Аудит информационной безопасности – системный процесс получения объективных качественных и/или количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности.
Аудит позволяет оценить текущее состояние безопасности функционирования информационной системы (ИС), оценить и прогнозировать риски, управлять их влиянием на бизнес-процессы компании, корректно и обоснованно подойти к вопросу обеспечения безопасности ее информационных активов, стратегических планов развития, маркетинговых программ, содержимого корпоративных баз данных.
Виды и цели аудита:
Различают внешний и внутренний аудит.
Внешний аудит – это, как правило, разовое мероприятие, проводимое по инициативе руководства компании или акционеров. Внешний аудит рекомендуется (а для ряда финансовых учреждений и акционерных обществ требуется) проводить регулярно.
Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством компании. Аудит безопасности информационных систем является одной из составляющих ИТ-аудита.
Целями проведения аудита информационной безопасности являются:
- анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС;
- оценка текущего уровня защищенности ИС;
- локализация узких мест в системе защиты ИС;
- оценка соответствия ИС существующим стандартам в области информационной безопасности;
- выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.
Основные этапы аудита безопасности
Работы по аудиту безопасности ИС включают в себя ряд последовательных этапов, которые в целом соответствуют этапам проведения комплексного ИТ-аудита ИС, включающего в себя:
- инициирование процедуры аудита;
- сбор информации аудита;
- анализ данных аудита;
- выработку рекомендаций;
- подготовку аудиторского отчета.
На этапе инициирования процедуры аудита должны быть решены следующие организационные вопросы:
- права и обязанности аудитора должны быть четко определены и документально закреплены в его должностных инструкциях, а также в положении о внутреннем (внешнем) аудите;
- аудитором должен быть подготовлен и согласован с руководством план проведения аудита;
- в положении о внутреннем аудите должно быть закреплено, в частности, что сотрудники компании обязаны оказывать содействие аудитору и предоставлять всю необходимую для проведения аудита информацию.
На этапе инициирования процедуры аудита должны быть определены границы проведения обследования. План и границы проведения аудита обсуждаются на рабочем собрании, в котором участвуют аудиторы, руководство компании и руководители структурных подразделений.
Этап сбора информации аудита является наиболее сложным и длительным. Это связано, в основном, с отсутствием необходимой документации на ИС и с необходимостью плотного взаимодействия аудитора со многими должностными лицами компании.
Компетентные выводы относительно положения дел в компании с информационной безопасностью могут быть сделаны аудитором только при условии наличия всех необходимых исходных данных для анализа.
Рекомендации, выдаваемые аудитором по результатам анализа состояния ИС, определяются используемым подходом, особенностями обследуемой ИС, состоянием дел с информационной безопасностью и степенью детализации, используемой при проведении аудита. В любом случае, рекомендации аудитора должны быть конкретными и применимыми к данной ИС, экономически обоснованными, аргументированными (подкрепленными результатами анализа) и отсортированными по степени важности. При этом мероприятия по обеспечению защиты организационного уровня практически всегда имеют приоритет над конкретными программно-техническими методами защиты.
Аудиторский отчет является основным результатом проведения аудита. Его качество характеризует качество работы аудитора. Он должен содержать описание целей проведения аудита, характеристику обследуемой ИС, указание границ проведения аудита и используемых методов, результаты анализа данных аудита, выводы, обобщающие эти результаты и содержащие оценку уровня защищенности ИС или соответствие её требованиям стандартов, и, конечно, рекомендации аудитора по устранению существующих недостатков и совершенствованию системы защиты.