Információbiztonsági audit

Az információbiztonsági audit  olyan szisztematikus folyamat, amelynek során objektív minőségi és mennyiségi értékelést készítenek egy automatizált rendszer információbiztonsági állapotáról bizonyos kritériumok és biztonsági mutatók alapján.

Az információbiztonság [1] az információs források megőrzésének állapota, valamint az egyén és a társadalom  törvényes jogainak védelme az információs szférában .

Az audit lehetővé teszi az információs rendszer működésének jelenlegi biztonságának felmérését, a kockázatok felmérését és előrejelzését, a vállalat üzleti folyamataira gyakorolt ​​hatásuk kezelését, az információs eszközei biztonságának biztosításának kérdését helyesen és ésszerűen megközelítve, a stratégiai fejlesztést. tervek, marketing programok, pénzügyi és számviteli kimutatások, vállalati adatbázisok tartalma. Végső soron egy jól lefolytatott információs rendszer biztonsági auditja maximalizálja a cég biztonsági rendszerének kiépítésébe és karbantartásába fordított befektetések megtérülését.

A fő tevékenységek az információbiztonsági audit területén

Az információbiztonsági audit fő irányai a következőkben részletezik: tanúsítás; információbiztonsági ellenőrzés; oltalom alatt álló formatervezési mintában szereplő tárgyak műszaki eszközeinek és tervezésének speciális tanulmányai [2] .

1. Informatizálási objektumok tanúsítása az információbiztonsági követelmények szerint:
   • automatizált rendszerek, kommunikációs eszközök tanúsítása, információfeldolgozás és -továbbítás ;
   • bizalmas tárgyalások lefolytatására szolgáló helyiségek tanúsítása;
   • a kijelölt helyiségekben felszerelt műszaki eszközök tanúsítása.
2. A korlátozott hozzáférésű információk biztonsági ellenőrzése:
   • az információszivárgás technikai csatornáinak és az ahhoz való jogosulatlan hozzáférés módszereinek azonosítása ;
   • az alkalmazott információvédelmi eszközök hatékonyságának nyomon követése.
3. A hamis elektromágneses sugárzás és a hangszedők (PEMIN) jelenlétére vonatkozó műszaki eszközök speciális vizsgálatai :
   • személyi számítógépek, kommunikációs és információfeldolgozási eszközök;
   • helyi számítástechnikai rendszerek;
   • a kutatási eredmények nyilvántartásba vétele az FSB és az FSTEC követelményeivel összhangban.
4. Objektumok tervezése biztonságos kivitelben:
   • az információbiztonság fogalmának fejlesztése;
   • automatizált rendszerek, kommunikációs eszközök tervezése, információfeldolgozás és -továbbítás biztonságos kivitelben;
   • bizalmas tárgyalások lefolytatására szolgáló helyiségek tervezése.

Az ellenőrzés típusai és céljai

Különbséget kell tenni külső és belső ellenőrzés között.

A külső audit főszabály szerint a szervezet vezetésének vagy részvényeseinek kezdeményezésére végrehajtott egyszeri esemény. A külső audit rendszeres elvégzése javasolt (és számos pénzintézetnél és részvénytársaságnál kötelező).

A belső ellenőrzés olyan folyamatos tevékenység, amely dokumentum, általában „Belső Ellenőrzési Szabályzat” alapján, terv szerint zajlik, amelynek elkészítését a belső ellenőrzési egység végzi, és jóváhagyja a belső ellenőrzési egység. a szervezet vezetése. Az információs rendszerek biztonsági auditja az IT audit komponensek egyike.

A biztonsági audit céljai a következők: — Objektív bizonyítékok beszerzése, az IP-erőforrások elleni biztonsági fenyegetések megvalósításának lehetőségével kapcsolatos kockázatok elemzése; — az IS biztonság jelenlegi szintjének értékelése; — a szűk keresztmetszetek lokalizálása az IP-védelmi rendszerben; - annak értékelése, hogy az IS megfelel-e az információbiztonság területén meglévő szabványoknak; — ajánlások kidolgozása új IS biztonsági mechanizmusok bevezetésére és a meglévő IS biztonsági mechanizmusok hatékonyságának javítására.

A SIS incidensekről szóló, a Könyvvizsgálónak benyújtott jelentéseknek dokumentációt kell tartalmazniuk az ún. "gyenge pontok" NIB.

A belső ellenőrt terhelő további feladatok között a külső ellenőrök segítése mellett az alábbiak is szerepelhetnek: - az információ védelmét szolgáló biztonsági szabályzatok és egyéb szervezeti és adminisztratív dokumentumok kidolgozása, valamint ezek végrehajtásában való részvétel a szervezet munkájában; - az informatikusok számára az információvédelem biztosításával kapcsolatos feladatok meghatározása; — részvétel az IS-felhasználók és a karbantartó személyzet információbiztonsági kérdésekkel kapcsolatos képzésében; — részvétel az információbiztonság megsértésével kapcsolatos események elemzésében; - egyéb feladatok.

A biztonsági audit legfontosabb lépései

Az IP-biztonsági auditálási munka több egymást követő szakaszból áll, amelyek általában megfelelnek egy automatizált rendszer átfogó informatikai auditjának szakaszainak, amely magában foglalja:

• az ellenőrzési eljárás megindítása;
• ellenőrzési információk gyűjtése;
• ellenőrzési adatok elemzése ;
• ajánlások megfogalmazása;
• könyvvizsgálói jelentés elkészítése.

Az ellenőrzési eljárás megindításának szakaszában a következő szervezeti kérdéseket kell megoldani:

1. a könyvvizsgáló jogait és kötelezettségeit munkaköri leírásában, valamint a belső (külső) ellenőrzésről szóló szabályzatban egyértelműen meg kell határozni és dokumentálni kell;
2. a könyvvizsgálónak audittervet kell készítenie és egyeztetnie kell a vezetéssel;
3. A belső ellenőrzésről szóló rendeletben különösen elő kell írni, hogy a társaság munkavállalói kötelesek a könyvvizsgálót segíteni, és az ellenőrzéshez szükséges valamennyi információt megadni.

Az ellenőrzési eljárás megindításának szakaszában meg kell határozni a felmérés határait. Az ellenőrzés tervét és határait munkaértekezleten vitatják meg, amelyen részt vesznek a könyvvizsgálók, a cégvezetés és a strukturális osztályok vezetői.

Az ellenőrzési információk gyűjtésének szakasza a legösszetettebb és leghosszabb. Ennek oka elsősorban az információs rendszerhez szükséges dokumentáció hiánya, valamint a könyvvizsgáló és a szervezet számos tisztviselője közötti szoros együttműködés szükségessége.

Az információbiztonsággal rendelkező társaság helyzetére vonatkozóan a könyvvizsgáló csak akkor tud kompetens következtetést levonni, ha az elemzéshez szükséges összes kiindulási adat rendelkezésre áll. Az ellenőrzési felmérés első tétele az IS-felhasználók és szolgáltatási egységek szervezeti felépítésére vonatkozó információk megszerzésével kezdődik. Az IS célja és működési elvei nagymértékben meghatározzák a rendszer fennálló kockázatait és biztonsági követelményeit. Ezenkívül a könyvvizsgálónak részletesebb információra van szüksége az IP szerkezetéről. Ez lehetővé teszi annak megértését, hogyan történik a biztonsági mechanizmusok elosztása az IS szerkezeti elemei és működési szintjei szerint.

Az ellenőrök által használt adatelemzési módszereket a választott ellenőrzési megközelítések határozzák meg, amelyek jelentősen eltérhetnek.

Az első , a legösszetettebb megközelítés a kockázatelemzésen alapul. A kockázatelemzési módszerek alapján az ellenőr a vizsgált IS-re egyedi biztonsági követelményrendszert határoz meg, amely a legjobban figyelembe veszi ezen IS jellemzőit, működési környezetét és a környezetben fennálló biztonsági fenyegetéseket.

A második , a legpraktikusabb megközelítés az információbiztonsági szabványok használatán alapul. A szabványok alapvető biztonsági követelményrendszert határoznak meg az IS széles osztályára vonatkozóan, amely a világgyakorlat általánossá válása eredményeként alakul ki. A szabványok különböző biztonsági követelményeket határozhatnak meg, a biztosítandó IP-biztonság szintjétől, annak tulajdonától (kereskedelmi szervezet vagy kormányzati szerv) és céljától (pénzügy, iparág, kommunikáció stb.) függően. A könyvvizsgáló ebben az esetben köteles helyesen meghatározni a szabvány követelményrendszerét, amelynek betartását biztosítani kell.

A harmadik , a leghatékonyabb megközelítés az első kettő kombinációját foglalja magában. Az IS alapvető biztonsági követelményrendszerét a szabvány határozza meg. A jelen IS működésének sajátosságait maximálisan figyelembe vevő további követelmények kockázatelemzés alapján alakulnak ki.

A könyvvizsgáló által az IP állapotelemzés eredményei alapján kiadott ajánlásokat az alkalmazott megközelítés, a vizsgált IP jellemzői, az információbiztonság helyzete és az audit során alkalmazott részletezettség határozza meg. A könyvvizsgálói ajánlásoknak minden esetben konkrétnak és erre az IS-re alkalmazhatónak, gazdaságilag indokoltnak, indokoltnak (az elemzés eredményeivel alátámasztott) és fontosság szerint rendezettnek kell lenniük. Ugyanakkor a szervezeti szintű védelmet biztosító intézkedések szinte mindig elsőbbséget élveznek a konkrét szoftveres és hardveres védelmi módszerekkel szemben. Ugyanakkor naivitás elvárni a könyvvizsgálótól az ellenőrzés eredményeként az információbiztonsági alrendszer műszaki projektjének kiadását, vagy konkrét szoftver és hardver információvédelmi eszközök megvalósítására vonatkozó részletes ajánlásokat. Ez megköveteli a védelem szervezés konkrét kérdéseinek részletesebb tanulmányozását, bár a belső ellenőrök aktívan részt vehetnek ezekben a munkákban.

Az ellenőrzés fő eredménye az ellenőrzési jelentés. Minősége jellemzi a könyvvizsgálói munka minőségét. Tartalmaznia kell legalább az ellenőrzés céljainak leírását, a vizsgált IS leírását, az ellenőrzés határainak és az alkalmazott módszerek megjelölését, az ellenőrzési adatok elemzésének eredményeit, ezen eredményeket összefoglaló következtetéseket, ill. tartalmazza az AU biztonsági szintjének vagy a szabványok követelményeinek való megfelelésének értékelését, és természetesen az auditor ajánlásait a meglévő hiányosságok kiküszöbölésére és a védelmi rendszer javítására.

Jegyzetek

1. ↑ Biztonság: elmélet, paradigma, fogalom, kultúra. Szótár-hivatkozás  (hozzáférhetetlen hivatkozás)  (2016-06-14-től [2329 nap] elérhetetlen hivatkozás) / Szerző-összeáll. V. F. Pilipenko professzor. 2. kiadás, add. és átdolgozták. — M.: PER SE-Press, 2005.
2. ↑ Yarochkin V.I. Információbiztonság: Tankönyv diákoknak - M .: Akadémiai projekt; Gaudeamus, 2. kiadás, - 2004. - 544 p.

Irodalom

• Scott csapos . Információbiztonsági szabályok kialakítása. M.: Williams, 2002. - 208 p. — ISBN 5-8459-0323-8 , ISBN 1-57870-264-X .
• Semenenko V. A. Információbiztonság: Tankönyv. — M.: MGIU, 2004—215 p. — ISBN 5-8459-0323-8 , ISBN 1-57870-264-X .

Linkek

• Az Orosz Föderáció 2006. július 27-i N 149-FZ szövetségi törvénye az információról, az információs technológiákról és az információvédelemről
• Az Oroszországi Bank szabványa: „Az Orosz Föderáció bankrendszerének szervezeteinek információbiztonságának biztosítása. Az STO BR IBBS-1.1-2007 információbiztonsági auditja"