Аудит по требованиям информационной безопасности

Целями проведения аудита информационных систем (далее — ИС) являются:

  • Оценка текущего состояния обеспечения безопасности информации;
  • Определение требований по защите информации;
  • Выработка рекомендаций по внедрению дополнительных и повышению эффективности существующих организационных мер и программно-технических средств и методов защиты информации.

Аудит ИС позволяет принять обоснованные решения относительно использования мер защиты, адекватных с точки зрения соотношения их стоимости и негативных последствий при реализации угроз информационной безопасности (далее — ИБ).

Задачи, решаемые при проведении аудита

В число задач, решаемых при проведении аудита, входят:

  • Информационное обследование ИС (как объекта защиты), анализ организационной и функциональной структуры, используемых технологий автоматизированной обработки, хранения и передачи информации в ИС;
  • Оценка текущего уровня защищенности ИС, выявление значимых угроз информационной безопасности, основных путей их реализации (несанкционированных воздействий на подсистемы ИС и циркулирующую в них информацию);
  • Построение модели нарушителей и угроз информационной безопасности по отношению к ресурсам ИС;
  • Анализ существующей политики информационной безопасности на предмет ее полноты и актуальности и разработка рекомендаций по ее изменению на основании анализа существующего режима информационной безопасности;
  • Осуществление инструментального анализа и тестовых попыток несанкционированного доступа к критически важным ресурсам ИС, определение уязвимостей в настройках защиты данных ресурсов (инструментальное тестирование защищенности ИС);
  • Выработка рекомендаций по повышению уровня безопасности информационной системы, техническим решениям по обеспечению защиты информации при ее обработке, хранении и передаче по каналам связи ИС.

Этапы работ

Типовой проект может включать следующие этапы:

  • Планирование проекта – определение границ проведения аудита и согласование объема выполняемых работ.
  • Сбор информации — получение актуальной и достоверной информации о текущем состоянии информационной безопасности.
  • Анализ текущего уровня защищенности — на данном этапе производится оценка текущих показателей защищенности основных ресурсов ИС (локальных сетей, серверов и рабочих станций, коммуникационного оборудования, каналов передачи данных и организационных процедур).
  • Анализ существующей политики информационной безопасности — на данном этапе производится анализ существующих организационно-распорядительных и регламентирующих документов по информационной безопасности.
  • Построение модели угроз и модели нарушителя — на данном этапе оценивается критичность ресурсов ИС, связанных с осуществлением угроз безопасности, которые могут нанести ущерб, а также разрабатывается модель угроз и модель нарушителя.
  • Инструментальный анализ защищенности – на данном этапе определяется возможность нарушения конфиденциальности, целостности и доступности информационных ресурсов внешними и внутренними нарушителями, с использованием уязвимостей в системном и прикладном программном обеспечении.
  • Разработка рекомендаций по применению комплекса организационных мер и программно-технических средств, способных повысить уровень информационной безопасности ИС и минимизировать существующие риски, связанные с осуществлением угроз информационной безопасности.

Результат работ

Результатами проведения работ являются основной «Отчет о проведении работ по аудиту» и «Презентация по результатам аудита ИС по требованиям ИБ».

Отчет содержит структурированные и детальные сведения об объекте защиты, необходимые для оценки текущего уровня защищенности ИС. На основании оценки текущего уровня защищенности выдаются рекомендации по повышению уровня информационной безопасности ИС и план-график работ по повышению уровня информационной безопасности.

Рекомендации и план-график работ включают в себя комплекс первоочередных мер (ряд технических и организационных мероприятий, реализация которых должна быть выполнена незамедлительно), а также технические и организационные мероприятия, реализация которых обеспечит требуемый уровень информационной безопасности ИС.

Презентация по результатам аудита ИС разрабатывается по материалам основного Отчета, содержит концентрированную информацию, характеризующую состояние дел по информационной безопасности на момент проведения аудита, основные угрозы и уязвимости, рекомендации по повышению уровня информационной безопасности ИС и предназначена для ознакомления высшего руководства с результатами проведенных работ.

Средняя продолжительность работ по проекту составляет 3 месяца.