, процедуры, рабочие инструкции, методики, приказы, распоряжения, разрешения и др.),

Планы, акты, регистрационные журналы (журналы измерений), протоколы совещаний, программы и журналы обучения, средства труда, компьютерные базы, элементы инфраструктуры, произ­водственная среда и др.

Источником информации для аудитора могут быть данные, полученные за пределами аудитируемого подразделения, на­пример, от службы качества, от других подразделении и пр.

Методы сбора информации

Метод сбора информации – способ решения задачи, связанной со сбором информации.

Информация, относящаяся к целям, объектам и критериям аудиторской проверки, собирается аудитором различными методами.

Осмотр

Осмотр – обследование, сделанное в ходе проверки и основанное зрительном восприятии аудитора.

Известно, что благодаря зрению, человек получает до 85% поступающей к нему информации.

В ходе осмотра аудитор ищет главным образом материальные доказательства соответствия. Это особенно важно при проверке, проводимой в производственных помещениях, в лабораториях, на складах хранения про­дукции и т.п.

Объекты осмотра:

Документация – процедуры и записи (наличие, состояние, доступность);

Производственная среда – состояние рабочих мест (соответст­вие технологии, обеспечение безопасности);

Инфраструктура – оборудование, оснастка, инструмент, энерго­обеспечение, транспорт, связь (наличие, состояние, соответствие технологии);

Средства измерения, контроля и испытаний (наличие, состояние, соответствие технологии, метрологическим правилам и нормам);

Персонал (наличие, квалификация, поведение);

Продукция (порядок обращения, соответствие технологии).

При осмотре аудитор должен быть внимателен к деталям.

Опрос

Опрос - метод получения первичной информации об объеме ауди­торской проверки в виде ответов на вопросы. В приложении Ж приведены рекомендации по организации и технике беседы.

Опрос может проводиться в форме анкетирования (посредством оп­росного листа) или в форме непосредственной беседы (интервью). В приложении Ж приведены рекомендации по организации и технике беседы.

Методы проверки информации и формирования наблюдений аудита

Результатом сбора информации являются свидетельства аудита.

Свидетельство аудита записи, изложение фактов или другая ин­формация, которые связаны с критериями аудита и могут быть провере­ны .

Свидетельства аудита могут быть качественными или количествен­ными.

С помощью методов проверки информации на базе собранных сви­детельств аудита формируются наблюдения аудита.

Наблюдения аудита - результаты оценки собранных свидетельств аудита в зависимости от критериев аудита.

Наблюдения аудита могут указывать на соответствие или несоот­ветствие критериям аудита или на возможности улучшения.

Наблюдения, в свою очередь, являются основой заключения по ре­зультатам аудита.

Выходные данные аудита, предоставленные группой по аудиту после рассмотрения целей аудита и всех наблюдений аудита.

К методам проверки информации и формирования наблюдений ау­дита относятся:

Доказательство

Оценивание.

Анализ

Анализ свидетельств аудита

Свидетельства аудита и любая другая информация, собранная в ходе аудита, анализируется с точки зрения целей аудиторской проверки. Для использования данных свидетельств для формирования наблюдений ауди­та, они должны быть систематизированы, обобщены и тщательно проана­лизированы, включая при необходимости статистические методы.

В ходе аналитического анализа важно отделить существенную ин­формацию от несущественной («выделить сигнал из шума»).

Для тех свидетельств, которые вызывают сомнения аудитора (на­пример, правильность интерпретации полученной информации), необхо­димо применить метод доказательства, обсудить в аудиторской группе, и только после такого обсуждения может быть принято окончательное ре­шение о формировании наблюдения аудита, к примеру, использование статистических методов.

Статистические методы

В тех случаях, когда получаемые аудитором данные имеют ко­личественную форму (например, данные результатов технического кон­троля, данные о количестве обнаруженных несоответствий, данные о при­чинах несоответствий и др.) их целесообразно представлять и ана­лизировать с помощью статистических методов.

Статистические приёмы используются во многих областях обслуживания и производства. Многие из этих приемов пригодны и для аудита. Наиболее часто встречающие инструменты, используемые на стадиях подготовки и проведения аудита:

· контрольные листы;

· анализ воспроизводимости оборудования;

· анализ воспроизводимости процесса;

· анализ Парето;

· планы выборочного контроля и проверки;

· кривые операционных характеристик;

· блок-схемы процессов/прослеживание;

· мозговой штурм;

· диаграммы причин и результатов;

· контрольные карты.

Эти средства могут пригодиться и аудиторам, и проверяемым. Эти приёмы – способ демонстрации продукции или услуги, которые нуждаются в улучшении. Примерами могут служить:

· несоответствие продукции (поступающие отчёты о проверке, отказы в эксплуатации и т.д.);

· низкая воспроизводимость процесса (параметры продукции находятся внутри поля допуска, но не центрированы);

· анализ стоимости продукции, обслуживания и проектирования;

· анализ эксплуатации (оценивание качества в ходе производства как альтернатива выходному контролю; число контейнеров с правильной маркировкой и неправильно обработанных заказов потребителей и т.д.).

Инспекция на месте. Обнаруживающий выборочный контроль

В ходе аудита для локализации хронических случаев несоответствия и неподтверждения системы качества, процессов или их элементов используется обнаруживающий выборочный контроль. Такой контроль предполагает, что отклонение случается с заданной вероятностью.

Объём выборки основан на вероятности того, что в неё попадает, по крайней мере, одно изделие с отклонением. Вот несколько примеров применения выборочного контроля:

· установленное число вопросов опросного листа, применимых к определённой категории проблем для обнаружения зоны несоответствия;

· если обнаружена рабочая инструкция, действующая без утверждения. В этом случае можно провести обнаруживающий выборочный контроль в различных отделах для определения того, действительно ли проблема имеет хронический характер, указывающий на «находку» аудита .

Выборочный обнаруживающий контроль требует большого числа образцов для достижения высоких уровней значимости даже там, хронические проблемы были очевидны в прошлом. Успешное пользование такого контроля зависит от частоты событий. Чем выше частота события, тем меньше образцов потребуется.

Естественно, если выявлено несоответствие для одного аспекта системы, аналогичные аспекты стоит проверить на предмет такие же несоответствия.

Выборочный контроль/проверка

Во время аудита системы мало времени для проверки определённых параметров. Выборочный контроль приходится ограничивать. В общем, несколько образцов достаточно, чтобы определить статус продукции или процесса (например, горсть деталей, случайно выбранных сверху, из середины и со дна контейнера, или проверка нескольких письменных документов). Наилучшее место для взятия образцов – области взаимодействия процесса и продукции (т.е. конец этапа).

При записи выборочных данных отмечается следующее:

· место взятых образцов (стадия процесса, участок, станок);

· наименование и номер детали;

· номер партии или другие идентификаторы;

· время и дата;

· непрерывные или дискретные результаты;

· любые наблюдения, которые могут повлиять на процесс (продукцию).

В зависимости от вида аудита, его цели и отведенного времени может понадобиться разработка планов выборочного контроля. Выборочный контроль применяется для:

· локализации проблемы в процессе;

· обеспечения информации об уровнях переделок и отходов;

· определения соответствия параметрам процесса;

· определения воспроизводимости.

Эти планы надо подготовить до проведения аудита. В связи с фактором времени стандартные выборочные планы более пригодны для внутреннего, чем внешнего аудита.

Прослеживание/блок-схемы (схемы потоков)

Другая широко применяемая и эффективная форма инспекции «на месте» - прослеживание. Здесь полезно использование блок-схемы. Можно изучать эффективность, соответствие или прослеживаемость продукции или процессы, делая выборки на каждой стадии, зафиксированной в блок-схеме процесса либо производства изделия. Это может вовлечь несколько отделов. Продукция или её часть можно исследовать следующими методами:

· Прослеживание вперёд. Обследование с «головы» процесса производства продукции, оказания, услуги или выполнения заказа до «хвоста» либо с иной заданной точки до конца до конца и, наконец, с другой заданной точки далее вниз по цепи процесса. Это полезно для получения целостной картины и определения практичности схемы;

· Прослеживание назад. Обратное прослеживаемости вперёд. Начинается от «хвоста» процесса производства продукции, оказания услуги или выполнения заказа и идёт к «голове» процесса либо к заданной точке. Преимущество этого метода – использование сведений о результате процесса. Эффективность других процессов можно оценивать по вкладу в желаемый результат;

· Случайный отбор (случайная проверка). Это не форма прослеживания, а альтернативный вариант, когда персонал и время ограничены. Случайный отбор может оказаться единственным методом, доступным аудитору. Недостатки: приходится делать много записей и труднее понять схему операций или процесса. Преимущества: аудит можно проводить более гибко и экономить время.

Прослеживание позволяет аудитору определить:

· где слабые места процесса или процедуры;

· есть ли ненужные, неэффективные, повторяющиеся шаги процесса или процедуры;

· какая стадия служит источником большинства проблем;

· общее состояние процесса и системы.

Отклонения от заданных значений должны рассматриваться в качестве потенциала для улучшений. При этом также необходимо проверять, не изменились ли действующие правила и целесообразны ли были проведённые изменения.

По возможности, каждое установленное отклонение должно немедленно устраняться, в целях исключений в последующем трудоёмкого дополнительного отслеживания мероприятий по устранению выявленных отклонений.

Необходимые мероприятия по улучшениям, которые не могут быть сразу реализованы, должны быть выработаны совместно с руководством подразделения и документированы в виде корректирующих мероприятий. Их пригодность для достижения поставленных целей должна быть основана.

Доказательство

Значимыми характеристиками аудиторского доказательства яв­ляются его достоверность и достаточность. Доказательство считается дос­товерным, если оно вызывает доверие аудитора, является объективным и проверяемым. Достаточность доказательства определяется его полнотой, что в большой мере зависит от объема собранной информации. Несоблю­дение требований к доказательству обесценивает результат аудиторской проверки.

Ниже приводится ряд положений, знание которых может быть полезным аудитору в этой области:

Свидетельства составляют основу аудиторского заключения и, сле­довательно, без необходимых доказательств такое заключение не может быть достоверным;

Получая свидетельства о соблюдении процедур (инструкций), ауди­тор должен быть уверен, что эти процедуры будут соблюдаться и в будущем, по крайней мере, до следующей аудиторской проверки;

Достоверность аудиторского свидетельства зависит от многих фак­торов, но прежде всего от степени его подтверждения и квалификации ау­дитора;

Чем достовернее свидетельство, тем ниже уровень риска оши­бочного аудиторского заключения (следует отметить, что никто не сво­боден от ошибочных выводов и поэтому определенные элементы риска присущи и аудиторскому заключению).

Объективными свидетельствами соответствия при проведении ауди­торской проверки являются факты, подтверждающие:

Идентичность (повторяемость по времени и местам применения) практических действий правилам и нормам, установленным в документа­ции системы менеджмента качества и (или) экологии;

Выполнение требований тех разделов ИСО 9001 и ИСО 14001, ко­торые необязательны для документирования в организации;

Наличие и выполнение запланированных мероприятий в области качества и (или) охраны окружающей среды;

Оценивание результативности процессов;

Результативность корректирующих и предупреждающих де­йствий;

Постоянное улучшение деятельности, процессов и систем ме­неджмента в целом.

Оценивание

Свидетельство аудита оценивается с точки зрения критериев аудита. Результаты такого оценивания рассматриваются как наблюдение аудита.

Наблюдения аудита могут указывать либо на соответствие, либо на несоответствие критериям аудита, либо на возможность улучшения. При этом особого внимания аудитора заслуживают обнаруженные несоответст­вия. Оценивание несоответствий осуществляется путем их классификации на значительные, малозначительные и уведомления.

При оценивании свидетельств существует ве­роятность ошибочных (неправильных) выводов и, как следствие, неправильного заключения по результатам аудиторской проверки. Веро­ятность неправильных выводов уменьшается при использовании объ­ективных данных, т.е. данных, основанных на измерениях.

Заключение по результатам аудита

Заключение аудиторской группы по результатам аудиторской про­верки может содержать итоговую оценку:

Степени соответствия процесса, деятельности подразделения или системы менеджмента в целом критериям аудита;

результативности и эффективности процесса, деятельности подразделения или системы менеджмента в целом;

способности руководства обеспечивать постоянную адекват­ность и результативность процесса, деятельности подразделения или системы менеджмента в целом;

правильности установления показателей результативности и эффективности процесса;

возможности улучшения процесса, деятельности подразделения или системы менеджмента в целом.

При оценке степени соответствия объекта аудиторской проверки (отдельное подразделение или несколько подразделений, участвующих в выполнении определенного процесса) аудиторская группа должна полу­чить однозначные ответы на вопросы:

Можно ли утверждать, что персонал аудитируемого подразде­ления (нескольких подразделений) знает, имеет в своем распоряжении, по­нимает и использует обязательные для него документы системы ме­неджмента качества?

Подтверждается ли соблюдение требований документов системы менеджмента качества и (или) экологии необходимыми регистрационными данными, фактами и другими свидетельствами?

Все ли требования документов, используемых в подразделении (подразделениях), обеспечивают достижение целей подразделения (под­разделений) в области качества?

При оценке результативности внедрения, поддержания и совер­шенствования объекта аудита аудиторская группа должна получить ответы на вопросы:

Достигнуты ли запланированные результаты в проверенном про­цессе, деятельности подразделения или системы менеджмента в целом?

Достаточно ли эффективно используются выделенные ресурсы для осуществления процесса, деятельности подразделения или системы менеджмента в целом?

При оценке способности руководства обеспечивать постоянную аде­кватность и результативность процесса, деятельности подразделения или системы менеджмента качества в целом группа аудиторов должна полу­чить ответы на вопросы:

Подтверждается ли, что процесс, деятельность подразделения или система менеджмента в целом функционирует в управляемых условиях?

Можно ли утверждать, что руководством выделяются ресурсы, достаточные для результативного функционирования процесса, дея­тельности подразделения или системы менеджмента в целом?

При оценивании возможности улучшения деятельности аудиторская группа должна получить ответы на вопросы:

Имеется ли необходимость и реальная возможность улучшить процесс (сокращение времени, затрат, повышение качества, уменьшение отрицательного воздействия на окружающую среду), деятельность подраз­деления или системы менеджмента в целом?

Заключение должно правдиво и точно отражать деятельность ауди­торской группы.

Заключение может быть напечатанным или рукописным и оформ­ляться в виде собственно «Заключения», или «Акта проверки». Заключе­ние согласовывается и подписывается всеми членами аудиторской группы.

Если в ходе аудита выявлены несоответствия, то оформленные про­токолы по выявленным несоответствиям включаются в заключение в виде приложения.

После обсуждения итогов по результатам проверки на заключительном совещании или с руководителем аудитируемого подразделения, Заключение в окончательном виде включается в отчет об аудиторской проверке.


Похожая информация.


Сакральная фраза – «владение информацией – владение миром» актуальна как никогда. Потому, сегодня «красть информацию» присуща большинству злоумышленников. Избежать этого можно путем внедрения ряда защиты от атак, а также своевременное проведение аудита информационной безопасности. Аудит информационной безопасности – понятие новое, которое подразумевает актуально и динамическое развивающееся направление оперативного и стратегического менеджмента, которое касается безопасности информационной системы.

Информационный аудит – теоретические основы

Объем информации в современном мире растет стремительно быстро, так как во всем мире наблюдается тенденция глобализации использования компьютерной техники во всем слоях человеческого общества. В жизни рядового человека, информационные технологии являются основной составляющей.

Это выражается в использовании Интернета, как в рабочих целях, так и с целью игры и развлечения. Параллельно с развитием информационных технологий, растет монетизация сервисов, а значит и количество времени, которое затрачивается на совершение разных платежных операций с использованием пластиковых карт. В их число входит безналичный расчет за разные товары и потребленные услуги, транзакции в платежной системе онлайн банкинга, обмен валют, прочие платежные операции. Это все влияет на пространство во всемирной паутине, делая ее больше.

Информации о владельцах карт становится также, больше. Это является основой для расширения поля деятельности мошенников, которые на сегодняшний день, ухищряются произвести колоссальную массу атак, среди которых атаки поставщика услуг и конечного пользователя. В последнем случае, предотвратить атаку можно за счет использования соответствующего ПО, а вот если это касается вендора, необходимо применение комплекса мер, которые минимизируют перебои работы, утечку данных, взломы сервиса. Это осуществляется за счет своевременного проведения аудита информационной безопасности.

Задача, которую преследует информационные аудит лежит в своевременной и точной оценке состояния безопасности информации в текущий момент конкретного субъекта хозяйствования, а также соответствие поставленной цели и задачи ведения деятельности, с помощью которого должно производиться повышение рентабельности и эффективности экономической деятельности.

Иными словами, аудит информационной безопасности – это проверка того или иного ресурса на возможность противостоять потенциальным или реальным угрозам.

  • Аудит информационной безопасности преследует следующие цели:
  • Оценить состояние информационной системы информации на предмет защищенности.
  • Аналитическом выявлении потенциальных рисков, которые связаны с внешним проникновением в информационную сеть.
  • Выявлением локализации прорех в системе безопасности.
  • Аналитическом выявлении соответствия между уровнем безопасности и действующим стандартам законодательной базы.
  • Инициирование новых методов защиты, их внедрение на практике, а также создание рекомендаций, с помощью которых будет происходить усовершенствование проблем средств защиты, а также поиск новых разработок в данном направлении.

Применяется аудит при:

  • Полной проверке объекта, который задействован в информационном процессе. Частности, речь идет о компьютерных системах, системах средств коммуникации, при приеме, передаче, а также обработке данных определенного объема информации, технических средств, систем наблюдения т.д.
  • Полной проверке электронных технических средств, а также компьютерных системе на предмет воздействия излучения и наводок, которые будут способствовать их отключению.
  • При проверке проектной части, в которые включены работы по созданию стратегий безопасности, а также их практического исполнения.
  • Полной проверке надежности защиты конфиденциальной информации, доступ к которой ограничен, а также определение «дыр» с помощью которых данная информация обнародуется с применением стандартных и нестандартным мер.

Когда возникает необходимость проведения аудита?

Важно отметить, что необходимость проведения информационного аудита возникает при нарушении защиты данных. Также, проверка рекомендована к проведению при:

  • Слиянии компании.
  • Расширении бизнеса.
  • Поглощении или присоединении.
  • Смене руководства.

Виды аудита информационных систем

На сегодняшний день, существует внешний и внутренний информационный аудит.

Для внешнего аудита характерно привлечение посторонних, независимых экспертов, которые имеют право на осуществление таковой деятельности. Как правило, данный вид проверки носит разовый характер и инициируется руководителем предприятия, акционером или органами правоохранения. Проведение внешнего аудита не является обязательным, носит, скорее всего, рекомендованный характер. Однако есть нюансы, закрепленные законодательством, при которых внешний аудит информационной безопасности является обязательным. К примеру, под действие закона попадают финансовые учреждения, акционерные общества, а также финансовые организации.

Внутренний аудит безопасности информационных потоков представляет собой постоянный процесс, проведение которого регламентировано соответствующим документом «Положением о проведении внутреннего аудита». Это мероприятие, в рамках компании имеет аттестационный характер, проведение которого отрегулировано соответствующим приказом по предприятию. За счет проведения внутреннего аудита, в компании обеспечивается за счет специального подразделения в компании.

Аудит классифицируют также как:

  • Экспертный.
  • Аттестационный.
  • Аналитический.

Экспертный включает в себя проверку состояния защиты информационных потоков и систем, которые основываются на опыте экспертов и тех, кто проводит эту проверку.

Аттестационный вид аудита касается систем, а также мер безопасности, в частности их соответствие принятым стандартам в международном обществе, а также соответствующими государственными документами, которые регулирую правовую основу данной деятельности.

Аналитический вид аудита касается проведения глубокого анализа информационной системы, с применением технических приспособлений. Данные действия должны быть направлены на то, чтобы выявить уязвимые места программно-аппаратного комплекса.

Методика и средства для проведения аудита на практике

Аудит проводится поэтапно и включает в себя:

Первый этап считается самым простым. Он определяет права и обязанности проводящего аудит, разработку пошагового плана действий и согласование с руководством. При этом на собрании сотрудников определяются границы анализа.

На втором этапе применяются большие объемы потребления ресурсов. Это обосновано тем, что изучается вся техническая документация, которая касается программно-аппаратного комплекса.

Третий этап проводится с помощью одного из трех методов, а именно:

  • Анализа рисков.
  • Анализа соответствия стандартам и законодательству.
  • Комбинации анализа рисков и соответствия закона.

Четвертый этап позволяет систематизировать полученные данные провести глубокий анализ. При этом проверяющий обязательно должен быть компетентным в этом вопросе.

Как пройти , чтобы не возникло проблем? Для чего нужна такая проверка? Наша статья расскажет об этом.

Что такое аудиторская проверка и какие виды аудита бывают? Об этом написано .

Вы узнаете, что такое налоговая проверка и для каких целей она нужна.

После проведения проверки обязательно должно быть составлено заключение, которое отражено в соответствующем отчетном документе. В отчете, как правило, отражаются такие сведенья:

  1. Регламент проведенного аудита.
  2. Структуру системы информационных потоков на предприятии.
  3. Какими методами и средствами была проведена проверка
  4. Точное описание уязвимых мест и недостатков, с учетом риска и уровня недостатков.
  5. Рекомендованные действия по устранению опасных мест, а также улучшению комплекса всей системы.
    Реальные практические советы, с помощью которых должны быть реализованы мероприятия, направлены на минимизацию рисков, которые были выявлены при проверке.

Аудит информационной безопасности на практике

На практике, довольно распространенным безобидным примером, является ситуация при которой сотрудник А, занимающийся закупками торгового оборудования вел переговоры с помощью определенной программы «В».

При этом сама программа является уязвимой, а при регистрации, сотрудник не указал ни электронного адреса, ни номера, а использовал альтернативный абстрактный адрес почты с несуществующим доменом.

По итогу, злоумышленник может зарегистрировать аналогичный домен и создать регистрационный терминал. Это позволит ему отправлять сообщения компании, которая владеет сервисом программы «В», с просьбой выслать утерянный пароль. При этом сервер будет отправлять почту на существующий адрес мошенника, так как у него работает редирект. В результате этой операции, мошенник имеет доступ к переписке, оглашает поставщику иные информационные данные, и управляет направлением груза по неизвестному, для сотрудника, направлению.

Актуальность информационного аудита в современном мире, становится все более востребование, в виду роста числа пользователей, как пространства всемирной паутины, так и применения различных способов монетизации в различных сервисах. Таким образом, данные каждого из пользователей становятся доступными для злоумышленников. Защитить их можно путем выявления очага проблемы – слабых мест информационных потоков.

Вконтакте

На сегодняшний день автоматизированные системы (АС) играют ключевую роль в обеспечении эффективного выполнения бизнес-процессов как коммерческих, так и государственных предприятий. Вместе с тем повсеместное использование АС для хранения, обработки и передачи информации приводит к повышению актуальности проблем, связанных с их защитой. Подтверждением этому служит тот факт, что за последние несколько лет, как в России, так и в ведущих зарубежных странах имеет место тенденция увеличения числа информационных атак, приводящих к значительным финансовым и материальным потерям. Для того, чтобы гарантировать эффективную защиту от информационных атак злоумышленников компаниям необходимо иметь объективную оценку текущего уровня безопасности АС. Именно для этих целей и применяется аудит безопасности, различные аспекты которого рассматриваются в рамках настоящей статьи.

1. Что такое аудит безопасности?

Не смотря на то, что в настоящее время ещё не сформировалось устоявшегося определения аудита безопасности, в общем случае его можно представить в виде процесса сбора и анализа информации об АС, необходимой для последующего проведения качественной или количественной оценки уровня защиты от атак злоумышленников. Существует множество случаев, в которых целесообразно проводить аудит безопасности. Вот лишь некоторые из них:

  • аудит АС с целью подготовки технического задания на проектирование и разработку системы защиты информации;
  • аудит АС после внедрения системы безопасности для оценки уровня её эффективности;
  • аудит, направленный на приведение действующей системы безопасности в соответствие требованиям российского или международного законодательства;
  • аудит, предназначенный для систематизации и упорядочивания существующих мер защиты информации;
  • аудит в целях расследования произошедшего инцидента, связанного с нарушением информационной безопасности.

Как правило, для проведения аудита привлекаются внешние компании, которые предоставляют консалтинговые услуги в области информационной безопасности. Инициатором процедуры аудита может являться руководство предприятия, служба автоматизации или служба информационной безопасности. В ряде случаев аудит также может проводиться по требованию страховых компаний или регулирующих органов. Аудит безопасности проводится группой экспертов, численность и состав которой зависит от целей и задач обследования, а также сложности объекта оценки.

2. Виды аудита безопасности

В настоящее время можно выделить следующие основные виды аудита информационной безопасности:

  • экспертный аудит безопасности, в процессе которого выявляются недостатки в системе мер защиты информации на основе имеющегося опыта экспертов, участвующих в процедуре обследования;
  • оценка соответствия рекомендациям Международного стандарта ISO 17799, а также требованиям руководящих документов ФСТЭК (Гостехкомиссии);
  • инструментальный анализ защищённости АС, направленный на выявление и устранение уязвимостей программно-аппаратного обеспечения системы;
  • комплексный аудит, включающий в себя все вышеперечисленные формы проведения обследования.

Каждый из вышеперечисленных видов аудита может проводиться по отдельности или в комплексе в зависимости от тех задач, которые необходимо решить предприятию. В качестве объекта аудита может выступать как АС компании в целом, так и её отдельные сегменты, в которых проводится обработка информации, подлежащей защите.

3. Состав работ по проведению аудита безопасности

В общем случае аудит безопасности, вне зависимости от формы его проведения, состоит из четырёх основных этапов, каждый из которых предусматривает выполнение определённого круга задач (рис. 1).

Рисунок 1: Основные этапы работ при проведении аудита безопасности

На первом этапе совместно с Заказчиком разрабатывается регламент, устанавливающий состав и порядок проведения работ. Основная задача регламента заключается в определении границ, в рамках которых будет проведено обследование. Регламент является тем документом, который позволяет избежать взаимных претензий по завершению аудита, поскольку чётко определяет обязанности сторон. Как правило, регламент содержит следующую основную информацию:

  • состав рабочих групп от Исполнителя и Заказчика, участвующих в процессе проведения аудита;
  • перечень информации, которая будет предоставлена Исполнителю для проведения аудита;
  • список и местоположение объектов Заказчика, подлежащих аудиту;
  • перечень ресурсов, которые рассматриваются в качестве объектов защиты (информационные ресурсы, программные ресурсы, физические ресурсы и т.д.);
  • модель угроз информационной безопасности, на основе которой проводится аудит;
  • категории пользователей, которые рассматриваются в качестве потенциальных нарушителей;
  • порядок и время проведения инструментального обследования автоматизированной системы Заказчика.

На втором этапе, в соответствии с согласованным регламентом, осуществляется сбор исходной информации. Методы сбора информации включают интервьюирование сотрудников Заказчика, заполнение опросных листов, анализ предоставленной организационно-распорядительной и технической документации, использование специализированных инструментальных средств.

Третий этап работ предполагает проведение анализа собранной информации с целью оценки текущего уровня защищённости АС Заказчика. По результатам проведённого анализа на четвёртом этапе проводится разработка рекомендаций по повышению уровня защищённости АС от угроз информационной безопасности.

Ниже в более подробном варианте рассмотрены этапы аудита, связанные со сбором информации, её анализом и разработкой рекомендаций по повышению уровня защиты АС.

4. Сбор исходных данных для проведения аудита

Качество проводимого аудита безопасности во многом зависит от полноты и точности информации, которая была получена в процессе сбора исходных данных. Поэтому информация должна включать в себя: существующую организационно-распорядительную документацию, касающуюся вопросов информационной безопасности, сведения о программно-аппаратном обеспечении АС, информацию о средствах защиты, установленных в АС и т.д. Более подробный перечень исходных данных представлен в таблице 1.

Таблица 1: Перечень исходных данных, необходимых для проведения аудита безопасности

Тип информации Описание состава исходных данных
1 Организационно-распорядительная документация по вопросам информационной безопасности
1. политика информационной безопасности АС;
2. руководящие документы (приказы, распоряжения, инструкции) по вопросам хранения, порядка доступа и передачи информации;
3. регламенты работы пользователей с информационными ресурсами АС.
2 Информация об аппаратном обеспечении хостов
1. перечень серверов, рабочих станций и коммуникационного оборудования, установленного в АС;
2. информация об аппаратной конфигурации серверов и рабочих станций;
3. информация о периферийном оборудовании, установленном в АС.
3 Информация об общесистемном ПО
1. информация об операционных системах, установленных на рабочих станциях и серверах АС;
2. данные о СУБД, установленных в АС.
4 Информация о прикладном ПО
1. перечень прикладного ПО общего и специального назначения, установленного в АС;
2. описание функциональных задач, решаемых с помощью прикладного ПО, установленного в АС.
5 Информация о средствах защиты, установленных в АС
1. информация о производителе средства защиты;
2. конфигурационные настройки средства защиты;
3. схема установки средства защиты.
6 Информация о топологии АС
1. карта локальной вычислительной сети, включающей схему распределения серверов и рабочих станций по сегментам сети;
2. информация о типах каналов связи, используемых в АС;
3. информация об используемых в АС сетевых протоколах;
4. схема информационных потоков АС.

Как уже отмечалось выше, сбор исходных данных может осуществляться с использованием следующих методов:

  • интервьюирование сотрудников Заказчика, обладающих необходимой информацией. При этом интервью, как правило, проводится как с техническими специалистами, так и с представителями руководящего звена компании. Перечень вопросов, которые планируется обсудить в процессе интервью, согласовывается заранее;
  • предоставление опросных листов по определённой тематике, самостоятельно заполняемых сотрудниками Заказчика. В тех случаях, когда представленные материалы не полностью дают ответы на необходимые вопросы, проводится дополнительное интервьюирование;
  • анализ существующей организационно-технической документации, используемой Заказчиком;
  • использование специализированных программных средств, которые позволяют получить необходимую информацию о составе и настройках программно-аппаратного обеспечения автоматизированной системы Заказчика. Так, например, в процессе аудита могут использоваться системы анализа защищённости (Security Scanners), которые позволяют провести инвентаризацию имеющихся сетевых ресурсов и выявить имеющиеся в них уязвимости. Примерами таких систем являются Internet Scanner (компании ISS) и XSpider (компании Positive Technologies).

5. Оценка уровня безопасности АС

После сбора необходимой информации проводится её анализ с целью оценки текущего уровня защищённости системы. В процессе такого анализа определяются риски информационной безопасности, которым может быть подвержена компания. Фактически риск представляет собой интегральную оценку того, насколько эффективно существующие средства защиты способны противостоять информационным атакам.

Обычно выделяют две основные группы методов расчёта рисков безопасности. Первая группа позволяет установить уровень риска путём оценки степени соответствия определённому набору требований по обеспечению информационной безопасности. В качестве источников таких требований могут выступать (рис. 2):

  • Нормативно-правовые документы предприятия, касающиеся вопросов информационной безопасности;
  • Требования действующего российского законодательства – руководящие документы ФСТЭК (Гостехкомиссии), СТР-К, требования ФСБ РФ, ГОСТы и др.;
  • Рекомендации международных стандартов – ISO 17799, OCTAVE, CoBIT и др.;
  • Рекомендации компаний-производителей программного и аппаратного обеспечения – Microsoft, Oracle, Cisco и др.

Рисунок 2: Источники требований информационной безопасности, на основе которых может проводиться оценка рисков

Вторая группа методов оценки рисков информационной безопасности базируется на определении вероятности реализации атак, а также уровней их ущерба. В данном случае значение риска вычисляется отдельно для каждой атаки и в общем случае представляется как произведение вероятности проведения атаки на величину возможного ущерба от этой атаки. Значение ущерба определяется собственником информационного ресурса, а вероятность атаки вычисляется группой экспертов, проводящих процедуру аудита.

Методы первой и второй группы могут использовать количественные или качественные шкалы для определения величины риска информационной безопасности. В первом случае риск и все его параметры выражаются в числовых значениях. Так, например, при использовании количественных шкал вероятность проведения атаки может выражаться числом в интервале, а ущерб атаки может задаваться в виде денежного эквивалента материальных потерь, которые может понести организация в случае успешного проведения атаки. При использовании качественных шкал числовые значения заменяются на эквивалентные им понятийные уровни. Каждому понятийному уровню в этом случае будет соответствовать определённый интервал количественной шкалы оценки. Количество уровней может варьироваться в зависимости от применяемых методик оценки рисков. В таблицах 2 и 3 приведены примеры качественных шкал оценки рисков информационной безопасности, в которых для оценки уровней ущерба и вероятности атаки используется пять понятийных уровней.

Таблица 2: Качественная шкала оценки уровня ущерба

Уровень ущерба Описание
1 Малый ущерб Приводит к незначительным потерям материальных активов, которые быстро восстанавливаются, или к незначительному влиянию на репутацию компании
2 Умеренный ущерб Вызывает заметные потери материальных активов или к умеренному влиянию на репутацию компании
3 Ущерб средней тяжести Приводит к существенным потерям материальных активов или значительному урону репутации компании
4 Большой ущерб Вызывает большие потери материальных активов и наносит большой урон репутации компании
5 Критический ущерб Приводит к критическим потерям материальных активов или к полной потере репутации компании на рынке, что делает невозможным дальнейшую деятельность организации

Таблица 3: Качественная шкала оценки вероятности проведения атаки

Уровень вероятности атаки Описание
1 Очень низкая Атака практически никогда не будет проведена. Уровень соответствует числовому интервалу вероятности
5 Очень высокая Атака почти наверняка будет проведена. Уровень соответствует числовому интервалу вероятности (0.75, 1]

При использовании качественных шкал для вычисления уровня риска применяются специальные таблицы, в которых в первом столбце задаются понятийные уровни ущерба, а в первой строке – уровни вероятности атаки. Ячейки же таблицы, расположенные на пересечении первой строки и столбца, содержат уровень риска безопасности. Размерность таблицы зависит от количества концептуальных уровней вероятности атаки и ущерба. Пример таблицы, на основе которой можно определить уровень риска, приведён ниже.

Таблица 4: Пример таблицы определения уровня риска информационной безопасности

Вероятность атаки Очень низкая Низкая Средняя Высокая Очень высокая
Ущерб
Малый
ущерб 		Низкий Риск Низкий риск Низкий риск Средний риск Средний риск
Умеренный
ущерб 		Низкий Риск Низкий риск Средний риск Средний риск Высокий риск
Ущерб средней тяжести Низкий Риск Средний риск Средний риск Средний риск Высокий риск
Большой
ущерб 		Средний риск Средний риск Средний риск Средний риск Высокий риск
Критический
ущерб 		Средний риск Высокий риск Высокий риск Высокий риск Высокий риск

При расчете значений вероятности проведения атаки, а также уровня возможного ущерба могут использоваться статистические методы, методы экспертных оценок или элементы теории принятия решений. Статистические методы предполагают анализ уже накопленных данных о реально случавшихся инцидентах, связанных с нарушением информационной безопасности. На основе результатов такого анализа строятся предположения о вероятности проведения атак и уровнях ущерба от них в других АС. Однако применение статистических методов не всегда возможно из-за отсутствия в полном объёме статистических данных о ранее проведённых атаках на информационные ресурсы АС, аналогичной той, которая выступает в качестве объекта оценки.

При использовании аппарата экспертных оценок проводится анализ результатов работы группы экспертов, компетентных в области информационной безопасности, которые на основе имеющегося у них опыта определяют количественные или качественные уровни риска. Элементы теории принятия решений позволяют применять для вычисления значения риска безопасности более сложные алгоритмы обработки результатов работы группы экспертов.

В процессе проведения аудита безопасности могут использоваться специализированные программные комплексы, позволяющие автоматизировать процесс анализа исходных данных и расчёта значений рисков. Примерами таких комплексов являются «Гриф» и «Кондор» (компании «Digital Security»), а также «АванГард» (Института Системного Анализа РАН).

6. Результаты аудита безопасности

На последнем этапе проведения аудита информационной безопасности разрабатываются рекомендации по совершенствованию организационно-технического обеспечения предприятия. Такие рекомендации могут включать в себя следующие типы действий, направленных на минимизацию выявленных рисков:

  • уменьшение риска за счёт использования дополнительных организационных и технических средств защиты, позволяющих снизить вероятность проведения атаки или уменьшить возможный ущерб от неё. Так, например, установка межсетевых экранов в точке подключения АС к сети Интернет позволяет существенно снизить вероятность проведения успешной атаки на общедоступные информационные ресурсы АС, такие как Web-серверы, почтовые серверы и т.д.;
  • уклонение от риска путём изменения архитектуры или схемы информационных потоков АС, что позволяет исключить возможность проведения той или иной атаки. Так, например, физическое отключение от сети Интернет сегмента АС, в котором обрабатывается конфиденциальная информация, позволяет исключить атаки на конфиденциальную информацию из этой сети;
  • изменение характера риска в результате принятия мер по страхованию. В качестве примеров такого изменения характера риска можно привести страхование оборудования АС от пожара или страхование информационных ресурсов от возможного нарушения их конфиденциальности, целостности или доступности. В настоящее время российских компаний уже предлагают услуги по страхованию информационных рисков;
  • принятие риска в том случае, если он уменьшен до того уровня, на котором он не представляет опасности для АС.

Как правило, разработанные рекомендации направлены не на полное устранение всех выявленных рисков, а лишь на их уменьшение до приемлемого остаточного уровня. При выборе мер по повышению уровня защиты АС учитывается одно принципиальное ограничение – стоимость их реализации не должна превышать стоимость защищаемых информационных ресурсов.

В завершении процедуры аудита его результаты оформляются в виде отчётного документа, который предоставляется Заказчику. В общем случае этот документ состоит из следующих основных разделов:

  • описание границ, в рамках которых был проведён аудит безопасности;
  • описание структуры АС Заказчика;
  • методы и средства, которые использовались в процессе проведения аудита;
  • описание выявленных уязвимостей и недостатков, включая уровень их риска;
  • рекомендации по совершенствованию комплексной системы обеспечения информационной безопасности;
  • предложения по плану реализации первоочередных мер, направленных на минимизацию выявленных рисков.

7. Заключение

Аудит информационной безопасности является сегодня одним из наиболее эффективных инструментов для получения независимой и объективной оценки текущего уровня защищённости предприятия от угроз информационной безопасности. Кроме того, результаты аудита являются основой для формирования стратегии развития системы обеспечения информационной безопасности организации.

Однако, необходимо представлять, что аудит безопасности не является однократной процедурой, а должен проводиться на регулярной основе. Только в этом случае аудит будет приносить реальную отдачу и способствовать повышению уровня информационной безопасности компании.

8. Список литературы

  1. Вихорев С.В., Кобцев Р.Ю., Как узнать – откуда напасть или откуда исходит угроза безопасности информации // Конфидент, №2, 2001.
  2. Симонов С. Анализ рисков, управление рисками // Информационный бюллетень Jet Info № 1(68). 1999. с. 1-28.
  3. ISO/IEC 17799, Information technology – Code of practice for information security management, 2000
  4. Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) – security risk evaluation – www.cert.org/octave.
  5. Risk Management Guide for information Technology Systems, NIST, Special Publication 800-30.

Большинство современных предприятий и организаций стремятся обезопасить себя от утечки коммерческой информации, однако в век высоких технологий реализовать это крайне сложно. Надёжная защита информации является фундаментом эффективной работы любой организации. Выбор остаётся за Вами - реализовать эффективную модель работы предприятия или терять прибыль, лишаться ценных кадров и дарить своих клиентов конкурентам.

В наши дни существует ряд охранных систем, реализующих информационную безопасность (ИБ), но для того, чтобы проверить эффективность их работы, необходимо проведение аудита безопасности информационных систем, который позволит выявить, ликвидировать бреши внутри структуры организации и предотвратить появление подобных проблем в будущем. Он представляет собой независимую оценку состояния системы на предмет соответствия установленным требованиям, и проводится в отношении налоговой и бухгалтерской отчётности, финансово-хозяйственной деятельности и экономического обеспечения.

Многолетняя практика нашей компании показывает, что формальный подход к информационной «обороне» оборачивается для организаций предельной беззащитностью перед конкретными угрозами. Мы доверяем только практике, тщательно анализируя защищённость бизнес-процессов, обнаруживая уязвимости в системах и давая клиентам объективное представление о них.

Оказание услуг по защите информации от «Зеонит»: наши преимущества

  • Предотвращение хакерских атак. Тысячи хакеров систематически взламывают сервера организаций ради развлечения, корысти или тренировки. Важно своевременно обезопасить предприятие от утечки конфиденциальной информации.
  • Доскональная аналитика. На основе аналитики наши эксперты разрабатывают эффективную стратегию контроля информационных систем. Мы понимаем уязвимости IT-инфраструктур любой специфики и масштаба, и каков бы ни был размер Вашей компании, мы реализуем индивидуальный подход и высококлассную экспертизу с гарантией полной конфиденциальности.
  • Формат «под ключ». Обращаясь к нам, Вы получаете комплексный подход: мы выявляем слабые места внутри информационной системы Вашей компании, возможные проблемы и риски, и на выходе предлагаем готовые пути их ликвидации.
  • Компетентные эксперты. В команде «Зеонит» работают профессионалы в области ИБ, квалификация и опыт работы которых имеет документальное подтверждение. Глубоко погружаясь в логику работы систем, мы обнаруживаем даже самые неочевидные риски и предлагаем варианты их устранения. Именно поэтому наши специалисты предлагают самые эффективные и перспективные решения.
  • Обеспечение ИБ для организации любого уровня. Мы предоставляем услуги как государственным предприятиям и банковским структурам, так и коммерческим организациям, учитывая потребности в каждом отдельном случае.
  • Понятное резюме. Мы формируем отчёт на доступном языке, с подробным описанием рисков и набором практических рекомендаций для технических специалистов компании.
  • Внедрение передовых технологий. В рамках реализации ИБ нашей целью является внедрение самых современных технологий и свежих решений, подтвержденных международными сертификатами. Помимо всего, мы успешно реализуем и собственные разработки.

Стоит помнить, что хорошо защищённая информационная система - это залог успешной и прибыльной работы любого предприятия. Обращайтесь к нам и заказывайте профессиональный аудит уже сегодня.


    Зачем нужен аудит ИБ

    Комплексный аудит ИБ

    Тест на проникновение

    Экспресс аудит ИБ

Зачем нужен аудит информационной безопасности

Информационная безопасность (ИБ) – фундамент любого предприятия, без применения которого невозможно построить надежную структуру организации. Выбор за Вами: получить эталонную защиту, или продолжать дарить клиентов своим конкурентам, терять существенную прибыль и ценные кадры. Аудит информационной безопасности позволит выявить, устранить и предупредить появление брешей внутри структуры Вашего предприятия.

6 причин, доверить проведение аудита нашей компании

Защита от хакерских атак

На скрытых форумах общаются тысячи хакеров, которые взламывают сервера предприятий для забавы, корыстных целей или ради тренировки. Крупные организации подвергаются хакерским атакам регулярно.

Аналитический подход

Наши эксперты проводят глубокий аудит с предоставлением полного отчета по обследованным системам. На основе аналитики разрабатывается наиболее эффективная стратегия обеспечения бесперебойного контроля над безопасной работой с информацией.

Сервис в формате «под ключ»

Обращаясь к нам, Вы получаете исчерпывающий перечень услуг в сегменте ИБ. Выявим слабые места внутри вашей информационной системы, оценим возможные проблемные места, риски и предложим готовые решения для их полного устранения.

Экспертный консалтинг

Получите консультацию ведущих экспертов «ЗЕОНИТ»: оценка возможных проблемных участков и рисков, расчет инвестиций в информационную безопасность, варианты готовых решений, советы по постройке надежной защиты.

Компетентные специалисты

В нашей команде работают ведущие консультанты в сфере информационной безопасности, квалификация которых подтверждена сертификатами. Именно поэтому специалисты «ЗЕОНИТ» предлагают самые эффективные решения.

Полное погружение

Не существует единого стандарта информационной безопасности, поэтому при заказе аудита наши эксперты учитывают особенности именно Вашей организации, чтобы построить защиту действительно эталонного уровня.

Приоритетная направленность наших услуг

Мы работаем с множеством предприятий различного масштаба, как с банками и другими государственными структурами, так и коммерческими организациями.

Обеспечение ИБ для коммерческих организаций

  • Контроль и предоставление сотрудникам доступа различного уровня к данным предприятия;
  • Отслеживание и управление репутацией компании в сети;
  • Создание корпоративной тайны и сбережение корпоративной информации от посягательств конкурентов.

Обеспечение ИБ для госпредприятий и банковских структур

  • Проверка на соответствие ИБ ГОСТ стандартам;
  • Оптимизация технологий под масштабы организации;
  • Оценка экспертами степени безопасности систем автоматизации и менеджмента.

Обеспечение ИБ банковских организаций

  • Системы управления рисками;
  • Создание и приведение к актуальности стандартов под требования Банка России;

Выявление и устранение информационных утечек по вине сотрудников и клиентов

Проведение аудита настоятельно рекомендуется в случаях смены руководства или структуры организации, а также для актуализации требований под действующее законодательство. Необходимо понимать, что хорошо обособленная и защищенная информационная система - это надежная опора любого предприятия. Свяжитесь с нами уже сегодня, и закажите профессиональный аудит ИБ прямо сейчас.

Основной целью нашей организации в рамках внедрения первичных систем безопасности информации, является укоренение передовых технологий по информационной защите внутри бизнес процессов своих клиентов. Для ее исполнения мы используем множество новых и полезных решений, прошедших сертификацию у мировых лидеров по разработке ПО. Кроме того, мы имеем собственные успешные разработки, не уступающие большинству европейских и американских образцов. Специалисты нашей компании ясно понимают, какие именно сегменты рынка безопасности будут востребованы в ближайшие годы, поэтому мы с имеем возможность с уверенностью смотреть в будущее, зная, какие бизнес – процессы не потеряют своей актуальности еще долгое время. Опираясь на наших постоянных партнеров, мы продолжаем развитие нашей компании, точно зная, что всегда сможем принести пользу окружающему миру.

Каждый заказчик получает от нас особое внимание, и мы, учитывая все особенности его бизнеса, предлагаем ему проект, имеющий максимальную эффективность с экономической и технической точки зрения, согласно которому, после согласования, мы строим всю последующую работу.

Согласно концепции комплексного подхода, к решению всех вопросов нашего клиента, мы можем гарантировать и качественный охват всех поставленных задач.

Проведение аудита настоятельно рекомендуется в случаях смены руководства или структуры организации, а также для актуализации требований под действующее законодательство. Защищенная информационная система, это надежная опора любого предприятия. Свяжитесь с нами уже сегодня, и закажите профессиональный аудит ИБ прямо сейчас.

Комплексный аудит информационной безопасности

Когда нужен действительно компетентный аудит информационной безопасности (ИБ), выбирают «ЗЕОНИТ». Наши эксперты проведут полноценную аналитику, объективно оценят степень защищенности систем и дадут экспертное заключение о состоянии инфраструктуры Вашей организации

6 главных причин, почему выбирают нашу компанию

Независимая оценка

Привлечение внешних консультантов компании «ЗЕОНИТ» позволит получить объективную оценку информационной безопасности Вашего предприятия. С нами, Вы узнаете реальную картину состояния инфраструктуры, а также получите ценные рекомендации специалистов.

Экспертный консалтинг

Помимо выявления дыр в системе безопасности, наши эксперты предложат стратегию предотвращения появления новых проблем, а также проконсультируют по внедрению необходимых средств защиты.

Услуги в формате «под ключ»

Комплексный аудит от нашей компании подразумевает проведение пентестов, аналитики состояния информационных систем и онлайн безопасности. В итоге, Вы будете в курсе актуального состояния как внутренних, так и внешних ресурсов информационной безопасности.

Исключительно индивидуальный подход

Мы предлагаем решения, которые адаптированы под реалии и особенности Вашей организации. Состав и специализация наших работ обговариваются с клиентом индивидуально.

Реальные бюджеты

Наши цены на 10-12% ниже среднерыночной стоимости. При этом, в комплекс наших услуг входит оценка и грамотное планирование бюджета на оптимизацию информационной безопасности.

Предлагаем эффективные решения

Разработаем план мероприятий по усовершенствованию безопасности информационных систем, а также предложим эффективные решения по устранению обнаруженных недостатков.

Как проводится комплексный аудит

  • Изучение особенностей организации, исследование действующих методологий и решений информационной безопасности;
  • Аналитика существующей структуры, выявление наиболее значимых компонентов;
  • Оценка конфигурации используемых средств защиты и элементов инфраструктуры, определение соответствия информационной системы актуальным требованиям безопасности;
  • Проведение пентестов;
  • Независимая оценка рисков взлома или сбоя в системе информационной безопасности;
  • Подготовка подробной отчетности о текущем состоянии ИБ;
  • Составление рекомендаций по улучшению степени информационной безопасности, которые могут быть адаптированы под особенности Вашей организации.

Остались вопросы? Свяжитесь с нами прямо сейчас, и Вас СОВЕРШЕННО БЕСПЛАТНО проконсультирует ведущий эксперт компании «ЗЕОНИТ». Спешите, наши цены временно снижены.

Тестирование на проникновение в Москве

Одна из довольно популярных и востребованных услуг в области безопасности информации, которые предоставляет наша компания – так называемое тестирование на проникновение . Это довольно популярная во всём мире услуга, которая заключается в попытке обойти защитный комплекс мер вашей информационной системы с целью выявления ее слабых и уязвимых деталей. На протяжение всего времени тестирования , специалист ведет себя как злоумышленник, пытающийся совершить проникновение к данным клиента. Проще говоря, аудитор ведет санкционированную хакерскую атаку, проверяя тем самым уязвимость системы заказчика к подобным посягательствам извне.

Как правило, совершающий атаку специалист в большинстве случаев добивается своих результатов, проникая в тестируемую внутреннюю сеть компании заказчика. Как показывает практика, порядка 20% уязвимостей высокой степени можно выявить уже в процессе сбора информации о компании из официальных источников, в том числе и из социальных сетей персонала. То есть при отсутствии у большинства сотрудников информационной дисциплины, можно с высокой долей вероятности сказать, что ваша коммерческая тайна несет большие риски. Более сложный, комбинированный тест с применением инженерных средств, является еще более эффективным и дает порядка 70% положительных результатов на проникновение. После окончания проверки все риски и слабые места системы безопасности заносятся в подробный отчёт и демонстрируются заказчику, после чего следует этап исправления ошибок и внедрения инструкций по элементарным основам безопасности.

Аудит представляет собой независимую экспертизу отдельных областей функционирования организации. Различают внешний и внутренний аудит. Внешний аудит - это, как правило, разовое мероприятие, проводимое по инициативе руководства организации или акционеров. Рекомендуется проводить внешний аудит регулярно, а, например, для многих финансовых организаций и акционерных обществ это является обязательным требованием со стороны их учредителей и акционеров. Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании «Положения о внутреннем аудите» и в соответствии с планом, подготовка которого осуществляется подразделениями службы безопасноти и утверждается руководством организации.

Целями проведения аудита безопасности являются:

анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов;

Оценка текущего уровня защищенности ИС;

Локализация узких мест в системе защиты ИС;

Оценка соответствия ИС существующим стандартам в области информационной безопасности;

Аудит безопасности предприятия (фирмы, организации) должен рассматриваться как конфиденциальный инструмент управления, исключающий в целях конспирации возможность предоставления информации о результатах его деятельности сторонним лицам и организациям.

Для проведения аудита безопасности предприятия может быть рекомендована следующая последовательность действий.

1. Подготовка к проведению аудита безопасности:

выбор объекта аудита (фирма, отдельные здания и помещения, отдельные системы или их компоненты);

Составление команды аудиторов-экспертов;

Определение объема и масштаба аудита и установление конкретных сроков работы.

2. Проведение аудита:

общий анализ состояния безопасности объекта аудита;

Регистрация, сбор и проверка статистических данных и результатов инструментальных измерений опасностей и угроз;

Оценка результатов проверки;

Составление отчета о результатах проверки по отдельным составляющим.

3. Завершение аудита:

составление итогового отчета;

Разработка плана мероприятий по устранению узких мест и недостатков в обеспечении безопасности фирмы.

Для успешного проведения аудита безопасности необходимо:

Активное участие руководства фирмы в его проведении;

Объективность и независимость аудиторов (экспертов), их компетентность и высокая профессиональность;

Четко структурированная процедура проверки;

Активная реализация предложенных мер обеспечения и усиления безопасности.

Аудит безопасности, в свою очередь, является действенным инструментом оценки безопасности и управления рисками. Предотвращение угроз безопасности означает в том числе и защиту экономических, социальных и информационных интересов предприятия.

Отсюда можно сделать вывод, что аудит безопасности становится инструментом экономического менеджмента.

В зависимости от объема анализируемых объектов предприятия определяются масштабы аудита:

Аудит безопасности всего предприятия в комплексе;

Аудит безопасности отдельных зданий и помещений (выделенные помещения);

Аудит оборудования и технических средств конкретных типов и видов;

Аудит отдельных видов и направлений деятельности: экономической, экологической, информационной, финансовой и т. д.

Следует подчеркнуть, что аудит проводится не по инициативе аудитора, а по инициативе руководства предприятия, которое в данном вопросе является основной заинтересованной стороной. Поддержка руководства предприятия является необходимым условием для проведения аудита.

Аудит представляет собой комплекс мероприятий, в которых помимо самого аудитора, оказываются задействованными представители большинства структурных подразделений компании. Действия всех участников этого процесса должны быть скоординированы. Поэтому на этапе инициирования процедуры аудита должны быть решены следующие организационные вопросы:

Права и обязанности аудитора должны быть четко определены и документально закреплены в его должностных инструкциях, а также в положении о внутреннем (внешнем) аудите;

Аудитором должен быть подготовлен и согласован с руководством план проведения аудита;

В положении о внутреннем аудите должно быть закреплено, в частности, что сотрудники предприятия обязаны оказывать содействие аудитору и предоставлять всю необходимую для проведения аудита информацию.

На этапе инициирования процедуры аудита должны быть определены границы проведения обследования. Если какие-то информационные подсистемы предприятия не являются достаточно критичными, их можно исключить из границ проведения обследования.

Другие подсистемы могут оказаться недоступными для аудита из-за соображений конфиденциальности.

Границы проведения обследования определяются в следующих категориях:

1. Список обследуемых физических, программных и информационных ресурсов.

2. Площадки (помещения), попадающие в границы обследования.

3. Основные виды угроз безопасности, рассматриваемые при проведении аудита.

4. Организационные (законодательные, административные и процедурные), физические, программно-технические и прочие аспекты обеспечения безопасности, которые необходимо учесть в ходе проведения обследования, и их приоритеты (в каком объеме они должны быть учтены).

План и границы проведения аудита обсуждается на рабочем собрании, в котором участвуют аудиторы, руководство компании и руководители структурных подразделений.

Для понимания аудита ИБ как комплексной системы может быть использована его концептуальная модель, показанная на рис. 1.1. Здесь выделены главные составляющие процесса:

Объект аудита:

Цель аудита:

Рис. 1.1 .

предъявляемые требования;

Используемые методы;

Масштаб:

Исполнители;

Порядок проведения.

С точки зрения организации работ при проведении аудита ИБ выделяют три принципиальных этапа:

1. сбор информации;

Ниже более подробно рассмотрены эти этапы.



Рекомендуем другие статьи
Программирование микроконтроллеров AVR для начинающих Программирование контроллеров avr для начинающих
Программирование микроконтроллеров AVR для начинающих Программирование контроллеров avr для начинающих
Завис планшет - что делать?
Завис планшет - что делать?
Беспроводная USB камера купить беспроводную мини камеру компьютера Цифровая камера с usb выходом
Беспроводная USB камера купить беспроводную мини камеру компьютера Цифровая камера с usb выходом