Экспертиза и аудит информационной безопасности

Экспертиза и проверка информационной безопасности проводятся для выявления уязвимостей и слабых мест в системе компьютерной безопасности организации, а также для оценки эффективности ее функционирования. Понятие аудита в отношении систем информационной защиты трактуется несколько иначе, чем традиционно, включая в себя иные термины, такие как оценка соответствия, аттестация или сертификация. В любом случае, аудит информационной безопасности представляет собой анализ уровня защиты информации компании и проводится с целью:

• Оценки соответствия системы требованиям нормативных актов.
• Проверки обоснованности и законности принимаемых безопасностей решений.

Оценка эффективности и правильности работы системы может проводиться по инициативе самой организации с целью повышения уровня ее информационной безопасности. Если компании необходимо доказать соответствие систем безопасности нормам, проведение аудита становится обязательным действием. В случае выявления нарушений, организация может быть подвергнута остановке деятельности, штрафам или другим санкциям в соответствии с законодательством.

Особенно важной становится проведение экспертизы и аудита информационной безопасности для компаний, которые работают с конфиденциальными данными своих пользователей или клиентов. Защита такой информации от несанкционированного доступа является обязанностью организации, а не просто мерой предосторожности.

Основные направления проведения экспертизы и аудита информационной безопасности

Экспертиза и проверка информационной безопасности представляют собой детальное исследование всех информационных систем клиента, включая средства обмена информацией с контрагентами. При анализе объединения информационных ресурсов выделяются следующие компоненты:

• Организация специальных мер по обеспечению безопасности информационных ресурсов.
• Программно-аппаратные средства защиты информационных систем.
• Физическая защита информационной инфраструктуры.

При оценке системы защиты данных эксперт изучает следующие аспекты:

• Алгоритмы бизнес-процессов, включая способы обработки защищенных данных, обмен данных между структурными подразделениями организации, передачу данных контрагентам и прочее.
• Набор документов, регулирующих данную область - должностные инструкции, положения, приказы и т.д.

При проведении экспертизы программно-аппаратных средств защиты информационных систем особое внимание уделяется следующим аспектам:

• Особенности конфигурационной настройки систем защиты информации.
• Техническая документация, сопровождающая системы и средства защиты информации.
• Выявление возможных уязвимостей системы с помощью специальных технических средств.

Под физической безопасностью информационной инфраструктуры понимается ограничение доступа посторонних лиц в помещения, где находится специальное оборудование, а также в помещениях, где обрабатываются конфиденциальные данные.

Основные задачи в области экспертизы и аудита информационной безопасности

В процессе проведения экспертных мероприятий специалисты по экспертизе и аудиту информационной безопасности решают множество задач, связанных с компьютерными системами, обеспечивающими защиту предприятия от незаконных действий преступников и конкурентов. Основные проблемы, на которые обращают внимание специалисты, определяются имеющимися недостатками системы, предполагаемыми пробелами в защите и целями организации, запускающей исследование. Чаще всего в процессе экспертизы решаются следующие задачи:

• Анализ событий, фактов и обстоятельств, которые могут угрожать информационной безопасности предприятия. Этот комплекс экспертных действий также известен под названием аудита внешних информационных угроз.
• Проверка соответствия действующих на момент исследования нормативных актов целям и требованиям рабочей системы.
• Выявление потенциально уязвимых узлов и подсистем в действующей системе информационной безопасности.
• Оценка общего уровня доступа участников организации и прогнозирование сохранения целостности информационной защиты предприятия.

Порядок проведения экспертизы и аудита информационной безопасности

Для проведения экспертизы и аудита информационной безопасности существует определенная последовательность мероприятий. На первом этапе, который называется инициирование процесса аудита, происходит назначение проверки - либо по желанию организации, либо обязательно. Заключается соответствующий договор. На втором этапе проводится сбор информации. Для этого компания предоставляет необходимые документы и данные по запросу эксперта. Эксперт также получает доступ к информационным системам предприятия и исследует их с помощью специальных инструментов. Далее следует тщательный анализ всех полученных данных с предыдущего этапа. Эксперт изучает данные и делает профессиональные выводы о состоянии информационной безопасности организации. На четвертом этапе, основываясь на результатах анализа, эксперт разрабатывает рекомендации по устранению недостатков, исправлению уязвимостей, подготовке документов и принятию других мер. На заключительном пятом этапе эксперт составляет заключение или отчет о проведенной экспертизе или аудите. Данный документ является важным итогом проведенных проверок и содержит описание проделанной работы, выводы, рекомендации и ответы на поставленные вопросы.

Нормативно-правовая база проведения экспертизы и аудита информационной безопасности

Требования к организации информационной безопасности и мероприятиям по защите информации фиксируются в ГОСТ Р ИСО/МЭК 27001-2006. Этот стандарт представляет собой набор лучших практик в области управления информационной защитой на крупных предприятиях. Российский стандарт соответствует международному стандарту ISO/IEC 27001:2005. Малые компании, включая банки и другие финансовые организации, иногда не могут полностью соответствовать требованиям, установленным в стандарте.