Аудит информационной безопасности на уровне предприятия: что это для информационных систем, менеджмент, как провести и какой будет результат проведения, отчет и методика

Многие бизнесмены пытаются сохранить секрет своей фирмы в тайне. Так как на дворе век высоких технологий, сделать это достаточно сложно.

Практически все пытаются обезопасить себя от утечки корпоративной и личной информации, однако не секрет, что профессионалу не составит труда узнать необходимые данные. На данный момент существует достаточно много методов, ограждающих от подобных атак.

Но чтобы проверить эффективность работы подобной охранной системы, необходимо проведение аудита информационной безопасности.

Что такое аудит?

Согласно ФЗ «Об аудиторской деятельности», аудит включает в себя различные методы и способы, а также практическое выполнение проверок.

В отношении информационной безопасности предприятия он представляет собой независимую оценку состояния системы, а также уровень её соответствия установленным требованиям.

Экспертизы проводятся относительно бухгалтерской и налоговой отчетности, экономического обеспечения и финансово-хозяйственной деятельности.

Для чего нужна такая проверка?

Некоторые считают такую деятельность пустой тратой средств. Однако, своевременно определив проблемы в этом секторе, можно предупредить еще большие экономические потери. Цели аудита информационной безопасности заключаются в следующем:

• определение уровня защиты и доведение его до необходимого;
• урегулирование финансового вопроса в плане обеспечения конфиденциальности организации;
• демонстрация целесообразности вложений в данный сектор;
• получение максимальной выгоды от затрат на безопасность;
• подтверждение эффективности внутренних сил, средств контроля и их отражение на ведении предпринимательской деятельности.

Как производится проверка информационной безопасности на предприятии?

Комплексный аудит информационной безопасности проходит в несколько этапов. Процесс делится на организационный и инструментарный.

В рамках обеих частей комплекса происходит исследование защищенности корпоративной информационной системы заказчика, а затем – определение соответствия установленным нормам и требованиям.

Проведение аудита информационной безопасности разделяется на следующие стадии:

1. Определение требований заказчика и выполняемого объема работ.
2. Изучение необходимых материалов и вынесение выводов.
3. Анализ возможных рисков.
4. Экспертное заключение по проделанной работе и вынесение соответствующего вердикта.

Что входит в первый этап аудита информационной безопасности?

Программа аудита информационной безопасности начинается именно с уточнения объема работ, которые требуются заказчику. Клиент выражает свое мнение и цель, преследуя которую он и обратился для проведения экспертной оценки.

На данной стадии уже начинается проверка общих данных, которые предоставляет заказчик. Ему описывают методы, которые будут использованы, и планирующийся комплекс мероприятий.

Главной задачей на данном этапе является постановка конкретной цели. Клиент и организация, проводящая аудит, должны понимать друг друга, сойтись в едином мнении. После формируется комиссия, в состав которой подбираются соответствующие специалисты. С заказчиком отдельно согласовывается также требуемое техническое задание.

Казалось бы, данное мероприятие должно лишь в общих чертах обрисовать состояние системы, защищающей от информационных атак. Но конечные результаты проверки могут быть разными.

Одних интересует полная информация о работе защитных средств фирмы заказчика, а других – лишь эффективность работы отдельных информационно-технологических линий. Именно от требований и зависит выбор методов и средств проведения оценки.

Постановка цели влияет и на дальнейший ход работы экспертной комиссии.

Кстати, рабочая группа состоит из специалистов двух организаций – фирмы, исполняющей аудит, и сотрудников проверяемой организации.

Ведь именно последние, как никто другой, знают тонкости своего учреждения и могут предоставить всю необходимую для комплексной оценки информацию.

Также они проводят своеобразный контроль работы сотрудников фирмы-исполнителя. Их мнение учитывается и при вынесении результатов проверки.

Эксперты фирмы, проводящей аудит информационной безопасности предприятия, занимаются исследованием предметных областей.

Они, имея соответствующий квалификационный уровень, а также независимое и непредвзятое мнение, способны с большей точностью оценить состояние работы защитных средств.

Эксперты ведут свою деятельность согласно намеченному плану работ и поставленным задачам. Они разрабатывают технические процессы и согласуют между собой полученные результаты.

Техническое задание четко фиксирует цели работы компании-аудитора, определяет методы его осуществления. В нем прописаны также сроки проведения проверки, возможно даже, что каждый этап будет иметь свой период.

На этой стадии происходит налаживание контакта и со службой безопасности проверяемого учреждения. Фирма-аудитор дает обязательство о неразглашении полученных результатов проверки.

Как происходит реализация второго этапа?

Аудит информационной безопасности предприятия на второй стадии представляет собой развернутый сбор необходимой для оценки информации. Для начала рассматривается общий комплекс мер, которые направлены на реализацию политики конфиденциальности.

Так как сейчас большая часть данных дублируется в электронном варианте или вообще свою деятельность фирма осуществляет лишь при помощи информационных технологий, то под проверку попадают и программные средства. Анализируется и обеспечение физической безопасности.

На этом этапе специалисты занимаются тем, что рассматривают и оценивают то, как происходит обеспечение и аудит информационной безопасности внутри учреждения.

Последнему пункту уделяется особое внимание, так как мошенники чаще всего находят пробоины в защите именно через техническую часть. По этой причине отдельно рассматриваются следующие моменты:

• структура программного обеспечения;
• конфигурация серверов и сетевых устройств;
• механизмы обеспечения конфиденциальности.

Аудит информационной безопасности предприятия на этом этапе завершается подведением итогов и выражением результатов о проделанной работе в форме отчета. Именно документально оформленные выводы ложатся в основу реализации следующих стадий аудита.

Как анализируются возможные риски?

Аудит информационной безопасности организаций проводится также с целью выявления реальных угроз и их последствий. По окончании этого этапа должен сформироваться перечень мероприятий, которые позволят избежать или хотя бы минимизировать возможность информационных атак.

Чтобы предотвратить нарушения, касающиеся конфиденциальности, необходимо проанализировать отчет, полученный в конце предыдущего этапа. Благодаря этому можно определить, возможно ли реальное вторжение в пространство фирмы. Выносится вердикт о надежности и работоспособности действующих технических защитных средств.

Так как все организации имеют различные направления работы, то и перечень требований к безопасности не может быть идентичен. Для проверяемого учреждения разрабатывается список в индивидуальном порядке.

На этом этапе также определяются слабые места, клиенту предоставляются данные о потенциальных злоумышленниках и нависающих угрозах. Последнее необходимо для того, чтобы знать, с какой стороны ждать подвоха, и уделить этому больше внимания.

Заказчику также важно знать, насколько действенными окажутся нововведения и результаты работы экспертной комиссии.

Анализ возможных рисков преследует следующие цели:

• классификация источников информации;
• определение уязвимых моментов рабочего процесса;
• составление прототипа возможного мошенника.

Анализ и аудит позволяют определить, насколько возможна успешность информационных атак. Для этого оценивается критичность слабых мест и способы пользования ими в незаконных целях.

В чем заключается последний этап аудита?

Завершающая стадия характеризуется письменным оформлением результатов работы. Документ, который получается на выходе, называется аудиторским отчетом. Он закрепляет вывод об общем уровне защищенности проверяемой фирмы.

Отдельно идет описание эффективности работы информационно-технологической системы в отношении безопасности. Отчет дает указания и о потенциальных угрозах, описывает модель возможного злоумышленника.

Также в нем прописываются возможности несанкционированного вторжения за счет внутренних и внешних факторов.

Стандарты аудита информационной безопасности предусматривают не только оценку состояния, но и дачу рекомендаций экспертной комиссии на проведение необходимых мероприятий.

Именно специалисты, которые провели комплексную работу, проанализировали информационную инфраструктуру, могут сказать, что необходимо делать для того, чтобы защититься от кражи информации. Они укажут на те места, которые нужно усилить.

Эксперты дают указания и в отношении технологического обеспечения, то есть оборудования, серверов и межсетевых экранов.

Рекомендации представляют собой те изменения, которые необходимо произвести в конфигурации сетевых устройств и серверов. Возможно, указания будут касаться непосредственно выбранных методов обеспечения безопасности. Если это потребуется, то эксперты пропишут комплекс мер, направленных на дополнительное усиление механизмов, обеспечивающих защиту.

В компании также должна быть проведена специальная разъяснительная работа, выработана политика, направленная на конфиденциальность. Возможно, должны быть проведены реформы в отношении службы безопасности.

Немаловажным моментом является и нормативно-техническая база, которая обязана закреплять положения о безопасности фирмы. Коллектив необходимо проинструктировать должным образом. Между всеми работниками делятся сферы влияния и возлагаемая ответственность.

Если это целесообразно, то лучше провести курс для повышения образованности коллектива в отношении информационной безопасности.

Какие существуют виды аудита?

Аудит информационной безопасности предприятия может иметь два вида. В зависимости от источника осуществления данного процесса можно выделить следующие типы:

1. Внешняя форма. Она отличается тем, что имеет одноразовый характер. Второй её особенностью является то, что производится она посредством независимых и непредвзятых экспертов. Если она носит рекомендательный характер, то производится по заказу владельца учреждения. В некоторых случаях проведение внешнего аудита обязательно. Это может быть обусловлено типом организации, а также чрезвычайными обстоятельствами. В последнем случае инициаторами подобной проверки, как правило, становятся правоохранительные органы.
2. Внутренняя форма. Она основывается на специализированном положении, которое прописывает ведение аудита. Внутренний аудит информационной безопасности необходим для того, чтобы постоянно проводить мониторинг системы и выявлять уязвимые места. Он представляет собой перечень мероприятий, которые проводятся в установленный период времени. Для этой работы чаще всего учрежден специальный отдел или уполномоченный сотрудник. Он проводит диагностику состояния защитных средств.

Как проводится активный аудит?

В зависимости от того, какую цель преследует заказчик, избираются и методы аудита информационной безопасности. Одним из самых распространенных способов исследования уровня защищенности является активный аудит. Он представляет собой постановку реальной хакерской атаки.

Плюсом такого метода является то, что он позволяет максимально реалистично смоделировать возможность угрозы. Благодаря активному аудиту можно понять, как будет развиваться аналогичная ситуация в жизни. Такой способ еще именуют инструментальным анализом защищенности.

Суть активного аудита заключается в осуществлении (с помощью специального программного обеспечения) попытки несанкционированного вторжения в информационную систему.

При этом защитные средства должны находиться в состоянии полной готовности. Благодаря этому возможно оценить их работу в подобном случае. Человеку, который осуществляет искусственную хакерскую атаку, предоставляется минимум информации.

Это необходимо для того, чтобы воссоздать максимально реалистичные условия.

Систему пытаются подвергнуть как можно большему количеству атак. Применяя разные методы, можно оценить те способы взлома, которым система наиболее подвержена. Это, конечно, зависит от квалификации специалиста, проводящего данную работу. Но его действия не должны носить какого-либо деструктивного характера.

В конечном итоге эксперт формирует отчет о слабых местах системы и сведениях, которые являются наиболее доступными. Он также предоставляет рекомендации по возможной модернизации, которая должна гарантировать повышение защищенности до должного уровня.

В чем заключается экспертный аудит?

Чтобы определить соответствие фирмы установленным требованиям, также проводится аудит информационной безопасности. Пример такой задачи можно увидеть в экспертном методе. Он заключается в сравнительной оценке с исходными данными.

Та самая идеальная работа средств защиты может основываться на различных источниках. Предъявлять требования и ставить задачи может и сам клиент. Руководитель фирмы, возможно, желает знать, насколько далеко находится уровень безопасности его организации от желаемого.

Прототипом, относительно которого будет проведена сравнительная оценка, могут быть и общепризнанные мировые стандарты.

Согласно ФЗ «Об аудиторской деятельности», у фирмы-исполнителя достаточно полномочий для того, чтобы произвести сбор соответствующей информации и сделать вывод о достаточности существующих мер по обеспечении информационной безопасности. Оценивается также непротиворечивость нормативных документов и действий сотрудников в отношении работы средств защиты.

В чем заключается проверка на соответствие стандартам?

Данный вид очень схож с предыдущим, так как его сутью также является сравнительная оценка.

Но только в этом случае идеальным прототипом является не абстрактное понятие, а четкие требования, закрепленные в нормативно-технической документации и стандартах.

Однако тут также определяется степень соответствия уровню, заданному политикой конфиденциальности компании. Без соответствия этому моменту нельзя говорить о дальнейшей работе.

Чаще всего подобный вид аудита необходим для сертификации действующей на предприятии системы по обеспечению безопасности. Для этого необходимо мнение независимого эксперта. Тут важен не только уровень защиты, но и его удовлетворенность признанными стандартами качества.

Таким образом, можно сделать вывод, что для проведения подобного рода процедуры нужно определиться с исполнителем, а также выделить круг целей и задач исходя из собственных потребностей и возможностей.

Источник: https://BusinessMan.ru/audit-informatsionnoy-bezopasnosti-predpriyatiya-ponyatie-standartyi-primer.html

Менеджмент и аудит информационной безопасности на уровне предприятия

Для эффективного функционирования любой фирмы или предприятия необходима качественная защита информации. Недостаточно просто организовать и настроить систему безопасности, нужно постоянно мониторить качество её работы, проводя внутренние и внешние аудиты для проверки защищённости данных.

Экспертиза о степени защиты данных осуществляется в нескольких направлениях:

1. Оценка всех информационных ресурсов, средств и систем информатизации. Они обязаны отвечать государственным, а также международным стандартам ISO 17799 (BS 7799), BSI и COBIT.
2. Анализ состояния технической защиты информации, к которой необходим специальный доступ, проверка возможности несанкционированного доступа к ней.
3. Аттестация эффективности и актуальности средств защиты данных и электронных документов.
4. Проверка переносчиков информации на наличие побочных электромагнитных наводок и излучений (ПЭМИН), которые способствуют неконтролируемому выходу конфиденциальной информации за пределы контролируемой зоны.
5. Создание комплексной защиты данных и специальных телекоммуникационных систем с применением технических средств.
6. Разработка рекомендаций по обеспечению сохранности секретной информации с детализацией, а также построением стратегических и тактических планов защиты компании от несанкционированного доступа.

Необходимость проведения

Аудит безопасности информации необходим для объективной оценки защищённости данных фирмы, а также для определения соответствия поставленных целей и задач бизнеса к существующим на конкретную дату. Это позволяет сделать профессиональную оценку действенности и надёжности средств, используемых для сохранения ценной информации.

• Результаты качественно выполненного аудита дают возможность не только проверить, но и усовершенствовать корпоративную систему защиты, настроив её таким образом, чтобы она полностью соответствовала текущим задачам и целям бизнеса, обеспечивала бесперебойное функционирование серверов, что предотвращает материальные потери от утечки или потери конфиденциальных данных.
• Она необходима, чтобы получить объективную оценку о защите критически важной информации компании, а также для проверки наличия угроз для «физической» безопасности фирмы.
• Необходимость проведения аудита возникает в следующих случаях:

1. Для обоснования инвестиций.
2. Перед и/или после внедрения новой системы защиты, для оценки её эффективности.
3. Для систематизации и упорядочивания существующих мер защиты информации.
4. Для приведения системы защиты данных в соответствии с установленными требованиями международных стандартов и российского законодательства.

Классификация аудита

Аудит информационной безопасности может быть:

Читайте так же:   Аудит кассовых операций в 2018 году

1. Активным – инструментальным (тест на проникновение). Он заключается в сборе информации о состоянии сетевой защиты и проводится с помощью специального программного обеспечения. Этот метод обычно используется с другими видами анализа, так как его результаты не способны отобразить общую картину.
2. Экспертным – сравнительным (инструментальным). Выполнение этого аудита базируется на создании «идеальной» системы безопасности в соответствии с требованиями руководства компании. После получения результатов аудитором осуществляется экспертный анализ конфигурационных файлов и проводится анализ средств защиты информации, сетевой инфраструктуры, общесистемного и прикладного программного обеспечения.
3. На степень соответствия международным стандартам — в перечень анализируемых аспектов, при использовании этого метода, входит проверка политики и организационных мер безопасности, учёт и разделение на категории информационных ресурсов, документальная проверка и инструментальный контроль в соответствии со стандартом ISO
4. На наличие конфиденциальной информации – он проводится использованием инструментов конкурентной разведки, по заданным параметрам заказчика.

Также проверка может быть внутренней и внешней. Внешняя проводится по мере необходимости приглашёнными специалистами по инициативе руководства фирмы. Внутренняя — регулярно, в соответствии с планом, что закреплено в «Положении о внутреннем аудите».

Цели и задачи

Цели данного вида аудита – оценка общего уровня безопасности, выявление рисков и слабых мест в системе защиты, а также её соответствие действующим стандартам в сфере безопасности информации.

Задачи аудита – проанализировать эффективность используемых политик защиты данных и выработка рекомендаций по внедрению новых механизмов, направленных на совершенствование технологических процессов.

Методика и средства проведения

Экспертиза информационной безопасности состоит из определённых этапов:

1. Инициирование процедуры.
2. Сбор информации.
3. Анализ данных.
4. Выработка рекомендаций.
5. Подготовка аудиторского отчёта.

На первом этапе – инициировании — четко определяются права и обязанности аудитора, составляется план проведения работ, что утверждается заказчиком (инициатором) экспертизы.

Все сотрудники должны содействовать работе аудитора и предоставлять ему любую запрашиваемую информацию.

Это позволит ему уже на начальных этапах проверки проанализировать распределение механизмов защиты данных между структурными элементами уровнями.

Для комплексного исследования всех возможных факторов, влияющих на работу фирмы, проводится тщательное сканирование документации, предоставленной заказчиком. Только проведение всех процедур в комплексе приносит реальную отдачу и способствует повышению уровня безопасности данных.

Результат проверки – это заключение о степени соответствия организации требованиям отраслевых стандартов, нормативно-правовым документам предприятия, а также действующему законодательству. Он является основой для проведения последующих мероприятий по повышению уровня защищённости.

Читайте так же:   Порядок проведения проверки прокуратуры

Итог аудирования объекта – это разработка отчёта, в который входит:

• вводная часть с описанием границ, методов и средств проведения аудита;
• результаты проведённой проверки в зависимости от целей;
• рекомендации по модернизации ИТ-инфраструктуры и совершенствованию системы в комплексе.

В итоге проведения экспертизы заказчик получает независимую оценку о состоянии защищённости данных своей компании, а также степень её устойчивости к современным информационным угрозам.

Рекомендации по устранению проблем

Логическим завершением проверки является предоставление рекомендаций по совершенствованию комплексной системы обеспечения информационной безопасности и плана мероприятий по их реализации. Их объём и количество зависят от глубины и степени детализации проверки. Они должны соответствовать следующим требованиям и быть:

• конкретными;
• применимыми;
• экономически обоснованными;
• аргументированными;
• подкреплёнными результатами;
• отсортированными по степени важности.

Регулярный аудит безопасности информации необходим для получения независимой и объективной оценки текущего уровня защищённости данных. Это будет залогом эффективного функционирования фирмы, который позволяет выстроить качественное взаимодействие всех её подразделений, без риска утечки или хищения информационных ресурсов компании.

Лекция об аудите информационной безопасности представлена ниже.

Рекомендуем другие статьи по теме

Источник: https://ZnayBiz.ru/buh/kontrol/audit/informacionnaya-bezopasnost.html

Аудит ИБ в крупных компаниях: инструкция по применению

Чтобы понять, что собой представляет комплексный аудит информационной безопасности, стоит взглянуть на вопрос с практической точки зрения: что нужно учесть, чтобы проектная команда хорошо сделала свою работу, не сорвала при этом сроки и попала в ожидания заказчика. Статья от эксперта компании «Инфосистемы Джет» будет полезна тем, кто проводит внешний ИБ- или ИТ-аудит, а также менеджерам внутренних ИТ- и ИБ-проектов.

Введение

Под комплексным аудитом будем понимать следующие работы, проводимые в рамках одного проекта:

• тестирование на проникновение;
• аудит процессов ИБ;
• обследование ключевых бизнес-систем и бизнес-процессов;
• анализ конфигураций элементов ИТ-инфраструктуры;
• обследование процессов обработки ПДн и режима КТ;
• разработка рекомендаций для повышения уровня зрелости процессов ИБ.

• Наверняка все помнят детские задачки из серии «из пункта А в пункт Б вышел пешеход, двигающийся со скоростью 5 км/ч, а также выехал велосипедист со скоростью 15 км/ч…»
• Рисунок 1. Визуализированная детская задачка
• 
• Добавим немного переменных, присущих проекту по комплексному аудиту ИБ в крупной компании (для примера приведены числовые показатели аудита, проведенного в 2018 году):

• обследование головного офиса и 7 дочерних организаций;
• анализ 60 информационных систем, 50 средств защиты и 8 комплексных АСУ ТП;
• разработка дорожной карты мероприятий ИБ;
• 2,5 месяца и более 25 работников на проекте.

В результате получаем неформализованную задачу, которая выглядит примерно так:

Пять проектных команд выехали из пункта А в пункт Д с разной скоростью. Что нужно сделать, чтобы в соответствии с планом-графиком все команды пришли в точку Д, куда они договорились прибыть одновременно, при этом заехав по пути в филиалы Б, В и Г, сохранив нервы менеджера проекта и главного конструктора и тратя на сон более 5 часов в день.

В своей работе мы по многим направлениям используем заранее подготовленные «напоминалки», так называемые чек-листы — они помогают во многом структурировать и упорядочить проектную деятельность. Это отличный инструмент для напоминаний, позволяющий не забыть базовые вещи.

Любой проект глобально можно разделить на три основных блока:

• подготовка к проведению аудита;
• сбор свидетельств аудита и анализ полученных данных;
• разработка рекомендаций и презентация результатов.

Подготовка к проведению аудита

Пожалуй, самый ответственный этап, от результата которого во многом зависит успех всего проекта. Мероприятия этого этапа направлены на формирование четкой координации внутри проектной команды, согласование с заказчиком подходов, методов и сроков проведения каждого этапа аудита.

Составьте профиль заказчика. Заранее проанализируйте информацию в СМИ о возможных произошедших инцидентах ИБ, утечках информации, о реализованных ИТ- и ИБ-проектах, о расширении бизнеса либо приобретении новых активов, ИТ- и ИБ-закупках.

Подготовьте типовые риски, характерные для сферы деятельности компании. Данная информация поможет определить ключевые точки, на которые стоит обратить особое внимание при проведении работ (например, compliance или безопасность сегмента АСУ ТП).

 

Помогите заказчику подготовить бизнес к проведению работ. Зачастую внутренний менеджер со стороны заказчика упускает этот этап, и при согласовании встреч мы можем получить негатив — работники не понимают необходимость проведения работ, и в рамках какого проекта такие интервью запланированы. Подготовьте небольшую памятку о проводимых работах для вовлеченных в проект специалистов.

Правило хорошего тона — план проведения интервью. Проработайте документ с заказчиком совместно. Хорошая практика — заранее запросить оргштатную структуру и на основании нее подготовить план-график «в первом приближении».

Чтобы представитель со стороны заказчика не гадал, контакты какого специалиста поставить под общей темой «повышение осведомленности» — HR, отдел обучения или отдел информационной безопасности — лучше добавить некоторую избыточность, то есть детально расписать предполагаемые темы общения в плане.

Договоритесь о применимых способах сбора информации. Использование камеры смартфона значительно ускоряет проектную работу (вместо того, чтобы сначала запрашивать скриншоты, а после ждать их предоставления), однако для некоторых компаний такой способ сбора неприемлем. 

Заранее договоритесь, как будут документироваться отдельные активности в рамках проекта.

Например, необходимо ли вынесение результатов тестирования на проникновение в отдельный отчет? Может быть, анализ защищенности обрабатываемых персональных данных целесообразнее предоставить в виде отдельной аналитической записки?

Проведите нормоконтроль согласованных план-проспектов отчета. Зачастую в крупных компаниях существует свой формат предоставления отчетной документации, свой набор стилей для документов и их оформления.

Работа проектной команды в уже отформатированных отчетах поможет сохранить огромное количество времени группе нормоконтроля — гораздо проще править ошибки в заполненном шаблоне, чем с нуля форматировать 1000-страничный отчет.

Создайте отдельную проектную область с иерархией папок. Четкое понимание, где должны храниться полученные документы от заказчика, куда необходимо выкладывать драфты документов на согласование, в какой области хранятся финальные документы на конкретную дату, поможет в дальнейшем не запутаться и не получить ситуацию, когда разные специалисты работали в разных документах.

Определите способ формирования проектных команд и выделите руководителей в каждой из них.

В рамках проведения работ мы используем два сценария: когда проектные команды формируются в зависимости от выполняемых функций (например, группа сетевой безопасности, группа compliance, группа, занимающаяся обследованием ИС, и пр.) или когда в каждой команде присутствует профильный специалист каждого направления.

Согласуйте формат нахождения аудиторов на площадке. Проведение аудита, как правило, занимает от 2 недель и более. Большую часть этого времени аудиторы обычно находятся на площадке заказчика. Распространенная практика — бронирование отдельной переговорной комнаты для всей проектной команды на время аудита или организация отдельных рабочих мест.

Выделите отдельную роль — внутренний администратор проекта. Выделение такой роли обоснованно, когда заказчик имеет большую филиальную сеть и в область аудита входит несколько площадок. Функции такого специалиста:

• отслеживание сроков предоставления свидетельств/документации;
• сбор с руководителей команд информации, которую необходимо запросить;
• вычитка отчетной документации;
• работа с проектной областью — выкладывание материалов, наведение порядка;
• работа с со службой нормоконтроля и пр.

Соберите заранее всю информацию в одном месте. Вся информация, которая необходима для старта проекта и согласования проведения каких-либо работ (удаленного доступа, тестирования на проникновение и пр.), должна храниться в одном доступном месте.

Примерами могут быть паспортные данные проектной команды, шаблон Letter of Authorization (LOA), запрос e-mail-адресов, исключаемых при проведении фишинга, требования к организации рабочего места пентестера, серийные номера ноутбуков для оформления пропуска и пр.

Сбор свидетельств аудита

Как говорит один наш коллега, «консультант должен жить у заказчика, должен жить его проблемами». С точки зрения работы с большим количеством людей и объемом собираемой информации, сбор свидетельств аудита — это самый длительный и сложный этап, в рамках которого участники проекта буквально живут на площадке и общаются с профильными специалистами.

Распечатайте несколько экземпляров NDA, подписанных с заказчиком, и возьмите их с собой. Зачастую представители заказчика отказываются общаться, не будучи уверенными в том, что все формальности соблюдены.

Не аудит, а обследование. Позиционируйте проведение работ как обследование процессов обеспечения ИБ, слово «аудит» зачастую заставляет нервничать интервьюируемых работников.

Записывайте сразу в ноутбук. В бумажных записях больше минусов, чем плюсов (затруднен поиск информации, нет под рукой уже полученной ранее информации и пр.), к тому же, записанное на бумаге все равно придется позже оцифровывать.

Не используйте диктофон при сборе информации. На оцифровку материала придется потратить уйму времени, а интервьюируемые при виде диктофона зачастую чувствуют себя неуютно.

Используйте принцип одного окна при запросе информации. Мы используем схему, когда руководитель каждой команды в конце рабочего дня формирует для администратора проекта перечень запрашиваемой информации. Администратор обобщает эти данные в единый файл и ведет его совместно с заказчиком — отслеживает сроки получения информации, в случае необходимости эскалирует на руководство.

Выделяйте час рабочего дня ежедневно на формирование кратких отчетов о проведенных встречах и их согласование. Такой документ содержит в себе ключевые тезисы проведенного интервью, минимизирует риск того, что часть информации была упущена или неправильно интерпретирована.

‎Валидируйте собираемую информацию частями. Мы рекомендуем заранее, еще до предоставления отчетной документации, согласовывать с заказчиком отдельные разделы отчета — например, описание процессов ИБ или лист оценки защищенности ИС. Чем раньше промежуточные результаты будут согласованы, тем меньше вероятность, что полученный результат не попадет в ожидания заказчика.

Договоритесь о периодических перерывах для оформления полученной информации. Мы стараемся использовать следующую схему: 2-3 дня интервью — 1 день паузы. Данное время позволит структурировать полученную информацию, выделить пробелы при сборе информации.

Проводите еженедельные статусные встречи с участием руководителей команд и представителями заказчика.

Разработка рекомендаций и презентация результатов проекта

Аналитический этап, в рамках которого разрозненные данные структурируются, обрабатываются и оцениваются. Проектной командой осуществляется разработка рекомендаций и визуализация полученных результатов и итогов проекта.

Подготовьте к отчетным документам отдельную справку для руководства. Включите в документ краткую информацию о проведенном аудите, ключевых недостатках и точках роста.

Согласуйте формат проведения нормоконтроля отчетной документации. Вычитка (нормоконтроль) сотен страниц занимает большое количество времени.

Чтобы этот процесс не затягивал общий ход работ, мы используем следующий подход (заранее согласованный с заказчиком): верстка и устранение «подчеркнутого красным» первого драфта отчета и последующая полная вычитка с корректировкой синтаксиса финального согласованного отчета.

Проведите внутреннюю презентацию результатов проекта. Презентуйте результаты работ проектной команде — это позволит лучше подготовиться к ответам на возможные вопросы бизнеса.

Храните все материалы, собранные в рамках работ, в одном месте. Зачастую заказчики просят нас структурировать запрошенные в рамках аудита свидетельства (например, по процессам ИБ/технологиям/др.) и предоставить их вместе с результатами работ для внутреннего хранения.

Выводы

Описанные в данной статье советы не являются исчерпывающими. Здесь мы, скорее, поделились показательными примерами тех практик, которые используем при проведении аудита.

Каждый новый проект уникален, с каждым новым заказчиком мы учимся чему-то новому и расширяем наши «чек-листы», чтобы «пешеход и велосипедист, выехавшие из точки А в точку Б, догнали друг друга и доехали до конца маршрута одновременно».

Источник: https://www.anti-malware.ru/practice/solutions/information-security-audit-in-large-companies

Как провести аудит информационной безопасности — Finance-EXP.ru

Может вызываться цепная реакция, в результате чего уменьшается доходность компаний и теряется их репутация. Именно поэтому стоит уделять особое внимание аудиту ИБ.

Что нужно знать ↑

Проведение аудита ИБ – важная процедура, при которой преследуются определенные цели и выполняется ряд задач.

Необходимые термины

Аудитом информационной безопасности называют системную процедуру, при которой получают объективные качественные и количественные оценки о текущем положении информационной безопасности предприятия.

При этом придерживаются определенных критериев и показателей безопасности. Под информационной безопасностью понимают сохранность информационных ресурсов и защиту законного права личности и общества в информационной отрасли.

Зачем это нужно?

С помощью аудита можно дать оценку текущей безопасности работы информационной системы, оценку и прогнозирования рисков, управлять их воздействием на бизнес-процесс.

При грамотном проведении проверки возможна максимальная отдача от средств, что инвестируются в создание и обслуживание системы безопасности компании.

Цель осуществления аудиторской процедуры:

• анализ риска;
• оценивание текущих уровней защищенности информационной системы;
• локализация узкого места в защитной системе;
• дать рекомендации, как внедрить и повысить эффективность механизма безопасности информационной системы.

Задача:

• разработать политику безопасности по защите данных;
• установить задачи для ИТ-сотрудников;
• разбирать инциденты, что связаны с нарушениями информационной безопасности.

Правовое регулирование

Главные законодательные положения:

1. ФЗ от 27 июля 2006 № 152.
2. Постановление властей России от 1 ноября 2012 № 1119.
3. Приказ от 18 февраля 2013 № 21.
4. Методическая документация.

Аудит информационной безопасности предприятия ↑

Основное направление проверки информационной безопасности:

Аттестация	аттестуются автоматизированные системы, средства связи, обработки и передачи данных; аттестуются помещения, что используются при ведении переговоров; аттестуются технические средства, что устанавливаются в выделенном помещении
Контроль защищенных данных	выявляются технические каналы утечки данных; контролируется эффективность используемых средств защищенности данных
Специальное исследование средств технического характера	исследуется ЭВМ, средство связи и обработки данных; локальная вычислительная система; оформляются результаты исследования согласно нормам Гостехкомиссии
Проектируются объекты в защищенных исполнениях	разрабатывается концепция безопасности информации; проектируются автоматизированные системы, обработки данных в защищенных исполнениях; проектируются помещения, что необходимы для осуществления переговоров

Применяемые методики

Возможно использование методики:

Экспертного аудита, при котором оценивают степень защиты того компонента информационной системы	Состоит из нескольких стадий: проведение анализа информационных систем; анализируются значимые активы; формируются модели угрозы, нарушителей; анализируются требования к безопасности среды данных; оценивается текущее состояние; разрабатываются рекомендации по устранению недостатков; создается отчетная рекомендация
Активного аудита	При проведении теста возможна оценка защищенности информационных систем, обнаружение слабых мест, проверка надежности существующего механизма защиты систем от незаконных действий. Компания получает детальные отчеты с результатами анализа.Объект тестирования на проникновение – внешний сервер, сетевое оборудование, отдельный сервис. Есть несколько видов тестирования: Метод «черного ящика». Тест проводится без наличия знания об объекте, что тестируется. Сведения собираются при помощи общего доступного источника. Метод «белого ящика». Объекты исследуются более детально. Могут запросить дополнительные документы, исходный код, доступы к объектам. Тестом моделируется ситуация, что возможна при утечках данных. Метод «серого ящика». Игнорируют известные данные и сочетают методы, что указаны выше. Этапы проведения работ по тестам предусматривают: осуществление анализа доступных сведений; осуществление инструментального сканирования, когда применяются специализированные средства; проведение детального анализа вручную; проведение анализа и оценки недостатков
Проверка web–приложений	Нужна, чтобы обнаружить и идентифицировать уязвимые места. Обязательно: проведение автоматического сканирования; использование метода черного и белого ящика; оценивание риска; подготовка рекомендаций; реализация рекомендаций
Комплексного аудита	Возможна систематизация угрозы безопасности информации и предоставление предложения по устранению недостатков. Осуществляется техническая проверка сетей, проводится тестирование на проникновение и т. д.
Аудита соответствия стандартам	Анализируется и оценивается система управления риском безопасности информации, политика регламента, инструкций, принципы управления активами и сотрудниками

Это интересно:  Прожиточный минимум и МРОТ в Тверской области в 2019 году

Составление плана

При проведении аудита информационной безопасности составляют план работ и определения целевой задачи. Заказчики и исполнители должны согласовать область и структуру компании, которую затрагивает проверка.

Оговаривают ответственность каждой стороны. В плане должна отражаться:

• цель проверки;
• критерии;
• области проверки с учетом идентификации организационной и функциональной единицы и процесса, что подлежит аудиту;
• дата и место проведения аудита;
• длительность проверки;
• роль и обязательства членов аудиторских групп и сопровождающих лиц.

Возможно также включение:

• списка представителей проверяемого предприятия, что будет оказывать услуги сопровождения аудиторской группы;
• разделов отчета;
• технического обеспечения;
• рассмотрения вопросов конфиденциальности;
• сроков и целей следующей проверки информационной безопасности.

План анализируют и представляют проверяемому предприятию до того, как будет проводиться аудит. Пересмотренный документ согласовывают вовлеченной стороной до продолжения аудита.

Проведение внутреннего аудита

Аудит включает такие действия:

• инициируется процесс (определяют и закрепляют в документации права и обязательства аудитора, готовится план проведения аудита);
• собираются данные;
• анализируется информация;
• вырабатываются рекомендации;
• готовится отчет.

Для осуществления аудита определяют критерии, что отражены в нормативной документации. Сначала организуют проверку, анализируют документы и осуществляют подготовку к аудиту ИБ на месте его осуществления.

Обязательно назначают руководство аудиторских групп, определяют цели и область проверки, возможности, устанавливают начальные контакты с аудируемым предприятием.

Нюансы для малого предприятия

На малом предприятии обеспечению информационной безопасности уделяют не так много внимания, как на крупных фирмах.

Хотя техническая ситуация является таковой, что защита ИБ необходима как раз для малых компаний. Такие предприятия имеют небольшой ИТ-бюджет, что позволил бы купить все оборудование, ПО.

Именно поэтому аудит позволил бы своевременно устанавливать уязвимые места, проверив:

• как используется межсетевой экран для обеспечения безопасности информации;
• обеспечено ли защиту электронной почты (есть ли необходимые антивирусы);
• обеспечено ли антивирусную защиту;
• как организовано работы в 1С предприятие;
• как настроено ПК пользователей;
• как используется Proxy-сервер;
• обеспечено ли защиту информационной среды компании

При процедуре в банке

Есть 2 направления аудита информационной системы:

• проверка вокруг ПК;
• проверка с применением ПК.

Контроль может быть общим и прикладным. Общими считают операции, что обеспечивают уверенность в непрерывности работы компьютерной системы.

Осуществляются такие виды контроля:

• организационный;
• контроль компьютеров;
• операционных системы;
• контролирование доступа;
• контроль помещения с техническими объектами;
• разработок и поддержания функционирования систем.

• Прикладным контролем называют запрограммированный процесс определенного прикладного программного обеспечения и ручные процессы.
• Он необходим, чтобы обеспечить обоснованную уверенность в том, что автоматическая обработка информации является полной, точной и правильной.
• Представлен:

• контролем ввода (это самое слабое место в информационных системах);
• обработок;
• вывода.

Программа проверок информационной системы банковских учреждений включает:

Участие внутренних аудиторов	При разработке систем и прикладного пакета программы
Обзор и подтверждение	Проверяющим лицом изменений программного обеспечения
Проведение аудита внутреннего контроля	И тестов с соблюдением постоянства и последовательности
Проверку документации компьютерного обеспечения	Есть ли документы, обновляются ли они, отражают ли реальную ситуацию
Проведение проверок программного обеспечения	На факт того, нет ли несанкционированных изменений, целостны ли сведения
Проведение оценки купленного программного обеспечения	На соответствие описанию подготовленных систем
Ежеквартальная проверка и возобновление плана действий	При форс-мажоре и критической ситуации

Это интересно:  Порядок осуществления проверки ПФР в 2019 году

Чтобы не были допущены нежелательные проникновения и атаки в будущем, стоит:

Получить объективные данные	О состоянии компонентов системы
Определить слабые места	Чтобы можно было принять соответствующие меры
Дать оценку стоимости	Развития систем обеспечения ИБ

Аудитор может проводить такие работы:

Анализировать штат и распорядительную документацию заказчиков	В отрасли ИТ и защиты данных
Анализировать конфигурацию и топологию	Автоматизированной системы и системы связи
Анализировать технические средства	И системы, условия их размещения
Определять угрозу безопасности данных и моделей	Возможных нарушителей относительно конкретных условий работы
Анализировать такие угрозы	—
Анализировать уязвимые места	Сетевого оборудования

Организация для государственных информационных систем

Рассмотрим на примере школы. Осуществление аудита включает 3 стадии. Сначала учреждение должно представить все необходимые документы.

Определяют цель, задачи проверки, составляют договор с установлением прав и обязательств ответственного лица. Устанавливают, что будет входить в состав аудиторской группы. Составляют программ проверки.

Сама проверка осуществляется в соответствии с программой аудита, что разрабатывалась и согласовывалась с руководством школы.

Проверяется и оценивается, насколько качественны нормативные документы, эффективны технические меры по защите данных, а также действия сотрудников. Устанавливают:

• правильно ли классифицировано ИСПДн;
• достаточны ли представленные сведения;
• выполняются ли требования по обеспечению безопасности информации.

При проведении технической проверки используют экспертные, экспертно-документальные, инструментальные методы. По итогам проверки готовят отчет, где прописаны недочеты и даны рекомендации по их устранению.

Сертификация систем менеджмента

1. Проверка и сертификация соответствия стандартам направлены на усовершенствование управление предприятием, укрепление доверия.

2. Хотя и установлено международные стандарты, на данный момент сертификацию на соответствие ISO 17799 не проводят, поскольку отсутствует его 2 часть с описанием сертификации соответствия британским стандартам BS 7799.
3. Проводят сертификацию на соответствие британским стандартам.

    Проверка соответствия стандартам осуществляется аудиторскими/консалтинговыми фирмами, что являются членами UKAS

Сертификаты по BS 7799-2 влияют на качество построения систем управления ИБ. Решается ряд технических вопросов.

Государственных стандартов на управление системами не принято, а значит, аналог – Специальные требования и рекомендации по защите сведений технического плана Гостехкомиссии России.

СТР-К рекомендованы, но не обязательны. В РФ нет предприятия со сертификатом BS 7799, хотя проверка осуществляется крупными аудиторскими организациями.

Оформление результатов

При завершении аудита составляется отчетный документ, что передается заказчикам. Отчет должен содержать такие сведения:

• рамки регламент проведения аудита;
• структуру информационной системы предприятия;
• методы и средства, что применяются при проведении аудита;
• описания обнаруженных уязвимых моментов и недостатков с учетом уровня их риска;
• рекомендации по улучшению комплексных систем обеспечения ИБ;
• предложения к планам реализации мероприятия, что должны минимизировать выявленные риски.

В отчете должна отражаться полная, четкая и точная информация по проверке безопасности информации. Указывается, где проводился аудит, кто является заказчиком и исполнителем, какова цель проверки.

Отчеты могут включать и такие данные:

• план проверки;
• список сопровождающих аудиторов лиц;
• краткая суть процедуры, с учетом элемента неопределенности и проблем, что могут отражаться на надежности заключения по итогам проверки;
• любые отрасли, что не охвачены проверкой и т. д.

• Аудит информационной безопасности – это эффективный инструмент, который позволяет получить независимую и объективную оценку текущей стадии защищенности от ряда угроз.
• Результат проверки даст основание для формирования стратегий развития систем по обеспечению ИБ компании.
• Но стоит помнить, что аудит безопасности не является разовой процедурой.

Его проведение обязательно на постоянной основе. Только в таком случае будет реальная отдача и появится возможность усовершенствования безопасности информации.

Поделитесь в соц.сетях:

Источник: https://finance-exp.ru/kak-provesti-audit-informacionnoy-bezopasnosti/

Что такое и зачем нужен аудит информационной безопасности на предприятии?

Аудит ИБ, способный существенно повлиять на ИБ предприятия в положительную сторону, сейчас часто обговаривается в среде предпринимателей.

Именно об этом понятии рассказано в этой статье. Качественный аудит информационной безопасности предприятия может предоставить компания «Судебный эксперт».

Нынешний рынок переполнен инновационным аппаратным обеспечением и новейшими программами.

Понятие аудита информационной безопасности

Важно! Следует иметь ввиду, что:

• Каждый случай уникален и индивидуален.
• Тщательное изучение вопроса не всегда гарантирует положительный исход дела. Он зависит от множества факторов.

Чтобы получить максимально подробную консультацию по своему вопросу, вам достаточно выполнить любой из предложенных вариантов:

Согласно исследованиям в этой сфере руководители различных предприятий имеют разные представления на этот счет.

И хотя на данный момент не существует четкого определения, чем же является подобный аудит, все же в общих чертах его можно охарактеризовать, как процедуру, включающую в себя последовательный сбор из различных источников всей имеющейся информации, и затем проведение ее анализа. Данный процесс нужно проводить для того, чтобы выяснить, в какой степени предприятие защищено от предполагаемых угроз.

Подобный аудит можно разделить на два вида:

• Осуществляемую собственными силами компании: отделом ИБ или же отделом ИТ проверку называют внутренней;
• Если же для проведения аудита привлекаются сторонние, независимые организации, способные дать профессиональную консультацию в сфере ИБ, то его называют внешним.

Когда необходим аудит информационной безопасности

При современном развитии информационных технологий, они стали неотъемлемой частью функционирования любого более, менее крупного предприятия. Есть несколько вариантов необходимости проведения аудита информационной безопасности. Из них, можно выделить, следующие:

1. Если предприятие нуждается в профессиональной оценке того, насколько действенны и надежны средства, используемые им для сохранности ценной информации, от которой зависит вся работа предприятия;
2. Применяемые в компании средства защиты данных нуждаются в систематизации. Их нужно проинспектировать и упорядочить;
3. Также подобный аудит может понадобиться, если на предприятии собираются разработать и установить инновационную систему защиты данных;
4. Аудит информационной безопасности потребуется для модернизации системы ИБ и приведение к такому состоянию, которое требуется в соответствии с действующим законодательством (независимо отечественным или международным);
5. В случае, если система дала сбой аудит понадобиться для выяснения всех обстоятельств и причин такого сбоя;
6. Такая проверка может потребоваться, если руководство решило модернизировать существующую на предприятии систему информационной безопасности, и на это требуются инвестиции. Она понадобиться для того, чтобы обосновать перед потенциальными инвесторами необходимость вкладывать деньги.

Авторские права в интернете как объект защиты

Зачастую, аудит проводится по инициативе менеджмента компании. Также он может быть проведен по требованию отдела внутреннего контроля и профильных отделов (ИБ и автоматизации). Кроме того, такая проверка устраивается по распоряжению различных регулирующих государственных структур и страховых компаний.

Разновидности аудита информационной безопасности

Виды аудита ИБ

• Проверка информационной безопасности на попытку взлома (penetration testing), проводимая для того, чтобы оценить степень защиты предприятия от хакерских и прочих атак, которые могут быть предприняты из интернета;
• Возможность оценить уровень ИБ на ее соответствие, необходимым требованиям ISO 27001, который является международным стандартом;
• Проверка ИБ в условиях стандарта ИБ «Банка России»;
• Подробная аналитика, действующих в информационной безопасности инструментов, проводимая с целью обнаружения слабых мест в ИС предприятий;
• Аудит ИБ проводится с целью выяснения полностью ли соответствует информационная безопасность предприятия нормам Закона «О персональных данных», действующем на территории Российской Федерации;
• Проверка наличия секретных сведений согласно технологиям конкурентной разведывательной деятельности;
• Всесторонний аудит, основанный на комплексной оценке возможных рисков ИБ предприятия.

Какие работы включает в себя аудит безопасности?

Какой бы вид аудита не проводился, он должен включать в себя четыре главных фазы. Причем все они реализуют конкретные задачи.

• Сразу с предприятием, которое заказывает проведение аудита ИБ, подписывается договор о том, что все, что станет известно исполнителю заказа останется между ним и предприятием заказчиком. Все секретные сведения не подлежат разглашению. Это аксиома;
• Затем предприятие, заказавшее подобный аудит принимает участие в составлении техзадания, согласно которому будут осуществляться определенные действия, требуемые для проведения всестороннего аудита. Это своего рода регламент. Его основной целью является определение некоторых условий. Исполнитель не имеет права нарушать определенные границы дозволенного при проведении аудита. Благодаря подобному техническому заданию, с четко установленными границами, как заказчик, так и исполнитель будут ограничены от возможных претензий. Ведь, регламент все четко определяет для обеих сторон. То есть, их права и обязанности;
• После заключения соглашения исполнитель приступает к выполнению взятых на себя обязательств. В первую очередь, как уже было сказано, он собирает все необходимые данные. Это проводится путем опроса работников предприятия, заполнения ими различных анкет. Исполнитель анализирует, имеющуюся на предприятии техническую и организационную документацию. Также аудит осуществляется с помощью специальных инструментов, имеющихся в распоряжении исполнителя;
• После того, как все необходимые сведения будут собраны, необходимо их скрупулезно проанализировать. Это позволит оценить, насколько эффективной на данный момент является информационная безопасность предприятия. Если будут выявлены изъяны, исполнитель даст свои рекомендации по улучшению состояния защищенности ИБ предприятия.

Что получает предприятие (заказчик) в результате аудита безопасности?

Итог подобной проверки излагается заказчику в виде отчета. Это, по сути, полноценный документ, за подлинность которого отвечает исполнитель. Данный отчет разделен на несколько составляющих:

• Вверху изложены границы, которые были оговорены между заказчиком и исполнителем перед проведением аудита. Далее идет описание конструкции АС предприятия. При этом средства и методика, применяемые при проведении аудита зачастую также подробно описаны;
• Потом указываются, имеющиеся бреши и недостатки в ИБ предприятия, которые были выявлены исполнителем в ходе аудита;
• Также подчеркивается степень их опасности для предприятия;
• Исполнитель рекомендует, как можно модернизировать систему ИБ;
• В конце аудитор излагает свои рекомендации в отношении того, какие меры должны быть предприняты в первую очередь.

Следует сказать, что аудит информационной безопасности это лишь начальный этап в создании полноценной, усовершенствованной системы ИБ предприятия. На его основе должен быть создан план, согласно которому будет проведена модернизация системы и устранение всех, имеющихся изъянов.

Для улучшения степени ИБ необходимо провести следующее:

• Приобретение нового более совершенного оборудования;
• Привлечение на работу профессионалов в данном направлении;
• Создание документации, способной улучшить ИБ (инструкции, правила, регламенты и т.д.).

Видео по теме основы информационной безопасности:

Насколько часто необходимо проводить аудит зависит от изменений в структуре предприятия (открытие новых филиалов компании, внедрение новейших ИС, усовершенствование программного обеспечения и т.д.). На практике подобную внешнюю проверку желательно проводить ежегодно. Внутреннему же аудиту стоит подвергать ИБ раз в три месяца.

Автор и редактор портала Руказакона

Источник: https://rukazakona.ru/avtorskoe-pravo/197-chto-takoe-audit-informacionnoy-bezopasnosti-na-predpriyatii.html