Аудит інформаційної безпеки

Основні напрямки аудиту інформаційної безпеки деталізуються на наступні: атестацію; контроль захищеності інформації; спеціальні дослідження технічних засобів і проектування об'єктів в захищеному виконанні[2].

1. Атестація об'єктів інформатизації за вимогами безпеки інформації:
   • атестація автоматизованих систем, засобів зв'язку, обробки і передачі інформації;
   • атестація приміщень, призначених для ведення конфіденційних переговорів;
   • атестація технічних засобів, встановлених у виділених приміщеннях.
2. Контроль захищеності інформації обмеженого доступу:
   • виявлення технічних каналів витоку інформації та шляхів несанкціонованого доступу до неї;
   • контроль ефективності застосовуваних засобів захисту інформації.
3. Спеціальні дослідження технічних засобів на наявність побічних електромагнітних випромінювань і наведень (ПЕМВН):
   • персональні ЕОМ, засоби зв'язку та обробки інформації;
   • локальні обчислювальні системи;
   • оформлення результатів досліджень у відповідності з вимогами Держтехкомісій.
4. Проектування об'єктів в захищеному виконанні:
   • розробка концепції інформаційної безпеки;
   • проектування автоматизованих систем, засобів зв'язку, обробки і передачі інформації в захищеному виконанні;
   • проектування приміщень, призначених для ведення конфіденційних переговорів[3].

Зовнішній аудит — це, як правило, разовий захід, що проводиться за ініціативою керівництва організації або акціонерів. Зовнішній аудит рекомендується (а для деяких фінансових установ і акціонерних товариств потрібно) проводити регулярно.

Внутрішній аудит являє собою безперервну діяльність, яка здійснюється на підставі документа, що зазвичай носить назву «Положення про внутрішній аудит», та у відповідності з планом, підготовка якого здійснюється підрозділом внутрішнього аудиту та затверджується керівництвом організації. Аудит безпеки інформаційних систем є однією з складових ІТ—аудиту.

Цілями проведення аудиту безпеки є:

 — аналіз ризиків, пов'язаних з можливістю здійснення загроз безпеки у відношенні до ресурсів ІС; 

— оцінка поточного рівня захищеності ІС;

 — локалізація вузьких місць у системі захисту ІС;

 — оцінка відповідності ІС існуючим стандартам в галузі інформаційної безпеки;

 — вироблення рекомендацій щодо впровадження нових та підвищення ефективності існуючих механізмів безпеки ІС[3].

Представлені Аудитору рапорти про інциденти СІБ повинні містити документацію про так звані «слабкі точки» СІБ.

У число додаткових завдань, що стоять перед внутрішнім аудитором, крім надання допомоги зовнішнім аудиторам, можуть також входити: — розробка політик безпеки та інших організаційно—розпорядчих документів із захисту інформації та участь у їх впровадженні в роботу організації; — постановка завдань для ІТ—персоналу, що стосуються забезпечення захисту інформації; — участь у навчанні користувачів і обслуговчого персоналу ІС питань забезпечення інформаційної безпеки; — участь у розборі інцидентів, пов'язаних з порушенням інформаційної безпеки; — інші завдання.

Роботи з аудиту безпеки ІС включають в себе ряд послідовних етапів, які в цілому відповідають етапам проведення комплексного ІТ—аудиту автоматизованої системи, що включає в себе:

• ініціювання процедури аудиту;
• збір інформації аудиту;
• аналіз даних аудиту;
• вироблення рекомендацій;
• підготовку аудиторського звіту[3].

На етапі ініціювання процедури аудиту повинні бути вирішені наступні організаційні питання:

1. права та обов'язки аудитора повинні бути чітко визначені і документально закріплені в його посадових інструкціях, а також у положенні про внутрішній (зовнішній) аудит;
2. аудитором повинен бути підготовлений і узгоджений з керівництвом план проведення аудиту;
3. у положенні про внутрішній аудит має бути закріплено, зокрема, що співробітники компанії зобов'язані сприяти й надавати аудитору всю необхідну для проведення аудиту інформацію.

На етапі ініціювання процедури аудиту мають бути визначені межі проведення обстеження. План і межі проведення аудиту обговорюються на робочому зборах, в яких беруть участь аудитори, керівництво компанії і керівники структурних підрозділів.

Етап збору інформації аудиту є найбільш складним і тривалим. Це пов'язано переважно з відсутністю необхідної документації на інформаційну систему і з необхідністю щільної взаємодії аудитора з багатьма посадовими особами організації.

Компетентні висновки щодо стану справ у компанії з інформаційною безпекою можуть бути зроблені аудитором лише за умови наявності всіх необхідних вихідних даних для аналізу. Перший пункт аудиторського обстеження починається з отримання інформації про організаційну структуру користувачів ІС і обслуговуючих підрозділів. Призначення і принципи функціонування ІС багато в чому визначають існуючі ризики й вимоги безпеки, що пред'являються до системи. Далі, аудитору потрібно більш детальна інформація про структуру ІС. Це дозволить усвідомити, яким чином здійснюється розподіл механізмів безпеки структурними елементами та рівнями функціонування ІС.

Методи аналізу даних, що використовуються аудиторами, визначаються вибраними підходами до проведення аудиту, які можуть істотно розрізнятися.

Перший підхід, найскладніший, базується на аналізі ризиків. Спираючись на методи аналізу ризиків, аудитор визначає для обстежуваної ІС індивідуальний набір вимог безпеки, найбільшою мірою враховує особливості даної ІС, середовища її функціонування та існуючі в даному середовищі загрози безпеки.

Другий підхід, найбільш практичний, спирається на використання стандартів інформаційної безпеки. Стандарти визначають базовий набір вимог безпеки для широкого класу ІС, який формується в результаті узагальнення світової практики. Стандарти можуть визначати різні набори вимог безпеки, в залежності від рівня захищеності ІС, який потрібно забезпечити, її приналежності (комерційна організація або державна установа), а також призначення (фінанси, промисловість, зв'язок і т. ін.). Від аудитора в даному випадку потрібно правильно визначити набір вимог стандарту, відповідність яким потрібно забезпечити.

Третій підхід, найбільш ефективний, припускає комбінування двох перших. Базовий набір вимог безпеки, що пред'являються до ІС, визначається стандартом. Додаткові вимоги, в максимальному ступені враховують особливості функціонування даної ІС, формуються на основі аналізу ризиків.

Рекомендації, що видаються аудитором за результатами аналізу стану ІС, визначаються використовуваним підходом, особливостями обстежуваної ІС, станом справ з безпекою і ступенем деталізації, що використовується при проведенні аудиту. У будь-якому випадку, рекомендації аудитора повинні бути конкретними і застосовними до даної ІС, економічно обґрунтованими, аргументованими (підкріпленими результатами аналізу) і відсортованими за ступенем важливості. При цьому заходи щодо забезпечення захисту організаційного рівня практично завжди мають пріоритет над конкретними програмно—технічними методами захисту. У той же час не варто чекати від аудитора, як результату проведення аудиту, видачі технічного проекту підсистеми інформаційної безпеки, або детальних рекомендацій щодо впровадження конкретних програмно—технічних засобів захисту інформації. Це вимагає більш детального опрацювання конкретних питань організації захисту, хоча внутрішні аудитори можуть брати в цих роботах найактивнішу участь.

Аудиторський звіт є основним результатом проведення аудиту. Його якість характеризує якість роботи аудитора. Він повинен, принаймні, містити опис цілей проведення аудиту, характеристику обстежуваної ІС, вказівку меж проведення аудиту і використовуваних методів, результати аналізу даних аудиту, висновки, що узагальнюють ці результати та містять оцінку рівня захищеності АС або відповідність її вимогам стандартів, і, звичайно, рекомендації аудитора по усуненню наявних недоліків і вдосконалення системи захисту.

Серед українських аудитових компаній, Державне підприємство «Українські спеціальні системи» пропонує проводити аудит інформаційної безпеки на об'єктах інформаційної діяльності замовника, з метою визначення стану захищеності ІС та/або ІТС, засобами якої обробляється конфіденційна чи інша критична інформація Замовника, а також відповідності ІС та/або ІТС стандартам та нормативним документам в державному, комерційному та банківському секторі. Аудит ІС та/або ІТС проводиться на відповідність вимогам:

• Нормативних документів у галузі технічного захисту інформації України (НД ТЗІ).
• ISO/IEC 27001:2005.
• PCI DSS[4].

• Бармен Скотт. Розробка правил інформаційної безпеки. М.: Вільямс, 2002. — 208 с. — ISBN 5-8459-0323-8, ISBN 1-57870-264-X.
• Семененко Ст. А. Інформаційна безпека: Навчальний посібник. — М.: МГИУ, 2004—215 с. — ISBN 5-8459-0323-8, ISBN 1-57870-264-X.

Інформаційна безпека інформаційно-комунікаційних систем: навчальний посібник. Лабораторний практикум. Частина 2. Комплекси технічного захисту інформації

• Федеральний закон Російської Федерації від 27 липня 2006 року N 149-ФЗ " Про інформацію, інформаційні технології і про захист інформації
• Стандарт Банку Росії: «Забезпечення інформаційної безпеки організацій банківської системи Російської Федерації. Аудит інформаційної безпеки СТО БР ІББС-1.1-2007»