Одит на информационната сигурност на предприятието: концепция, стандарти, пример

Много бизнесмени се опитват да запазят тайна на компанията си. Тъй като векът е епохата на високите технологии, това е доста трудно да се направи. Почти всеки се опитва да се защити от изтичането на корпоративна и лична информация, но не е тайна, че за професионалиста няма да е трудно да открие необходимите данни. В момента има много методи, които предпазват от подобни атаки. Но за да се провери ефективността на такава система за сигурност, е необходимо да се извърши одит на информационната сигурност.

Какво е одит?

Според федералния закон „За одита“ одитът включва различни методи и методи, както и практическото прилагане на проверките. По отношение на информационната сигурност на предприятието, това е независима оценка на състоянието на системата, както и нивото на нейното съответствие с установените изисквания. Провеждат се прегледи по отношение на счетоводната и данъчната отчетност, икономическата подкрепа и финансово-икономическите дейности.

Защо е необходима такава проверка?

Някои смятат подобна дейност за загуба на пари. С навременното идентифициране на проблемите в този сектор могат да бъдат предотвратени още по-големи икономически загуби. Целите на одита на информационната сигурност са:

• определяне на нивото на защита и довеждане до необходимото;
• финансов сетълмент по отношение на осигуряване на поверителност на организацията;
• демонстрация на възможностите за инвестиране в този сектор;
• Извличане на максимума от разходите за сигурност
• потвърждение на ефективността на вътрешните сили, средства за контрол и тяхното отражение върху осъществяването на стопанска дейност.

Как се проверява сигурността на информацията в предприятието?

Цялостен одит на информационната сигурност се провежда на няколко етапа. Процесът е разделен на организационен и инструментален. В рамките на двете части на комплекса се прави проучване на сигурността на корпоративната информационна система на клиента и след това се определя съответствие с установените стандарти и изисквания. Одитът за информационна сигурност е разделен на следните етапи:

1. Определяне на изискванията на клиента и обхвата на работата.
2. Проучване на необходимите материали и правене на заключения.
3. Анализ на възможните рискове.
4. Експертно становище за свършената работа и издаване на съответната присъда.

Какво е включено в първия етап на одит на информационната сигурност?

Програмата за одит на информационната сигурност започва именно с изясняване на обема работа, който се изисква от клиента. Клиентът изразява своето мнение и цел, преследвайки което е кандидатствал за експертна оценка.

На този етап проверката на общите данни, които клиентът предоставя, вече започва. Описват се методите, които ще се използват, и планираният набор от мерки.

Основната задача на този етап е да се постави конкретна цел. Клиентът и организацията, провеждаща одита, трябва да се разбират, да се договорят за общо мнение. След формирането на комисията, съставът на която се избира от подходящите специалисти. Необходимите технически спецификации също са отделно договорени с клиента.

Изглежда, че това събитие трябва само да очертае състоянието на системата, която защитава от информационни атаки. Но крайните резултати от теста може да са различни.Някои се интересуват от пълна информация за работата на защитните съоръжения на фирмата на клиента, докато други се интересуват само от ефективността на отделните линии на информационните технологии. Изборът на методи и средства за оценка зависи от изискванията. Поставянето на целите влияе и върху по-нататъшния ход на работата на експертната комисия.

Между другото, работната група се състои от специалисти от две организации - фирмата, извършваща одита, и служителите на одитираната организация. Всъщност последните, както никой друг, познават тънкостите на своята институция и могат да предоставят цялата информация, необходима за цялостна оценка. Те осъществяват и един вид контрол върху работата на служителите на изпълняващата фирма. Тяхното мнение се взема предвид при издаването на резултатите от одита.

Експертите на компанията, извършваща одит на информационната сигурност на предприятието, се занимават с проучване на предметните области. Притежавайки подходящо ниво на квалификация, както и независимо и непредубедено мнение, те са в състояние по-точно да преценят състоянието на работа на защитните съоръжения. Експертите провеждат дейностите си в съответствие с планирания работен план и цели. Те разработват технически процеси и координират резултатите помежду си.

Техническото задание ясно фиксира целите на одитора, определя методите за неговото изпълнение. Той също така уточнява времето на одита, дори е възможно всеки етап да има свой период.

На този етап се осъществява контакт със службата за сигурност на одитираната институция. Одиторът дава задължение да не оповестява резултатите от одита.

Как е изпълнението на втория етап?

Одитът на информационната сигурност на предприятието на втория етап е подробно събиране на информация, необходима за неговата оценка. Като начало, ние разглеждаме общ набор от мерки, които са насочени към прилагане на политика за поверителност.

Тъй като сега повечето от данните се дублират в електронна форма, или като цяло компанията извършва дейността си само с помощта на информационни технологии, тогава софтуерът също попада под теста. Физическата сигурност също се анализира.

На този етап специалистите се ангажират да преглеждат и оценяват как се гарантира и одитира информационната сигурност в институцията. За тази цел организацията на системата за защита, както и техническите възможности и условия за нейното осигуряване се поддава на анализ. Последната точка се обръща специално внимание, тъй като измамниците най-често намират нарушения в защитата именно чрез техническата част. Поради тази причина следните точки се разглеждат отделно:

• софтуерна структура;
• конфигурация на сървъри и мрежови устройства;
• механизми за поверителност.

На този етап одитът на информационната сигурност на предприятието завършва с разглеждане и изразяване на резултатите от извършената работа под формата на отчет. Именно документираните заключения са основата за изпълнението на следващите етапи на одита.

Как се анализират възможните рискове?

Провежда се и одит на информационната сигурност на организациите, за да се установят реалните заплахи и техните последици. В края на този етап трябва да бъде съставен списък от мерки, които ще избегнат или поне сведат до минимум възможността за информационни атаки.

За да предотвратите нарушаване на поверителността, трябва да анализирате доклада, получен в края на предишната стъпка. Благодарение на това е възможно да се определи дали е възможно реално проникване в пространството на компанията. Издава се присъда за надеждността и работата на съществуващите технически защитни средства.

Тъй като всички организации имат различни области на работа, списъкът на изискванията за сигурност не може да бъде идентичен.За одитираната институция списък се изготвя индивидуално.

На този етап се установяват и слабости, а на клиента се предоставя информация за потенциални нападатели и предстоящи заплахи. Последното е необходимо, за да знаем от коя страна да изчакаме трика и да обърнем повече внимание на това.

Важно е и клиентът да знае колко ефективни ще бъдат иновациите и резултатите на експертната комисия.

Анализът на възможните рискове има следните цели:

• класификация на източниците на информация;
• идентифициране на уязвимостите в работния процес;
• прототип на възможен измамник.

Анализът и одитът ви позволяват да определите как е възможен успехът на информационните атаки. За това се оценява критичността на слабостите и начините за тяхното използване за незаконни цели.

Какъв е последният етап от одита?

Последният етап се характеризира с написването на резултатите от работата. Документът, който излиза, се нарича одитен доклад. Той консолидира заключението за общото ниво на сигурност на одитираната компания. Отделно има описание на ефективността на системата на информационните технологии по отношение на сигурността. Докладът предоставя насоки за потенциални заплахи и описва модел на възможен нападател. Той също така посочва възможността за неправомерно проникване поради вътрешни и външни фактори.

Стандартите за одит на информационна сигурност осигуряват не само оценка на състоянието, но и даване на препоръки от експертна комисия за необходимите дейности. Именно експертите, извършили цялостната работа, анализирали информационната инфраструктура, могат да кажат какво трябва да се направи, за да се предпазят от кражба на информация. Те ще посочат местата, които трябва да бъдат укрепени. Експертите също така дават насоки за технологична поддръжка, тоест оборудване, сървъри и защитни стени.

Препоръките са онези промени, които трябва да бъдат направени в конфигурацията на мрежови устройства и сървъри. Може би инструкциите ще се отнасят директно до избрани методи за безопасност. Ако е необходимо, експертите ще предпишат набор от мерки, насочени към по-нататъшно укрепване на механизмите, които осигуряват защита.

Компанията също така трябва да провежда специална работа в сферата на информационните контакти и да разработва политика, насочена към поверителност. Може би трябва да се приложат реформи в областта на сигурността. Важен момент е регулаторната и техническата база, която е задължена да консолидира разпоредбите за безопасността на компанията. Екипът трябва да бъде инструктиран правилно. Сферите на влияние и възложената отговорност се споделят между всички служители. Ако това е подходящо, е по-добре да се проведе курс за подобряване на образованието на екипа по отношение на информационната сигурност.

Какви видове одит съществуват?

Одитирането на информационната сигурност на предприятието може да бъде от два вида. В зависимост от източника на този процес могат да бъдат разграничени следните видове:

1. Външна форма. Тя се различава по това, че е за еднократна употреба. Втората му особеност е, че се произвежда чрез независими и безпристрастни експерти. Ако има препоръчителен характер, тогава той се поръчва от собственика на институцията. В някои случаи е необходим външен одит. Това може да се дължи на типа организация, както и на извънредни обстоятелства. В последния случай инициаторите на такъв одит по правило са правоприлагащите органи.
2. Вътрешна форма. Той се основава на специализирана разпоредба, която предписва поведение на одита. Необходим е вътрешен одит на информационната сигурност, за да се следи постоянно системата и да се идентифицират уязвимите места.Това е списък на събитията, които се провеждат в определен период от време. За тази работа най-често се създава специален отдел или оторизиран служител. Той диагностицира състоянието на защитната екипировка.

Как се провежда активен одит?

В зависимост от това, което клиентът преследва, се избират и методите за одит на информационната сигурност. Един от най-разпространените начини за проучване на нивото на сигурност е активен одит. Това е изявление за истинска хакерска атака.

Предимството на този метод е, че той позволява най-реалистичното симулиране на възможността за заплаха. Благодарение на активен одит можете да разберете как ще се развие подобна ситуация в живота. Този метод се нарича още инструментален анализ на сигурността.

Същността на активния одит е прилагането (с помощта на специален софтуер) на опит за неправомерно навлизане в информационна система. В същото време защитните средства трябва да са в състояние на пълна готовност. Благодарение на това е възможно да се оцени тяхната работа в такъв случай. На човек, който извършва изкуствена хакерска атака, се предоставя минимум информация. Това е необходимо, за да се пресъздадат най-реалистичните условия.

Те се опитват да изложат системата на колкото се може повече атаки. Използвайки различни методи, можете да оцените методите за хакване, на които системата е най-изложена. Това, разбира се, зависи от квалификацията на специалиста, който провежда тази работа. Но действията му не трябва да са от разрушителен характер.

В крайна сметка експертът генерира доклад за слабостите на системата и информацията, която е най-достъпна. Той също така предоставя препоръки за възможни надстройки, които трябва да гарантират повишена сигурност до правилното ниво.

Какво е експертен одит?

За да се определи съответствието на дружеството с установените изисквания, се провежда и одит на информационната сигурност. Пример за такава задача може да се види в експертния метод. Състои се в сравнителна оценка с изходните данни.

Тази идеална работа по защита може да се основава на различни източници. Клиентът сам може да задава изисквания и да си поставя цели. Ръководителят на компанията може да иска да знае колко далеч е нивото на сигурност на неговата организация от това, което иска.

Прототипът, срещу който ще се извърши сравнителна оценка, може да бъде общопризнати международни стандарти.

Според федералния закон "За одита", изпълняващата компания има достатъчно правомощия да събира съответната информация и да заключи, че съществуващите мерки за осигуряване на информационна сигурност са достатъчни. Оценява се и съгласуваността на регулаторните документи и действията на служителите по отношение на експлоатацията на защитно оборудване.

Каква е проверката за съответствие със стандартите?

Този вид е много подобен на предишния, тъй като неговата същност е и сравнителна оценка. Но само в този случай идеалният прототип не е абстрактно понятие, а ясните изисквания, залегнали в нормативната и техническата документация и стандартите. Той обаче определя и степента на съответствие с нивото, посочено в политиката за поверителност на компанията. Без спазване на този момент не можем да говорим за по-нататъшна работа.

Най-често този вид одит е необходим за сертифициране на съществуващата система за сигурност в предприятието. Това изисква мнението на независим експерт. Тук е важно не само нивото на защита, но и удовлетвореността му от признатите стандарти за качество.

Така можем да заключим, че за да извършите този вид процедура, трябва да вземете решение за изпълнителя, а също така да подчертаете обхвата на целите и задачите въз основа на собствените си нужди и възможности.