Аудит інформаційної безпеки — системний процес одержання об'єктивних якісних і кількісних оцінок про поточний стан інформаційної безпеки компанії у відповідності з визначеними критеріями та показниками безпеки.
Інформаційна безпека — стан збереження інформаційних ресурсів і захищеності законних прав особистості і суспільства в інформаційній сфері.
Аудит дозволяє оцінити поточну безпеку функціонування інформаційної системи, оцінити й прогнозувати ризики, управляти їх впливом на бізнес-процеси фірми, коректно й обґрунтовано підійти до питання забезпечення безпеки її інформаційних активів, стратегічних планів розвитку, маркетингових програм, фінансових і бухгалтерських відомостей, вмісту корпоративних баз даних. У кінцевому рахунку, грамотно проведений аудит безпеки інформаційної системи дозволяє домогтися максимальної віддачі від коштів, інвестованих у створення та обслуговування системи безпеки фірми.
Основні напрямки діяльності в області аудиту безпеки інформації
Основні напрямки аудиту інформаційної безпеки деталізуються на наступні: атестацію; контроль захищеності інформації; спеціальні дослідження технічних засобів і проектування об'єктів в захищеному виконанні.
- Атестація об'єктів інформатизації за вимогами безпеки інформації:
- атестація автоматизованих систем, засобів зв'язку, обробки і передачі інформації;
- атестація приміщень, призначених для ведення конфіденційних переговорів;
- атестація технічних засобів, встановлених у виділених приміщеннях.
- Контроль захищеності інформації обмеженого доступу:
- виявлення технічних каналів витоку інформації та шляхів несанкціонованого доступу до неї;
- контроль ефективності застосовуваних засобів захисту інформації.
- Спеціальні дослідження технічних засобів на наявність побічних електромагнітних випромінювань і наведень (ПЕМВН):
- персональні ЕОМ, засоби зв'язку та обробки інформації;
- локальні обчислювальні системи;
- оформлення результатів досліджень у відповідності з вимогами Держтехкомісій.
- Проектування об'єктів в захищеному виконанні:
- розробка концепції інформаційної безпеки;
- проектування автоматизованих систем, засобів зв'язку, обробки і передачі інформації в захищеному виконанні;
- проектування приміщень, призначених для ведення конфіденційних переговорів.
Види і цілі аудиту
Зовнішній аудит — це, як правило, разовий захід, що проводиться за ініціативою керівництва організації або акціонерів. Зовнішній аудит рекомендується (а для деяких фінансових установ і акціонерних товариств потрібно) проводити регулярно.
Внутрішній аудит являє собою безперервну діяльність, яка здійснюється на підставі документа, що зазвичай носить назву «Положення про внутрішній аудит», та у відповідності з планом, підготовка якого здійснюється підрозділом внутрішнього аудиту та затверджується керівництвом організації. Аудит безпеки інформаційних систем є однією з складових ІТ—аудиту.
Цілями проведення аудиту безпеки є:
— аналіз ризиків, пов'язаних з можливістю здійснення загроз безпеки у відношенні до ресурсів ІС;
— оцінка поточного рівня захищеності ІС;
— локалізація вузьких місць у системі захисту ІС;
— оцінка відповідності ІС існуючим стандартам в галузі інформаційної безпеки;
— вироблення рекомендацій щодо впровадження нових та підвищення ефективності існуючих механізмів безпеки ІС.
Представлені Аудитору рапорти про інциденти СІБ повинні містити документацію про так звані «слабкі точки» СІБ.
У число додаткових завдань, що стоять перед внутрішнім аудитором, крім надання допомоги зовнішнім аудиторам, можуть також входити: — розробка політик безпеки та інших організаційно—розпорядчих документів із захисту інформації та участь у їх впровадженні в роботу організації; — постановка завдань для ІТ—персоналу, що стосуються забезпечення захисту інформації; — участь у навчанні користувачів і обслуговчого персоналу ІС питань забезпечення інформаційної безпеки; — участь у розборі інцидентів, пов'язаних з порушенням інформаційної безпеки; — інші завдання.
Основні етапи аудиту безпеки
Роботи з аудиту безпеки ІС включають в себе ряд послідовних етапів, які в цілому відповідають етапам проведення комплексного ІТ—аудиту автоматизованої системи, що включає в себе:
- ініціювання процедури аудиту;
- збір інформації аудиту;
- аналіз даних аудиту;
- вироблення рекомендацій;
- підготовку аудиторського звіту.
На етапі ініціювання процедури аудиту повинні бути вирішені наступні організаційні питання:
- права та обов'язки аудитора повинні бути чітко визначені і документально закріплені в його посадових інструкціях, а також у положенні про внутрішній (зовнішній) аудит;
- аудитором повинен бути підготовлений і узгоджений з керівництвом план проведення аудиту;
- у положенні про внутрішній аудит має бути закріплено, зокрема, що співробітники компанії зобов'язані сприяти й надавати аудитору всю необхідну для проведення аудиту інформацію.
На етапі ініціювання процедури аудиту мають бути визначені межі проведення обстеження. План і межі проведення аудиту обговорюються на робочому зборах, в яких беруть участь аудитори, керівництво компанії і керівники структурних підрозділів.
Етап збору інформації аудиту є найбільш складним і тривалим. Це пов'язано переважно з відсутністю необхідної документації на інформаційну систему і з необхідністю щільної взаємодії аудитора з багатьма посадовими особами організації.
Компетентні висновки щодо стану справ у компанії з інформаційною безпекою можуть бути зроблені аудитором лише за умови наявності всіх необхідних вихідних даних для аналізу. Перший пункт аудиторського обстеження починається з отримання інформації про організаційну структуру користувачів ІС і обслуговуючих підрозділів. Призначення і принципи функціонування ІС багато в чому визначають існуючі ризики й вимоги безпеки, що пред'являються до системи. Далі, аудитору потрібно більш детальна інформація про структуру ІС. Це дозволить усвідомити, яким чином здійснюється розподіл механізмів безпеки структурними елементами та рівнями функціонування ІС.
Методи аналізу даних, що використовуються аудиторами, визначаються вибраними підходами до проведення аудиту, які можуть істотно розрізнятися.
Перший підхід, найскладніший, базується на аналізі ризиків. Спираючись на методи аналізу ризиків, аудитор визначає для обстежуваної ІС індивідуальний набір вимог безпеки, найбільшою мірою враховує особливості даної ІС, середовища її функціонування та існуючі в даному середовищі загрози безпеки.
Другий підхід, найбільш практичний, спирається на використання стандартів інформаційної безпеки. Стандарти визначають базовий набір вимог безпеки для широкого класу ІС, який формується в результаті узагальнення світової практики. Стандарти можуть визначати різні набори вимог безпеки, в залежності від рівня захищеності ІС, який потрібно забезпечити, її приналежності (комерційна організація або державна установа), а також призначення (фінанси, промисловість, зв'язок і т. ін.). Від аудитора в даному випадку потрібно правильно визначити набір вимог стандарту, відповідність яким потрібно забезпечити.
Третій підхід, найбільш ефективний, припускає комбінування двох перших. Базовий набір вимог безпеки, що пред'являються до ІС, визначається стандартом. Додаткові вимоги, в максимальному ступені враховують особливості функціонування даної ІС, формуються на основі аналізу ризиків.
Рекомендації, що видаються аудитором за результатами аналізу стану ІС, визначаються використовуваним підходом, особливостями обстежуваної ІС, станом справ з безпекою і ступенем деталізації, що використовується при проведенні аудиту. У будь-якому випадку, рекомендації аудитора повинні бути конкретними і застосовними до даної ІС, економічно обґрунтованими, аргументованими (підкріпленими результатами аналізу) і відсортованими за ступенем важливості. При цьому заходи щодо забезпечення захисту організаційного рівня практично завжди мають пріоритет над конкретними програмно—технічними методами захисту. У той же час не варто чекати від аудитора, як результату проведення аудиту, видачі технічного проекту підсистеми інформаційної безпеки, або детальних рекомендацій щодо впровадження конкретних програмно—технічних засобів захисту інформації. Це вимагає більш детального опрацювання конкретних питань організації захисту, хоча внутрішні аудитори можуть брати в цих роботах найактивнішу участь.
Аудиторський звіт є основним результатом проведення аудиту. Його якість характеризує якість роботи аудитора. Він повинен, принаймні, містити опис цілей проведення аудиту, характеристику обстежуваної ІС, вказівку меж проведення аудиту і використовуваних методів, результати аналізу даних аудиту, висновки, що узагальнюють ці результати та містять оцінку рівня захищеності АС або відповідність її вимогам стандартів, і, звичайно, рекомендації аудитора по усуненню наявних недоліків і вдосконалення системи захисту.
Аудит ІС в Україні
Серед українських аудитових компаній, Державне підприємство «Українські спеціальні системи» пропонує проводити аудит інформаційної безпеки на об'єктах інформаційної діяльності замовника, з метою визначення стану захищеності ІС та/або ІТС, засобами якої обробляється конфіденційна чи інша критична інформація Замовника, а також відповідності ІС та/або ІТС стандартам та нормативним документам в державному, комерційному та банківському секторі. Аудит ІС та/або ІТС проводиться на відповідність вимогам:
- Нормативних документів у галузі технічного захисту інформації України (НД ТЗІ).
- ISO/IEC 27001:2005.
- PCI DSS.
Примітки
- Безопасность: теория, парадигма, концепция, культура. Словарь-справочник[недоступне посилання] / Автор-сост. профессор В. Ф. Пилипенко. 2-е изд., доп. и перераб. — М.: ПЕР СЭ-Пресс, 2005.
- Ярочкин В. И. Информационная безопасность: Учебник для студентов — М.: Академический Проект; Гаудеамус, 2-е изд., — 2004. — 544 с.
- (PDF). Архів оригіналу (PDF) за 24 квітня 2018. Процитовано 24 квітня 2018.
- . Архів оригіналу за 24 квітня 2018. Процитовано 24 квітня 2018.
Література
- Бармен Скотт. Розробка правил інформаційної безпеки. М.: Вільямс, 2002. — 208 с. — , .
- Семененко Ст. А. Інформаційна безпека: Навчальний посібник. — М.: МГИУ, 2004—215 с. — , .
Посилання
Інформаційна безпека інформаційно-комунікаційних систем: навчальний посібник. Лабораторний практикум. Частина 2. Комплекси технічного захисту інформації [ 24 квітня 2018 у Wayback Machine.]
- Федеральний закон Російської Федерації від 27 липня 2006 року [ 1 травня 2018 у Wayback Machine.] N 149-ФЗ " Про інформацію, інформаційні технології і про захист інформації [ 1 травня 2018 у Wayback Machine.]
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
Audit informacijnoyi bezpeki sistemnij proces oderzhannya ob yektivnih yakisnih i kilkisnih ocinok pro potochnij stan informacijnoyi bezpeki kompaniyi u vidpovidnosti z viznachenimi kriteriyami ta pokaznikami bezpeki Informacijna bezpeka Kriteriyi ocinki informacijnoyi bezpeki Cilisnist Dostupnist Konfidencijnist Sposterezhnist Nevidmovnist Normativni dokumenti COBIT ITIL ISO IEC 27001 2013 Zabezpechennya Politika SUIB KSZI SZI Zahist informaciyi Tehnichnij zahist informaciyi Inzhenernij zahist informaciyi Kriptografichnij zahist informaciyi Organizacijnij zahist informaciyi pr Informacijna bezpeka stan zberezhennya informacijnih resursiv i zahishenosti zakonnih prav osobistosti i suspilstva v informacijnij sferi Audit dozvolyaye ociniti potochnu bezpeku funkcionuvannya informacijnoyi sistemi ociniti j prognozuvati riziki upravlyati yih vplivom na biznes procesi firmi korektno j obgruntovano pidijti do pitannya zabezpechennya bezpeki yiyi informacijnih aktiviv strategichnih planiv rozvitku marketingovih program finansovih i buhgalterskih vidomostej vmistu korporativnih baz danih U kincevomu rahunku gramotno provedenij audit bezpeki informacijnoyi sistemi dozvolyaye domogtisya maksimalnoyi viddachi vid koshtiv investovanih u stvorennya ta obslugovuvannya sistemi bezpeki firmi Osnovni napryamki diyalnosti v oblasti auditu bezpeki informaciyiOsnovni napryamki auditu informacijnoyi bezpeki detalizuyutsya na nastupni atestaciyu kontrol zahishenosti informaciyi specialni doslidzhennya tehnichnih zasobiv i proektuvannya ob yektiv v zahishenomu vikonanni Atestaciya ob yektiv informatizaciyi za vimogami bezpeki informaciyi atestaciya avtomatizovanih sistem zasobiv zv yazku obrobki i peredachi informaciyi atestaciya primishen priznachenih dlya vedennya konfidencijnih peregovoriv atestaciya tehnichnih zasobiv vstanovlenih u vidilenih primishennyah Kontrol zahishenosti informaciyi obmezhenogo dostupu viyavlennya tehnichnih kanaliv vitoku informaciyi ta shlyahiv nesankcionovanogo dostupu do neyi kontrol efektivnosti zastosovuvanih zasobiv zahistu informaciyi Specialni doslidzhennya tehnichnih zasobiv na nayavnist pobichnih elektromagnitnih viprominyuvan i naveden PEMVN personalni EOM zasobi zv yazku ta obrobki informaciyi lokalni obchislyuvalni sistemi oformlennya rezultativ doslidzhen u vidpovidnosti z vimogami Derzhtehkomisij Proektuvannya ob yektiv v zahishenomu vikonanni rozrobka koncepciyi informacijnoyi bezpeki proektuvannya avtomatizovanih sistem zasobiv zv yazku obrobki i peredachi informaciyi v zahishenomu vikonanni proektuvannya primishen priznachenih dlya vedennya konfidencijnih peregovoriv Vidi i cili audituZovnishnij audit ce yak pravilo razovij zahid sho provoditsya za iniciativoyu kerivnictva organizaciyi abo akcioneriv Zovnishnij audit rekomenduyetsya a dlya deyakih finansovih ustanov i akcionernih tovaristv potribno provoditi regulyarno Vnutrishnij audit yavlyaye soboyu bezperervnu diyalnist yaka zdijsnyuyetsya na pidstavi dokumenta sho zazvichaj nosit nazvu Polozhennya pro vnutrishnij audit ta u vidpovidnosti z planom pidgotovka yakogo zdijsnyuyetsya pidrozdilom vnutrishnogo auditu ta zatverdzhuyetsya kerivnictvom organizaciyi Audit bezpeki informacijnih sistem ye odniyeyu z skladovih IT auditu Cilyami provedennya auditu bezpeki ye analiz rizikiv pov yazanih z mozhlivistyu zdijsnennya zagroz bezpeki u vidnoshenni do resursiv IS ocinka potochnogo rivnya zahishenosti IS lokalizaciya vuzkih misc u sistemi zahistu IS ocinka vidpovidnosti IS isnuyuchim standartam v galuzi informacijnoyi bezpeki viroblennya rekomendacij shodo vprovadzhennya novih ta pidvishennya efektivnosti isnuyuchih mehanizmiv bezpeki IS Predstavleni Auditoru raporti pro incidenti SIB povinni mistiti dokumentaciyu pro tak zvani slabki tochki SIB U chislo dodatkovih zavdan sho stoyat pered vnutrishnim auditorom krim nadannya dopomogi zovnishnim auditoram mozhut takozh vhoditi rozrobka politik bezpeki ta inshih organizacijno rozporyadchih dokumentiv iz zahistu informaciyi ta uchast u yih vprovadzhenni v robotu organizaciyi postanovka zavdan dlya IT personalu sho stosuyutsya zabezpechennya zahistu informaciyi uchast u navchanni koristuvachiv i obslugovchogo personalu IS pitan zabezpechennya informacijnoyi bezpeki uchast u rozbori incidentiv pov yazanih z porushennyam informacijnoyi bezpeki inshi zavdannya Osnovni etapi auditu bezpekiRoboti z auditu bezpeki IS vklyuchayut v sebe ryad poslidovnih etapiv yaki v cilomu vidpovidayut etapam provedennya kompleksnogo IT auditu avtomatizovanoyi sistemi sho vklyuchaye v sebe iniciyuvannya proceduri auditu zbir informaciyi auditu analiz danih auditu viroblennya rekomendacij pidgotovku auditorskogo zvitu Na etapi iniciyuvannya proceduri auditu povinni buti virisheni nastupni organizacijni pitannya prava ta obov yazki auditora povinni buti chitko viznacheni i dokumentalno zakripleni v jogo posadovih instrukciyah a takozh u polozhenni pro vnutrishnij zovnishnij audit auditorom povinen buti pidgotovlenij i uzgodzhenij z kerivnictvom plan provedennya auditu u polozhenni pro vnutrishnij audit maye buti zakripleno zokrema sho spivrobitniki kompaniyi zobov yazani spriyati j nadavati auditoru vsyu neobhidnu dlya provedennya auditu informaciyu Na etapi iniciyuvannya proceduri auditu mayut buti viznacheni mezhi provedennya obstezhennya Plan i mezhi provedennya auditu obgovoryuyutsya na robochomu zborah v yakih berut uchast auditori kerivnictvo kompaniyi i kerivniki strukturnih pidrozdiliv Etap zboru informaciyi auditu ye najbilsh skladnim i trivalim Ce pov yazano perevazhno z vidsutnistyu neobhidnoyi dokumentaciyi na informacijnu sistemu i z neobhidnistyu shilnoyi vzayemodiyi auditora z bagatma posadovimi osobami organizaciyi Kompetentni visnovki shodo stanu sprav u kompaniyi z informacijnoyu bezpekoyu mozhut buti zrobleni auditorom lishe za umovi nayavnosti vsih neobhidnih vihidnih danih dlya analizu Pershij punkt auditorskogo obstezhennya pochinayetsya z otrimannya informaciyi pro organizacijnu strukturu koristuvachiv IS i obslugovuyuchih pidrozdiliv Priznachennya i principi funkcionuvannya IS bagato v chomu viznachayut isnuyuchi riziki j vimogi bezpeki sho pred yavlyayutsya do sistemi Dali auditoru potribno bilsh detalna informaciya pro strukturu IS Ce dozvolit usvidomiti yakim chinom zdijsnyuyetsya rozpodil mehanizmiv bezpeki strukturnimi elementami ta rivnyami funkcionuvannya IS Metodi analizu danih sho vikoristovuyutsya auditorami viznachayutsya vibranimi pidhodami do provedennya auditu yaki mozhut istotno rozriznyatisya Pershij pidhid najskladnishij bazuyetsya na analizi rizikiv Spirayuchis na metodi analizu rizikiv auditor viznachaye dlya obstezhuvanoyi IS individualnij nabir vimog bezpeki najbilshoyu miroyu vrahovuye osoblivosti danoyi IS seredovisha yiyi funkcionuvannya ta isnuyuchi v danomu seredovishi zagrozi bezpeki Drugij pidhid najbilsh praktichnij spirayetsya na vikoristannya standartiv informacijnoyi bezpeki Standarti viznachayut bazovij nabir vimog bezpeki dlya shirokogo klasu IS yakij formuyetsya v rezultati uzagalnennya svitovoyi praktiki Standarti mozhut viznachati rizni nabori vimog bezpeki v zalezhnosti vid rivnya zahishenosti IS yakij potribno zabezpechiti yiyi prinalezhnosti komercijna organizaciya abo derzhavna ustanova a takozh priznachennya finansi promislovist zv yazok i t in Vid auditora v danomu vipadku potribno pravilno viznachiti nabir vimog standartu vidpovidnist yakim potribno zabezpechiti Tretij pidhid najbilsh efektivnij pripuskaye kombinuvannya dvoh pershih Bazovij nabir vimog bezpeki sho pred yavlyayutsya do IS viznachayetsya standartom Dodatkovi vimogi v maksimalnomu stupeni vrahovuyut osoblivosti funkcionuvannya danoyi IS formuyutsya na osnovi analizu rizikiv Rekomendaciyi sho vidayutsya auditorom za rezultatami analizu stanu IS viznachayutsya vikoristovuvanim pidhodom osoblivostyami obstezhuvanoyi IS stanom sprav z bezpekoyu i stupenem detalizaciyi sho vikoristovuyetsya pri provedenni auditu U bud yakomu vipadku rekomendaciyi auditora povinni buti konkretnimi i zastosovnimi do danoyi IS ekonomichno obgruntovanimi argumentovanimi pidkriplenimi rezultatami analizu i vidsortovanimi za stupenem vazhlivosti Pri comu zahodi shodo zabezpechennya zahistu organizacijnogo rivnya praktichno zavzhdi mayut prioritet nad konkretnimi programno tehnichnimi metodami zahistu U toj zhe chas ne varto chekati vid auditora yak rezultatu provedennya auditu vidachi tehnichnogo proektu pidsistemi informacijnoyi bezpeki abo detalnih rekomendacij shodo vprovadzhennya konkretnih programno tehnichnih zasobiv zahistu informaciyi Ce vimagaye bilsh detalnogo opracyuvannya konkretnih pitan organizaciyi zahistu hocha vnutrishni auditori mozhut brati v cih robotah najaktivnishu uchast Auditorskij zvit ye osnovnim rezultatom provedennya auditu Jogo yakist harakterizuye yakist roboti auditora Vin povinen prinajmni mistiti opis cilej provedennya auditu harakteristiku obstezhuvanoyi IS vkazivku mezh provedennya auditu i vikoristovuvanih metodiv rezultati analizu danih auditu visnovki sho uzagalnyuyut ci rezultati ta mistyat ocinku rivnya zahishenosti AS abo vidpovidnist yiyi vimogam standartiv i zvichajno rekomendaciyi auditora po usunennyu nayavnih nedolikiv i vdoskonalennya sistemi zahistu Audit IS v UkrayiniSered ukrayinskih auditovih kompanij Derzhavne pidpriyemstvo Ukrayinski specialni sistemi proponuye provoditi audit informacijnoyi bezpeki na ob yektah informacijnoyi diyalnosti zamovnika z metoyu viznachennya stanu zahishenosti IS ta abo ITS zasobami yakoyi obroblyayetsya konfidencijna chi insha kritichna informaciya Zamovnika a takozh vidpovidnosti IS ta abo ITS standartam ta normativnim dokumentam v derzhavnomu komercijnomu ta bankivskomu sektori Audit IS ta abo ITS provoditsya na vidpovidnist vimogam Normativnih dokumentiv u galuzi tehnichnogo zahistu informaciyi Ukrayini ND TZI ISO IEC 27001 2005 PCI DSS PrimitkiBezopasnost teoriya paradigma koncepciya kultura Slovar spravochnik nedostupne posilannya Avtor sost professor V F Pilipenko 2 e izd dop i pererab M PER SE Press 2005 Yarochkin V I Informacionnaya bezopasnost Uchebnik dlya studentov M Akademicheskij Proekt Gaudeamus 2 e izd 2004 544 s PDF Arhiv originalu PDF za 24 kvitnya 2018 Procitovano 24 kvitnya 2018 Arhiv originalu za 24 kvitnya 2018 Procitovano 24 kvitnya 2018 LiteraturaBarmen Skott Rozrobka pravil informacijnoyi bezpeki M Vilyams 2002 208 s ISBN 5 8459 0323 8 ISBN 1 57870 264 X Semenenko St A Informacijna bezpeka Navchalnij posibnik M MGIU 2004 215 s ISBN 5 8459 0323 8 ISBN 1 57870 264 X PosilannyaInformacijna bezpeka informacijno komunikacijnih sistem navchalnij posibnik Laboratornij praktikum Chastina 2 Kompleksi tehnichnogo zahistu informaciyi 24 kvitnya 2018 u Wayback Machine Federalnij zakon Rosijskoyi Federaciyi vid 27 lipnya 2006 roku 1 travnya 2018 u Wayback Machine N 149 FZ Pro informaciyu informacijni tehnologiyi i pro zahist informaciyi 1 travnya 2018 u Wayback Machine