Многие предприниматели стараются сохранить тайну своей компании в тайне. Поскольку на дворе эпоха высоких технологий, сделать это достаточно сложно. Обезопасить себя от утечки корпоративной и личной информации стараются практически все, но не секрет, что профессионалу не составит труда найти нужные данные. На данный момент существует довольно много методов, защищающих от подобных атак. Но для проверки эффективности такой системы безопасности необходимо провести аудит информационной безопасности.
Что такое аудит?
Согласно Федеральному закону «Об аудиторской деятельности» проверка включает в себя различные способы и приемы, а также практическое осуществление проверок. Применительно к информационной безопасности компании – это независимая оценка состояния системы, а также уровня соответствия установленным требованиям. Проверки проводятся в отношении бухгалтерской и фискальной информации, хозяйственного обеспечения и финансово-хозяйственной деятельности.
Для чего нужна такая проверка?
Некоторые считают такую деятельность пустой тратой денег. Однако, своевременно выявляя проблемы в этом секторе, можно предотвратить еще большие экономические потери. Целями аудита информационной безопасности являются:
- определить уровень защиты и довести его до необходимого уровня;
- решение финансового вопроса в части обеспечения конфиденциальности организации;
- продемонстрировать целесообразность инвестирования в этот сектор;
- получить максимальную выгоду от затрат на безопасность;
- подтверждение эффективности внутренних сил, средств контроля и их отражение в ведении бизнеса.
Как производится проверка информационной безопасности на предприятии?
Комплексный аудит информационной безопасности проводится в несколько этапов. Процесс делится на организационный и инструментальный. В рамках обеих частей комплекса изучается защищенность корпоративной информационной системы клиента, с целью последующего определения соответствия установленным стандартам и требованиям. Проведение аудита информационной безопасности делится на следующие этапы:
- Определение требований заказчика и объема работ.
- Изучите необходимые материалы и сделайте выводы.
- Анализ возможных рисков.
- Заключение экспертизы о проведенной работе и вынесение соответствующего вердикта.
Что входит в первый этап аудита информационной безопасности?
Программа аудита информационной безопасности начинается именно с уточнения необходимого клиенту объема работ. Клиент выражает свое мнение и цель, преследуя которую он запрашивает экспертное заключение.
На этом этапе начинается проверка общих данных, предоставленных клиентом. В нем описываются используемые методы и запланированный набор мероприятий.
Основная задача на этом этапе – поставить конкретную цель. Клиент и организация, проводящая аудит, должны понимать друг друга, договариваться о едином мнении. После этого формируется комиссия, в которой отбираются соответствующие специалисты. Требуемое техническое задание также согласовывается отдельно с заказчиком.
Казалось бы, это событие должно лишь обрисовать состояние системы, защищающей от информационных атак. Но окончательные результаты проверки могут быть разными. Некоторых интересует исчерпывающая информация о работе группы защиты клиентов, а других интересует только эффективность отдельных ИТ-линий. Выбор методов и средств оценки зависит от требований. Постановка целей влияет и на дальнейший ход работы экспертной комиссии.
Кстати, рабочая группа состоит из специалистов двух организаций: компании, проводящей аудит, и сотрудников проверяемой организации. Ведь именно последние, как никто другой, знают сложности своего учреждения и могут предоставить всю информацию, необходимую для всесторонней оценки. Они же осуществляют своеобразный контроль за работой сотрудников компании-исполнителя. Ваше мнение также учитывается при подведении итогов аудита.
Специалисты фирмы, осуществляющей аудит информационной безопасности компании, занимаются изучением тематических направлений. Они, обладая должным уровнем квалификации, а также независимым и непредвзятым мнением, могут более точно оценить состояние работы средств защиты. Специалисты осуществляют свою деятельность в соответствии с планом работы и поставленными задачами. Они разрабатывают техпроцессы и согласовывают между собой полученные результаты.
Техническое задание четко устанавливает цели работы аудиторской организации, определяет методы ее осуществления. Также подробно расписано время проведения аудита, возможно даже, что каждый этап имеет свой срок.
На этом этапе также устанавливается контакт со службой безопасности проверяемого учреждения. Аудиторская организация берет на себя обязательство не разглашать результаты аудита.
Как происходит реализация второго этапа?
Аудит информационной безопасности компании на втором этапе представляет собой подробный сбор информации, необходимой для оценки. Для начала рассматривается общий комплекс мер, которые направлены на реализацию политики конфиденциальности.
Так как большая часть данных сейчас дублируется в электронном виде или вообще компания осуществляет свою деятельность только с помощью информационных технологий, проверке также подвергаются программные средства. Обсуждается также обеспечение физической безопасности.
На этом этапе специалисты занимаются анализом и оценкой того, как обеспечивается и проверяется информационная безопасность в учреждении. Для этого может быть проанализирована организация работы системы защиты, а также технические возможности и условия ее обеспечения. Последнему пункту уделяется особое внимание, так как мошенники часто находят дыры в защите через техническую часть. По этой причине отдельно рассматриваются следующие моменты:
- структура программного обеспечения;
- настройка серверов и сетевых устройств;
- механизмы конфиденциальности.
Аудит информационной безопасности компании на данном этапе завершается подведением итогов и оформлением результатов проведенной работы в виде отчета. Именно документально оформленные выводы составляют основу для реализации следующих этапов проверки.
Как анализируются возможные риски?
Аудит информационной безопасности организаций также проводится с целью выявления реальных угроз и их последствий. В конце этого этапа должен быть сформирован перечень мероприятий, которые предотвратят или хотя бы сведут к минимуму возможность информационных атак.
Во избежание нарушения конфиденциальности необходимо проанализировать отчет, полученный в конце предыдущего шага. Благодаря этому можно определить, возможно ли реальное вторжение в пространство компании. Выносится вердикт о надежности и работоспособности существующих технических средств защиты.
Поскольку у всех организаций разные направления работы, список требований безопасности не может быть одинаковым. Для проверяемого учреждения список разрабатывается индивидуально.
На этом этапе также выявляются слабые места, клиент получает данные о возможных злоумышленниках и непосредственных угрозах. Последнее необходимо для того, чтобы знать, с какой стороны ждать подвоха и уделить этому больше внимания.
Клиенту также важно знать, насколько эффективными окажутся нововведения и результаты работы экспертной комиссии.
Анализ возможных рисков преследует следующие цели:
- классификация источников информации;
- выявление уязвимых моментов рабочего процесса;
- прототип возможного мошенника.
Анализ и аудит позволяют определить, насколько успешны информационные атаки. Для этого оценивается критичность слабых мест и способы их использования в противоправных целях.
В чем заключается последний этап аудита?
Заключительный этап характеризуется письменным изложением результатов работы. Полученный документ называется аудиторским заключением. Это подкрепляет вывод об общем уровне безопасности аудируемого предприятия. Отдельно идет описание эффективности системы информационных технологий в отношении безопасности. В отчете также представлены рекомендации по потенциальным угрозам и представлена модель потенциального злоумышленника. Он также предписывает возможность несанкционированного проникновения из-за внутренних и внешних факторов.
Стандарты аудита информационной безопасности позволяют не только оценивать состояние, но и давать рекомендации экспертной комиссии по принятию необходимых мер. Именно специалисты провели комплексную работу, проанализировали информационную инфраструктуру и могут сказать, что нужно делать для защиты от кражи информации. Они укажут места, которые необходимо усилить. Эксперты также предоставляют рекомендации по технологиям, т е оборудованию, серверам и брандмауэрам.
Рекомендации — это изменения, которые следует внести в конфигурацию сетевых устройств и серверов. Возможно, инструкции касаются непосредственно методов, выбранных для обеспечения безопасности. При необходимости специалисты назначат комплекс мер, направленных на дальнейшее укрепление механизмов, обеспечивающих защиту.
Компания также должна провести специальную разъяснительную работу, разработать политику, направленную на конфиденциальность. Возможно, должны быть реформы в отношении службы безопасности. Важным моментом является нормативно-техническая база, которая обязана закрепить положения о безопасности компании. Команда должна быть правильно проинструктирована. Сферы влияния и возложенная ответственность разделены между всеми сотрудниками. Если применимо, лучше всего пройти курс повышения квалификации команды в области информационной безопасности.
Какие существуют виды аудита?
Аудит информационной безопасности предприятия может быть двух типов. В зависимости от источника этого процесса можно выделить следующие виды:
- Внешняя форма. Отличается тем, что является одноразовым. Второй его особенностью является то, что он подготовлен независимыми и беспристрастными экспертами. Если оно носит рекомендательный характер, то производится по приказу руководителя учреждения. В некоторых случаях внешний аудит является обязательным. Это может быть связано с типом организации, а также с чрезвычайными обстоятельствами. В последнем случае инициаторами такого контроля, как правило, выступают правоохранительные органы.
- Внутренняя форма. Он основан на специальном положении, которое предписывает проведение аудита. Внутренний аудит информационной безопасности необходим для постоянного мониторинга системы и выявления уязвимостей. Это перечень действий, которые осуществляются в определенный период времени. Для этой работы часто создается специальный отдел или уполномоченный сотрудник. Диагностирует состояние средств защиты.
Как проводится активный аудит?
В зависимости от цели, которую преследует клиент, выбираются и методы аудита информационной безопасности. Одним из наиболее распространенных способов изучения уровня безопасности является активный аудит. Это постановка настоящей хакерской атаки.
Преимущество этого метода в том, что он позволяет максимально реалистично смоделировать возможность возникновения угрозы. Благодаря активному одитингу можно понять, как будет развиваться подобная ситуация в жизни. Этот метод также называют инструментальным анализом безопасности.
Суть активного аудита заключается в осуществлении (с помощью специального программного обеспечения) попытки несанкционированного проникновения в информационную систему. При этом средства защиты должны находиться в состоянии полной готовности. Благодаря этому есть возможность оценить свою работу в таком случае. Человеку, осуществляющему искусственную хакерскую атаку, предоставляется минимум информации. Это необходимо для воссоздания максимально реалистичных условий.
Они пытаются подвергнуть систему как можно большему количеству атак. С помощью разных методов можно оценить те способы взлома, которым система наиболее подвержена. Это, конечно, зависит от квалификации специалиста, выполняющего эту работу. Но ваши действия не должны носить деструктивный характер.
Одним словом, эксперт формирует отчет о слабых местах системы и наиболее доступной информации. Он также предоставляет рекомендации по возможным обновлениям, чтобы убедиться, что безопасность обновлена до необходимого уровня.
В чем заключается экспертный аудит?
Также проводится аудит информационной безопасности для определения соответствия фирмы установленным требованиям. Пример такой задачи можно увидеть в экспертном методе. Он состоит из сравнительной оценки с исходными данными.
Эта идеальная работа группы защиты может основываться на нескольких источниках. Клиент сам может предъявлять требования и ставить задачи. Руководителю бизнеса может потребоваться узнать, насколько уровень безопасности его организации отличается от желаемого уровня.
Прототип, по которому будет проводиться бенчмарк, может быть общепризнанным мировым эталоном.
В соответствии с Федеральным законом «Об аудиторской деятельности» исполнитель обладает достаточными полномочиями для сбора соответствующей информации и составления заключения о достаточности действующих мер по обеспечению информационной безопасности. Также оценивается согласованность нормативных документов и действий сотрудников по эксплуатации средств защиты.
В чем заключается проверка на соответствие стандартам?
Этот тип очень похож на предыдущий, так как его сущностью является также сравнительная оценка. Но только в этом случае идеальный прототип – это не абстрактное понятие, а четкие требования, закрепленные в документации и нормативно-технических стандартах. Однако он также определяет степень соответствия уровню, установленному политикой конфиденциальности компании. Без соответствия с этим пунктом о дальнейшей работе говорить невозможно.
Очень часто данный вид аудита необходим для сертификации системы безопасности, внедренной в компании. Для этого необходимо заключение независимого эксперта. Здесь важен не только уровень защиты, но и ваша удовлетворенность признанными стандартами качества.
Поэтому можно сделать вывод, что для проведения данного вида процедуры необходимо определиться с исполнителем, а также выделить круг целей и задач исходя из собственных потребностей и возможностей.