Аудит інформаційної безпеки підприємства: поняття, стандарти, приклад

Віктор Кузьмін
1 minute

Багато бізнесмени намагаються зберегти секрет своєї фірми в таємниці. Так як на дворі вік високих технологій, зробити це досить складно. Практично всі намагаються убезпечити себе від витоку корпоративної та особистої інформації, однак не секрет, що професіоналові не складе труднощів дізнатися необхідні дані. На даний момент існує досить багато методів, огороджувальних від подібних атак. Але щоб перевірити ефективність роботи такої охоронної системи, необхідно проведення аудиту інформаційної безпеки.

Що таке аудит?

Відповідно до ФЗ «Про аудиторську діяльність», аудит включає в себе різні методи і способи, а також практичне виконання перевірок. Стосовно інформаційної безпеки підприємства він являє собою незалежну оцінку стану системи, а також рівень її відповідності встановленим вимогам. Експертизи проводяться стосовно бухгалтерської та податкової звітності, економічного забезпечення та фінансово-господарської діяльності.

Для чого потрібна така перевірка?

Деякі вважають таку діяльність марною тратою коштів. Однак, своєчасно визначивши проблеми в цьому секторі, можна попередити ще великі економічні втрати. Цілі аудиту інформаційної безпеки полягають у наступному:

  • визначення рівня захисту і доведення його до необхідного;
  • врегулювання фінансового питання в плані забезпечення конфіденційності організації;
  • демонстрація доцільності вкладень у цей сектор;
  • отримання максимальної вигоди від витрат на безпеку;
  • підтвердження ефективності внутрішніх сил, засобів контролю та їх відображення на веденні підприємницької діяльності.

Як проводиться перевірка інформаційної безпеки на підприємстві?

Комплексний аудит інформаційної безпеки проходить у кілька етапів. Процес поділяється на організаційний та інструментарний. У рамках обох частин комплексу відбувається дослідження захищеності корпоративної інформаційної системи замовника, а потім – визначення відповідності встановленим нормам і вимогам. Проведення аудиту інформаційної безпеки поділяється на такі стадії:

  • Визначення вимог замовника і виконуваного обсягу робіт.
  • Вивчення необхідних матеріалів та винесення висновків.
  • Аналіз можливих ризиків.
  • Експертний висновок по виконаній роботі та винесення відповідного вердикту.

    • Що входить в перший етап аудиту інформаційної безпеки?

    Програма аудиту інформаційної безпеки починається саме з уточнення обсягу робіт, які потрібні замовнику. Клієнт висловлює свою думку і мета, переслідуючи яку він і звернувся для проведення експертної оцінки.

    На даній стадії вже починається перевірка загальних даних, які надає замовник. Йому описують методи, які будуть використані, і планується комплекс заходів.

    Головним завданням на даному етапі є постановка конкретної мети. Клієнт і організація, що проводить аудит, повинні розуміти один одного, зійтися на єдиній думці. Після формується комісія, до складу якої підбираються відповідні фахівці. З замовником окремо узгоджується також необхідне технічне завдання.

    Здавалося б, цей захід має лише в загальних рисах змалювати стан системи, що захищає від інформаційних атак. Але кінцеві результати перевірки можуть бути різними. Одних цікавить повна інформація про роботу захисних засобів фірми замовника, а інших – лише ефективність роботи окремих інформаційно-технологічних ліній. Саме від вимог і залежить вибір методів і засобів проведення оцінки. Постановка мети впливає і на подальший хід роботи експертної комісії.

    До речі, робоча група складається з фахівців двох організацій – фірми, яка виконує аудит і співробітників організації, яка перевіряється. Адже саме останні, як ніхто інший, знають тонкощі своєї установи і можуть надати всю необхідну для комплексної оцінки інформацію. Також вони проводять своєрідний контроль роботи співробітників фірми-виконавця. Їхня думка враховується і при винесенні результатів перевірки.

    Експерти фірми, що проводить аудит інформаційної безпеки підприємства, що займаються дослідженням предметних областей. Вони, маючи відповідний кваліфікаційний рівень, а також незалежне та неупереджене думку, здатні з більшою точністю оцінити стан роботи захисних засобів. Експерти ведуть свою діяльність згідно з наміченим планом робіт і поставлених завдань. Вони розробляють технічні процеси та узгодять між собою отримані результати.

    Технічне завдання чітко фіксує цілі роботи компанії-аудитора, визначає методи його здійснення. У ньому прописані також строки проведення перевірки, можливо навіть, що кожен етап буде мати свій період.

    На цій стадії відбувається налагодження контакту зі службою безпеки перевіряється установи. Фірма-аудитор дає зобов’язання про нерозголошення отриманих результатів перевірки.

    Як відбувається реалізація другого етапу?

    Аудит інформаційної безпеки підприємства на другій стадії являє собою розгорнутий збір необхідної для оцінки інформації. Для початку розглядається загальний комплекс заходів, які спрямовані на реалізацію політики конфіденційності.

    Так як зараз велика частина даних дублюється в електронному варіанті або взагалі свою діяльність фірма здійснює лише за допомогою інформаційних технологій, то під перевірку потрапляють і програмні засоби. Аналізується та забезпечення фізичної безпеки.

    На цьому етапі фахівці займаються тим, що розглядають і оцінюють те, як відбувається забезпечення і аудит інформаційної безпеки всередині установи. Для цього аналізу піддається організація роботи системи захисту, а також технічні можливості та умови її забезпечення. Останньому пункту приділяється особлива увага, так як шахраї найчастіше знаходять пробоїни в захисті саме через технічну частину. З цієї причини окремо розглядаються наступні моменти:

    • структура програмного забезпечення;
    • конфігурація серверів і мережевих пристроїв;
    • механізми забезпечення конфіденційності.

    Аудит інформаційної безпеки підприємства на цьому етапі завершується підведенням підсумків і вираженням результатів виконаної роботи у формі звіту. Саме документально оформлені висновки лягають в основу реалізації наступних стадій аудиту.

    Як аналізуються можливі ризики?

    Аудит інформаційної безпеки організацій проводиться також з метою виявлення реальних загроз і їх наслідків. По закінченні цього етапу повинен сформуватися перелік заходів, які дозволять уникнути або хоча б мінімізувати можливість інформаційних атак.

    Щоб запобігти порушення, що стосуються конфіденційності, необхідно проаналізувати звіт, отриманий в кінці попереднього етапу. Завдяки цьому можна визначити, можлива чи реальна вторгнення в простір фірми. Виноситься вердикт про надійності і працездатності діючих технічних захисних засобів.

    Оскільки всі організації мають різні напрями роботи, то і перелік вимог до безпеки не може бути ідентичним. Для перевіряється установи розробляється список в індивідуальному порядку.

    На цьому етапі також визначаються слабкі місця, клієнту надаються дані про потенційних зловмисників і нависають загрози. Останнє необхідно для того, щоб знати, з якого боку чекати підступу, і приділити цьому більше уваги.

    Замовнику також важливо знати, наскільки дієвими виявляться нововведення та результати роботи експертної комісії.

    Аналіз можливих ризиків переслідує наступні цілі:

    • класифікація джерел інформації;
    • визначення уразливих моментів робочого процесу;
    • складання прототипу можливого шахрая.

    Аналіз і аудит дозволяють визначити, наскільки можлива успішність інформаційних атак. Для цього оцінюється критичність слабких місць і способи користування ними в незаконних цілях.

    У чому полягає останній етап аудиту?

    Завершальна стадія характеризується письмовим оформленням результатів роботи. Документ, який виходить на виході, називається аудиторським звітом. Він закріплює висновок про загальний рівень захищеності фірми, що перевіряється. Окремо йде опис ефективності роботи інформаційно-технологічної системи безпеки. Звіт дає вказівки і про потенційні загрози, описує модель можливого зловмисника. Також в ньому прописуються можливості несанкціонованого вторгнення за рахунок внутрішніх і зовнішніх чинників.

    Стандарти аудиту інформаційної безпеки передбачають не тільки оцінку стану, але і дачу рекомендацій експертної комісії на проведення необхідних заходів. Саме фахівці, які провели комплексну роботу, проаналізували інформаційну інфраструктуру, можуть сказати, що необхідно робити для того, щоб захиститися від крадіжки інформації. Вони вкажуть на ті місця, які треба підсилити. Експерти дають вказівки і щодо технологічного забезпечення, тобто обладнання, серверів і міжмережевих екранів.

    Рекомендації являють собою ті зміни, які необхідно провести в конфігурації мережевих пристроїв і серверів. Можливо, вказівки будуть стосуватися безпосередньо обраних методів забезпечення безпеки. Якщо це буде потрібно, то експерти пропишуть комплекс заходів, спрямованих на додаткове посилення механізмів, що забезпечують захист.

    У компанії також має бути проведена спеціальна роз’яснювальна робота, вироблена політика, спрямована на конфіденційність. Можливо, повинні бути проведені реформи щодо служби безпеки. Важливим моментом є і нормативно-технічна база, яка зобов’язана закріплювати положення про безпеки фірми. Колектив необхідно проінструктувати належним чином. Між усіма працівниками діляться сфери впливу і покладена відповідальність. Якщо це доцільно, то краще провести курс для підвищення освіченості колективу щодо інформаційної безпеки.

    Які існують види аудиту?

    Аудит інформаційної безпеки підприємства може мати два види. В залежності від джерела здійснення даного процесу можна виділити наступні типи:

  • Зовнішня форма. Вона відрізняється тим, що має одноразовий характер. Другий її особливістю є те, що проводиться вона за допомогою незалежних та неупереджених експертів. Якщо вона носить рекомендаційний характер, то проводиться за замовленням власника закладу. В деяких випадках проведення зовнішнього аудиту обов’язково. Це може бути обумовлено типом організації, а також надзвичайними обставинами. В останньому випадку ініціаторами такої перевірки, як правило, стають правоохоронні органи.
  • Внутрішня форма. Вона ґрунтується на спеціалізованому положенні, яке прописує ведення аудиту. Внутрішній аудит інформаційної безпеки необхідний для того, щоб постійно проводити моніторинг системи і виявляти вразливі місця. Він являє собою перелік заходів, які проводяться у встановлений період часу. Для цієї роботи найчастіше засновано спеціальний відділ або уповноважений співробітник. Він проводить діагностику стану захисних засобів.

    • Як проводиться активний аудит?

    В залежності від того, яку мету переслідує замовник, обираються і методи аудиту інформаційної безпеки. Одним з найпоширеніших способів дослідження рівня захищеності є активний аудит. Він являє собою постановку реальної хакерської атаки.

    Плюсом такого методу є те, що він дозволяє максимально реалістично змоделювати можливість загрози. Завдяки активному аудиту можна зрозуміти, як буде розвиватися ситуація аналогічна життя. Такий спосіб ще називають інструментальним аналізом захищеності.

    Суть активного аудиту полягає в здійсненні (з допомогою спеціального програмного забезпечення) спроби несанкціонованого вторгнення в інформаційну систему. При цьому захисні засоби повинні перебувати в стані повної готовності. Завдяки цьому можливо оцінити їх роботу в подібному випадку. Людині, який здійснює штучну хакерську атаку, надається мінімум інформації. Це необхідно для того, щоб відтворити максимально реалістичні умови.

    Систему намагаються стягнути якомога більшій кількості атак. Застосовуючи різні методи, можна оцінити ті способи злому, яким система найбільш вразлива. Це, звичайно, залежить від кваліфікації фахівця, який проводить цю роботу. Але його дії не повинні носити будь-якого деструктивного характеру.

    В кінцевому підсумку експерт формує звіт про слабкі місця системи і відомостях, які є найбільш доступними. Він також надає рекомендації щодо можливої модернізації, яка повинна гарантувати підвищення захищеності до належного рівня.

    У чому полягає експертний аудит?

    Щоб визначити відповідність фірми встановленим вимогам, також проводиться аудит інформаційної безпеки. Приклад такої задачі можна побачити в експертному методі. Він полягає у порівняльній оцінці з вихідними даними.

    Та сама ідеальна робота засобів захисту може ґрунтуватися на різних джерелах. Пред’являти вимоги і ставити завдання може і сам клієнт. Керівник фірми, можливо, бажає знати, наскільки далеко знаходиться рівень безпеки його організації від бажаного.

    Прототипом, щодо якого буде проведена порівняльна оцінка, можуть бути і загальновизнані світові стандарти.

    Відповідно до ФЗ «Про аудиторську діяльність», у фірми-виконавця достатньо повноважень для того, щоб провести збір відповідної інформації та зробити висновок щодо достатності існуючих заходів щодо забезпечення інформаційної безпеки. Оцінюється також несуперечність нормативних документів і дій працівників щодо роботи засобів захисту.

    У чому полягає перевірка на відповідність стандартам?

    Даний вид дуже схожий з попереднім, так як його суттю також є порівняльна оцінка. Але тільки в цьому випадку ідеальним прототипом є не абстрактне поняття, а чіткі вимоги, закріплені у нормативно-технічної документації і стандартах. Однак тут також визначається ступінь відповідності рівня, заданого політикою конфіденційності. Без відповідності цього моменту не можна говорити про подальшу роботу.

    Найчастіше подібний вид аудиту необхідний для сертифікації діючої на підприємстві системи по забезпеченню безпеки. Для цього необхідно думка незалежного експерта. Тут важливий не тільки рівень захисту, але і його задоволеність визнаними стандартами якості.

    Таким чином, можна зробити висновок, що для проведення такого роду процедури потрібно визначитися з виконавцем, а також виділити коло цілей і завдань, виходячи з власних потреб і можливостей.