Как проводится аудит безопасности информационных систем

Информационные системы (ИС) – информационные, технические и человеческие ресурсы, которые задействованы в работе с данными внутри одной организации. Используются такие системы как в личных целях, так и на любых производствах, в государственных и коммерческих структурах. Для контроля, своевременного предупреждения и устранения возможных поломок, вторжения и утечки данных, а также для оценки работоспособности ИС необходимо периодически проводить ее исследование – аудит.

Цели аудита

Аудит безопасности информационных систем – процесс, результатом которого является ряд оценок фактического состояния отдельно взятой ИС и ее соответствия установленным нормам информационной безопасности. В нормы входит определенная совокупность параметров, согласно которым обеспечивается сохранение информационных ресурсов, а также и права лиц, взаимодействующих внутри информационной системы.

Среди главных целей аудита можно выделить следующие:

• оценка соответствия конкретной ИС нормам информационной безопасности;
• получение объективных данных о слабых местах ИС, анализ угроз и рисков;
• обнаружение слабых мест ИС, оценка их поврежденности, формирование рекомендаций по дальнейшей работе с ними;
• разработка общих рекомендаций по повышению эффективности действующих защитных систем.

В процессе исследования ИС оценивается максимальное количество параметров. Именно в результате проверки удается оценить не только текущую безопасность, но и возможные будущие риски. Это позволяет не только защитить систему и ее пользователей, но бизнес-процессы, корпоративные данные, различные документы особой важности, включая бухгалтерию, финансы и подобные данные.

Ключевые этапы

Выделяют 4 основных этапа аудита безопасности ИС:

1. общая оценка ИС (аттестация);
2. проверка защищенности данных;
3. исследование оборудования;
4. проектирование параметров ИС в защищенном формате.

Общая оценка ИС (аттестация)

На данном этапе проверяется соответствие всех компонентов информационной системы:

• технические средства, используемые для работы с данными внутри конкретной информационной системы;
• все помещения, в которых размещены все технические средства, включая персональные компьютеры;
• отдельные технические средства и устройства.

Проверка защищенности данных

В процессе аудита безопасности информационных систем проводятся мероприятия по выявлению защищенности каналов передачи данных и надежность используемых методов защиты и доступности информации:

• поиск и обнаружение возможных каналов утечки данных;
• выявление способов доступа к данным в обход защитных систем;
• оценка эффективности используемых средств защиты данных ИС.

Исследование оборудования

В процессе оценки имеющегося оборудования проверяется не только его надежность в хранении, обработке и передачи информации, но и безопасность для пользователей и окружающей среды. Сюда в первую очередь входит оценка электромагнитного излучения. Кроме этого проводится проверка на соответствие оборудования нормам, установленным ФСБ и ФСТЭК. Проверяются как общедоступные, так и персональные устройства используемые внутри ИС.

Проектирование параметров ИС в защищенном формате

На этапе проектирования предлагается модель безопасной ИС. В проекте учитываются все необходимые параметры:

• автоматизированные системы;
• средства связи;
• методы работы с данными в защищенном исполнении;
• проектирование помещений, где планируются особо конфиденциальные переговоры.

Виды аудита

Аудит безопасности информационных систем может носить как внешний, так и внутренний характер.

Мероприятия по внешнему аудиту инициируются руководством и проводятся периодически. Полный внешний аудит проводить рекомендуется минимум один раз в год. Для этого привлекаются сторонние проверяющие организации. По итогам проверки составляются рапорты на каждое выявленное нарушение безопасности ИС и даются рекомендации по их устранению.

К мероприятиям внутреннего аудита относится непрерывная деятельность по защите ИС. Регламентируется такая деятельность положением о внутреннем аудите. Перед введением положение утверждается руководителем организации. Ответственным за процесс непрерывного внутреннего аудита обычно назначается ИТ-отдел.

В задачи ответственных за внутренний аудит лиц обычно входят:

• разработка и внедрение правил и мероприятий по обеспечению информационной безопасности;
• постановка и контроль задач по обеспечению информационной безопасности отдельным сотрудникам ИТ-отдела или другим ответственным за информационную безопасность лицам;
• проведение обучения и инструктажа по информационной безопасности всех причастных к ИС сотрудников;
• разбор и устранение последствий инцидентов, произошедших внутри информационной системы.

Основные этапы аудита безопасности

Чтобы не упустить ни одного важного компонента, аудит безопасности информационных систем проводится по определенному алгоритму. Основными этапами комплексной проверки безопасности являются:

• инициирование внешнего или внутреннего аудита;
• сбор информации;
• анализ полученных в результате проверки данных;
• подготовка отчета по итогам аудита.

Инициирование аудита

Инициирование аудита по своей сути является подготовкой к самой проверке ИС. На этом этапе важно решить следующие задачи:

• Определить права и обязанности проверяющего – аудитора. Все должно быть закреплено документально в приказе о назначении, должностной инструкции назначенного лица и положении об аудите. Важно документально закрепить информацию, что остальные сотрудники обязаны всячески содействовать проведению аудита, своевременно предоставлять необходимую информацию, не препятствовать доступу аудитора к компьютерам и другой технике.
• Аудитор перед началом проверки должен составить и утвердить с руководством план мероприятий.
• На рабочем совещании при участии аудитора, руководителя организации и каждого из ответственных за отдельные подразделения определяются границы будущего исследования.

Сбор информации

Сбор информации – самый длительный и трудоемкий процесс. Именно на этом этапе и проводятся основные мероприятия аудита. Исчерпывающие выводы по итогам проверки аудитор может дать только при наличии всех необходимых данных. Довольно распространенная, осложняющая процесс, ситуация – отсутствие необходимой документации, описывающий все процессы внутри отдельной информационной системы.

Сбор необходимых данных также проводится по определенному алгоритму:

• Изначально аудитору требуются данные обо всех пользователях информационной системы.
• Далее необходимо изучить основные принципы работы самой ИС, принципы ее функционирования, требования к безопасности и уже имеющиеся угрозы и риски. Благодаря этим данным можно определить как именно осуществляется обеспечение безопасности конкретной информационной системы в целом и по отдельным структурным подразделениям.

Анализ данных

Анализ собранной в процессе аудита информации осуществляется при помощи одного из трех методов:

1. Анализ рисков. Метод предполагает разработку ряда требований безопасности для конкретной информационной системы. Этот анализ проводится на базе особенностей исследуемой ИС. Здесь учитываются обнаруженные угрозы и риски, а также отдельные особенности системы.
2. Стандарты. Этот метод считается самым практичным, ибо базируется он на утвержденных общих стандартах информационной безопасности. Таким образом ИС проверяется на соответствие нормативам в зависимости от ее назначения, например, промышленность, финансы, связь и т. д. В процессе исследования аудитор определяет подходящий комплекс стандартов и проверяет систему на соответствие.
3. Комбинированный метод. Здесь используются оба обозначенных выше метода. Этот анализ считается самым эффективным. В процессе исследования учитываются и соответствие системы основным требованиям безопасности, и на основании уже имеющихся рисков определяются дополнительные.

Отчет по итогам проведенного аудита

Итогом аудита безопасности информационных систем должен быть подробный отчет о проделанной работе плюс рекомендации по устранению обнаруженных проблем. Аудитор на основании используемых методов исследования определяет фактическое состояние безопасности ИС и детально расписывает все возможные имеющиеся и будущие угрозы, а также необходимые рекомендации для устранения обнаруженных проблем. Однако это совсем не значит, что в отчете будут указаны конкретные программно-технические средства устранения обнаруженных проблем.

В отчете указываются следующие данные:

• цели проведения исследования;
• характеристика исследуемой информационной системы;
• обозначение методов, применяемых в исследовании ИС;
• границы аудита;
• оценка текущего состояния ИС, ее соответствие требованиям стандартов безопасности;
• рекомендации по устранению обнаруженных угроз и по совершенствованию защиты ИС.

Ведение деятельности любой формы собственности подразумевает наличие информационных систем, которые должны соответствовать определенным нормам безопасности. Для поддержания ИС в надлежащем состоянии необходимо регулярно проводить ряд мероприятий как самими сотрудниками организации, так и привлекать специалистов со стороны. Внутренний аудит должен быть постоянным. Внешние исследования безопасности информационных систем рекомендуется проводить не реже одного раза в год. Это позволит защитить данные от утечки, а саму систему поддерживать в работоспособном состоянии.