Инициирование процедуры аудита. Аудит информационной безопасности проводится в соответствии с общепринятыми

Аудит информационной безопасности проводится в соответствии с общепринятыми мировыми практиками проведения аудитов информационных систем. При проведении аудита могут использоваться международные и российские стандарты и методологии в области информационных технологий и информационной безопасности: ISO 27001 (ГОСТ Р ИСО/МЭК 27001-2006), ISO 27002 (ГОСТ Р ИСО/МЭК 17799-2005), ISO 20000 (ГОСТ Р ИСО/МЭК 20000-2010), NIST 800-30, NIST 800-53, СObIT 4.1, ITILv3

Понятие аудита безопасности и цели его проведения

Аудит представляет собой независимую экспертизу отдельных областей функционирования организации.

Различают внешний и внутренний аудит.

Внешний аудит – это, как правило, разовое мероприятие, проводимое по инициативе руководства организации или акционеров. Рекомендуется проводить внешний аудит регулярно, а, например, для многих финансовых организаций и акционерных обществ это является обязательным требованием. Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании «Положения о внутреннем аудите» и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации.

Аудит безопасности информационных систем является одной из составляющих ИТ аудита.

Целями проведения аудита безопасности являются:

· анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС

· оценка текущего уровня защищенности ИС;

· локализация узких мест в системе защиты ИС;

· оценка соответствия ИС существующим стандартам в области информационной безопасности;

· выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.

Примечание:

Пожалуй, этим и исчерпывается набор целей проведения аудита безопасности, но только в том случае, если речь идет о внешнем аудите. В число дополнительных задач, стоящих перед внутренним аудитором, помимо оказания помощи внешним аудиторам, могут также входить:

· разработка политик безопасности и других организационно-распорядительных документом по защите информации и участие в их внедрении в работу организации;

· постановка задач для ИТ персонала, касающихся обеспечения защиты информации;

· участие в обучении пользователей и обслуживающего персонала ИС вопросам обеспечения информационной безопасности;

· участие в разборе инцидентов, связанных с нарушением информационной безопасности;

· и другие.

Необходимо отметить, что все перечисленные выше «дополнительные» задачи, стоящие перед внутренним аудитором, за исключением участия в обучении, по существу аудитом не являются.

Аудитор по определению должен осуществлять независимую экспертизу реализации механизмов безопасности в организации, что является одним из основных принципов аудиторской деятельности. Если аудитор принимает деятельное участие в реализации механизмов безопасности, то независимость аудитора утрачивается, а вместе с ней утрачивается и объективность его суждений, т. к. аудитор не может осуществлять независимый и объективных контроль своей собственной деятельности. Однако, на практике, внутренний аудитор, порой, являясь наиболее компетентным специалистом в организации в вопросах обеспечения информационной безопасности, не может оставаться в стороне от реализации механизмов защиты. (А если он таким специалистам не является, то какая от него может быть практическая польза?) К тому же почти всегда существует дефицит квалифицированных кадров именно в этой области.

По крайней мере, деятельное участие во внедрении той же подсистемы аудита безопасности, которая смогла бы предоставлять аудитору исходные данные для анализа текущей ситуации, он принять может и должен. Конечно, в этом случае, аудитор уже не сможет объективно оценить реализацию этот подсистемы и она естественным образом выпадает из плана проведения аудита. Точно также, внутренний аудитор может принять деятельное участие в разработке политик безопасности, предоставив возможность оценивать качество этих документов внешним аудиторам.

Этапность работ по проведению аудита безопасности информационных систем

Работы по аудиту безопасности ИС включают в себя ряд последовательных этапов, которые в целом соответствуют этапам проведения комплексного ИТ аудита АС, который включает в себя следующее:

· Инициирование процедуры аудита

· Сбор информации аудита

· Анализ данных аудита

· Выработка рекомендаций

· Подготовка аудиторского отчета

Инициирование процедуры аудита

Аудит проводится не по инициативе аудитора, а по инициативе руководства компании, которое в данном вопросе является основной заинтересованной стороной. Поддержка руководства компании является необходимым условием для проведения аудита.

Аудит представляет собой комплекс мероприятий, в которых помимо самого аудитора, оказываются задействованными представители большинства структурных подразделений компании.Действия всех участников этого процесса должны быть скоординированы. Поэтому на этапе инициирования процедуры аудита должны быть решены следующие организационные вопросы:

· права и обязанности аудитора должны быть четко определены и документально закреплены в его должностных инструкциях, а также в положении о внутреннем (внешнем) аудите;

· аудитором должен быть подготовлен и согласован с руководством план проведения аудита;

· в положении о внутреннем аудите должно быть закреплено, в частности, что сотрудники компании обязаны оказывать содействие аудитору и предоставлять всю необходимую для проведения аудита информацию.

На этапе инициирования процедуры аудита должны быть определены границы проведения обследования. Одни информационные подсистемы компании не являются достаточно критичными и их можно исключить из границ проведения обследования. Другие подсистемы могут оказаться недоступными для аудита из-за соображений конфиденциальности.

Границы проведения обследования определяются в следующих терминах:

· Список обследуемых физических, программных и информационных ресурсов;

· Площадки (помещения), попадающие в границы обследования;

· Основные виды угроз безопасности, рассматриваемые при проведении аудита;

· Организационные (законодательные, административные и процедурные), физические, программно-технические и прочие аспекты обеспечения безопасности, которые необходимо учесть в ходе проведения обследования, и их приоритеты (в каком объеме они должны быть учтены).

План и границы проведения аудита обсуждается на рабочем собрании, в котором участвуют аудиторы, руководство компании и руководители структурных подразделений.