Auditul securității informațiilor

Auditul securității informațiilor  este un proces sistematic de obținere a unor evaluări obiective calitative și cantitative ale stării actuale a securității informațiilor unui sistem automatizat în conformitate cu anumite criterii și indicatori de securitate.

Securitatea informației [1]  reprezintă starea de conservare a resurselor informaționale și de protecție a drepturilor legale ale individului și societății în sfera informațională .

Auditul vă permite să evaluați securitatea actuală a funcționării sistemului informațional , să evaluați și să anticipați riscurile, să gestionați impactul acestora asupra proceselor de afaceri ale companiei, să abordați corect și rezonabil problema asigurării securității activelor sale informaționale, dezvoltarea strategică. planuri, programe de marketing, situații financiare și contabile, conținutul datelor bazelor de date corporative. În cele din urmă, un audit de securitate a sistemului informațional bine realizat maximizează rentabilitatea investiției în construirea și întreținerea sistemului de securitate al unei firme.

Principalele activități în domeniul auditului securității informațiilor

Principalele direcții ale auditului de securitate a informațiilor sunt detaliate în următoarele: atestare; controlul securității informațiilor; studii speciale de mijloace tehnice și proiectare a obiectelor în desen protejat [2] .

1. Certificarea obiectelor de informatizare conform cerințelor de securitate a informațiilor:
   • certificarea sistemelor automate, a mijloacelor de comunicare, prelucrare și transmitere a informațiilor ;
   • certificarea spațiilor destinate desfășurării negocierilor confidențiale;
   • certificarea mijloacelor tehnice instalate în spațiile alocate.
2. Controlul securității informațiilor cu acces restricționat:
   • identificarea canalelor tehnice de scurgere de informații și a metodelor de acces neautorizat la acestea;
   • monitorizarea eficacității instrumentelor de protecție a informațiilor utilizate.
3. Studii speciale ale mijloacelor tehnice pentru prezența radiațiilor electromagnetice false și a capturilor (PEMIN):
   • calculatoare personale, mijloace de comunicare și prelucrare a informațiilor;
   • sisteme de calcul locale;
   • înregistrarea rezultatelor cercetării în conformitate cu cerințele FSB și FSTEC.
4. Proiectarea obiectelor într-un design sigur:
   • dezvoltarea conceptului de securitate a informațiilor;
   • proiectarea sistemelor automate, mijloacelor de comunicare, procesare și transmitere a informațiilor într-un design securizat;
   • proiectarea spațiilor destinate desfășurării negocierilor confidențiale.

Tipuri și scopuri ale auditului

Distingeți între auditul extern și cel intern.

Un audit extern este, de regulă, un eveniment unic, realizat la inițiativa conducerii organizației sau a acționarilor. Auditul extern este recomandat (și necesar pentru un număr de instituții financiare și societăți pe acțiuni) să fie efectuat cu regularitate.

Auditul intern este o activitate continuă care se desfășoară pe baza unui document, denumit de obicei „Regulamentul de audit intern”, și în conformitate cu un plan, a cărui pregătire este realizată de unitatea de audit intern și aprobat de către managementul organizatiei. Auditul de securitate al sistemelor informatice este una dintre componentele auditului IT.

Obiectivele auditului de securitate sunt: ​​— Obținerea de dovezi obiective, analizarea riscurilor asociate cu posibilitatea implementării amenințărilor de securitate la adresa resurselor IP; — evaluarea nivelului actual de securitate SI; — localizarea blocajelor în sistemul de protecție IP; - evaluarea conformității SI cu standardele existente în domeniul securității informațiilor; — elaborarea de recomandări pentru introducerea de noi mecanisme de securitate SI și îmbunătățirea eficienței existente.

Rapoartele privind incidentele SIS transmise Auditorului trebuie să conțină documentație privind așa-numitul. „puncte slabe” NIB.

Printre sarcinile suplimentare cu care se confruntă auditorul intern, pe lângă asistarea auditorilor externi, mai pot include: - elaborarea politicilor de securitate și a altor documente organizatorice și administrative pentru protecția informațiilor și participarea la implementarea acestora în activitatea organizației; - stabilirea sarcinilor personalului IT legate de asigurarea protectiei informatiilor; — participarea la instruirea utilizatorilor SI și a personalului de întreținere în probleme de securitate a informațiilor; — participarea la analiza incidentelor legate de încălcarea securității informațiilor; - alte sarcini.

Pași cheie într-un audit de securitate

Activitatea de audit de securitate IP include o serie de etape succesive, care corespund, în general, etapelor unui audit IT cuprinzător al unui sistem automatizat, care include:

• inițierea procedurii de audit;
• colectarea informațiilor de audit;
• analiza datelor de audit;
• formularea de recomandări;
• intocmirea unui raport de audit.

În etapa de inițiere a procedurii de audit , trebuie rezolvate următoarele probleme organizatorice:

1. drepturile și obligațiile auditorului trebuie să fie clar definite și documentate în fișele posturilor sale, precum și în regulamentul privind auditul intern (extern);
2. auditorul trebuie să pregătească și să convină cu conducerea unui plan de audit;
3. Regulamentul privind auditul intern ar trebui să prevadă, în special, că angajații companiei sunt obligați să asiste auditorul și să furnizeze toate informațiile necesare auditului.

În etapa de inițiere a procedurii de audit, trebuie stabilite limitele anchetei. Planul și limitele auditului sunt discutate în cadrul unei ședințe de lucru, la care participă auditori, conducerea companiei și șefii diviziilor structurale.

Etapa de colectare a informațiilor de audit este cea mai complexă și mai lungă. Acest lucru se datorează în principal lipsei documentației necesare pentru sistemul informațional și necesității unei interacțiuni strânse între auditor și mulți oficiali ai organizației.

Concluzii competente privind starea de fapt intr-o companie cu securitatea informatiei pot fi facute de auditor numai daca sunt disponibile toate datele initiale necesare analizei. Primul punct al anchetei de audit începe cu obținerea de informații despre structura organizatorică a utilizatorilor SI și a unităților de servicii. Scopul și principiile de funcționare ale SI determină în mare măsură riscurile și cerințele de securitate existente pentru sistem. În plus, auditorul are nevoie de informații mai detaliate despre structura PI. Acest lucru va face posibilă înțelegerea modului în care se realizează distribuția mecanismelor de securitate în funcție de elementele structurale și nivelurile de funcționare ale SI.

Metodele de analiză a datelor utilizate de auditori sunt determinate de abordările de audit alese, care pot varia semnificativ.

Prima abordare , cea mai complexă, se bazează pe analiza riscului. Pe baza metodelor de analiză a riscurilor, auditorul determină pentru IS examinat un set individual de cerințe de securitate care ia în considerare cel mai bine caracteristicile acestui SI, mediul său de operare și amenințările de securitate existente în acest mediu.

A doua abordare , cea mai practică, se bazează pe utilizarea standardelor de securitate a informațiilor. Standardele definesc un set de bază de cerințe de securitate pentru o clasă largă de IS, care se formează ca urmare a generalizării practicii mondiale. Standardele pot defini seturi diferite de cerințe de securitate, în funcție de nivelul de securitate IP care trebuie furnizat, de proprietatea acesteia (organizație comercială sau agenție guvernamentală) și scop (finanțe, industrie, comunicații etc.). Auditorul în acest caz este obligat să determine corect setul de cerințe ale standardului, a căror conformitate trebuie să fie asigurată.

A treia abordare , cea mai eficientă, implică o combinație a primelor două. Setul de bază de cerințe de securitate pentru IS este definit de standard. Pe baza analizei de risc se formează cerințe suplimentare care iau în considerare particularitățile funcționării acestui SI în măsura maximă.

Recomandările emise de auditor pe baza rezultatelor analizei stării PI sunt determinate de abordarea utilizată, caracteristicile PI examinate, starea de fapt a securității informațiilor și nivelul de detaliu utilizat în audit. În orice caz, recomandările auditorului trebuie să fie specifice și aplicabile acestui SI, justificate economic, motivate (susținute de rezultatele analizei) și sortate după importanță. În același timp, măsurile de asigurare a protecției nivelului organizațional au aproape întotdeauna prioritate față de metodele specifice de protecție software și hardware. În același timp, este naiv să așteptăm de la auditor, ca urmare a auditului, emiterea unui proiect tehnic al subsistemului de securitate a informațiilor, sau recomandări detaliate privind implementarea unor instrumente specifice de protecție a informațiilor software și hardware. Acest lucru necesită un studiu mai detaliat al problemelor specifice de organizare a protecției, deși auditorii interni pot participa activ la aceste lucrări.

Raportul de audit este principalul rezultat al auditului. Calitatea acestuia caracterizează calitatea muncii auditorului. Ar trebui să conțină cel puțin o descriere a obiectivelor auditului, o descriere a SI care este examinat, o indicație a limitelor auditului și a metodelor utilizate, rezultatele analizei datelor de audit, concluzii care rezumă aceste rezultate și care conțin o evaluare a nivelului de securitate al UA sau a conformității acestuia cu cerințele standardelor și, desigur, recomandări ale auditorului pentru eliminarea deficiențelor existente și îmbunătățirea sistemului de protecție.

Note

1. ↑ Securitate: teorie, paradigmă, concept, cultură. Dicționar-referință  (link inaccesibil)  (link inaccesibil din 14-06-2016 [2329 zile]) / Autor-comp. Profesorul V. F. Pilipenko. Ed. a II-a, adaugă. și refăcut. — M.: PER SE-Press, 2005.
2. ↑ Yarochkin V.I. Information security: A textbook for students - M .: Academic Project; Gaudeamus, ed. a II-a, - 2004. - 544 p.

Literatură

• Barmanul Scott . Elaborarea regulilor de securitate a informațiilor. M.: Williams, 2002. - 208 p. — ISBN 5-8459-0323-8 , ISBN 1-57870-264-X .
• Semenenko V. A. Securitatea informațiilor: manual. — M.: MGIU, 2004—215 p. — ISBN 5-8459-0323-8 , ISBN 1-57870-264-X .

Link -uri

• Legea federală a Federației Ruse din 27 iulie 2006 N 149-FZ privind informațiile, tehnologiile informaționale și protecția informațiilor
• Standardul Băncii Rusiei: „Asigurarea securității informațiilor organizațiilor din sistemul bancar al Federației Ruse. Auditul securității informațiilor al STO BR IBBS-1.1-2007"