69 Основные направления деятельности в области аудита безопасности информации

Комплексный аудит АС включает в себя:
- инициирование процедуры аудита
- сбор информации аудита
- анализ данных аудита
0 выработка рекомендаций
подготовка аудиторского отчета
инициирование процедуры аудита

Аудит проводится не по инициативе аудитора, а по инициатеиве руководства компании.
Аудит - комплекс мероприятий, в которых помимо самого аудитора, оказываются задействованными прдеставители большинства структурных подразделений компании.
- права и обязанности аудитора должны бвть четко определены и документально запреклены.
- аудитором должна быть подготовлен и согласован план проведения аудита
- в положении о внутреннем аудите должно быть закреплено в частности что сотрудники компании обязаны оказывать содействовать аудитору

Границы проведения обследования
- список обследуемых физ, прог, информ.ресурсов
- площадки попадающие в границы обследования
- основные виды угроз безопасности, рассматриваемые при проведении аудита
- организационные (законодат, административ, и процедурн), физич, программно-техн итд.

Первый пункт аудиторского обледования начинается с получения информации об организационной структуре пользователей ИС и обслуживающих подразделений.
-схема организационной структуры пользователей.
-схема организационной структуры обслуживающих подразделений

Аудитор здает вопросы:

-кто является владельцем информации?
-кто является пользователем (потребителем) информации?
-кто является провайдером услуг?
-какие услуги и каким образом предоставляются?
-какие основные виды приложений функционируют в ис?
-каковы количество и виды пользователей, использующих этих приложения?
-из каких компонентов подсистем состоит ис?
-какова функциональность отдельных компонент?
-где проходит границы системы
-как ис взаимодействует с другими системами
-какие каналы связи используются для взаимодействия с другими ис?
-какие каналы связи используются для взаимодействия между компонентами ис?
-по каким протоколам осуществляется взаимодействие?
-какие прог-тех платформы используются при пострении системы?
-структурная схема ИС
-схема информационных потоков
-описание структуры по
-описание структуры инф.обесп
-размещение компонентов ис

Первый подход, самый сложный, базируется на анализе рисков.
Второй подход, самый практичный, опирается на использование стандартов ИБ. Стандарты определяют набор требований Б для широкого класса ИС, который формируется в результате обобщения мировой практики.
Третий подход, самый эффективный (дорогой, долгий, сложный), предполагает комбинирование первых двух.

АНАЛИЗ РИСКОВ - этото, с чего должно начинаться построение любой системы информационной безопасности.
РИСК - определяется вероятностью причинения ущерба и величиной ущерба, наносимого ресурсам ИС в случае осуществления угрозы безопасности.

Анализ рисков в выявлении существующих рисков и оценке их величины (дать им качественную либо количественную оценку). Процесс анализа рисков можно разделить на несколько последовательных этапов:
- идентификация ключевых ресурсов ИС
- определение важности тех или иных ресурсов
- идентификация существующих угроз безопасности и уязвимости
- вычисление рисков, связанных с осуществлением угроз безопасности

Ресурсы ИС можно разделить на следующие категории:
- информ.ресурсы
- ПО
- техн.средства (серверы, раб.станции, активн.сетевое оборуд, итп)
- людские ресурсы

Важность (или стоимость) - ресурса определяется величиной ущерба, наносимого в случае нарушения конфиденциальности, целостности или доступности этого ресурса.

Величина риска определяется на основе стоимости ресурса, вероятности осуществления угрозы и величины уязвимости по следующей формуле:

Риск = Стоимость ресурса * Вероятность угрозы / Величина уязвимости

В случае проведения аудита безопасности на соответствие требованиям стандарта аудитор, полагаясь на свой опыт, оценивает применимость требований стандарта к обследуемой ИС и ее соответствие этим требованиям Данные о соответствии различных областей функционирования ИС требованиям стандарта обычно предоставляются в табличной форме.

В любом случае рекомендации аудитора должны быть конкретными и применимыми к данной ИС, экономически обоснованными, аргументированными и отсортированными по степени важности.

Аудиторский отчет является основным результатом проведения аудита.

Однако определенные разделы должны обязательно присутствовать в аудиторском отчете.
- описание целей процедения аудита
- характеристику обследуемой ИС
- указание границ проведения аудита и используемых методов
- результаты анализа данных аудита
- выводы, обобщающие эти результаты и содержащие оценку уровня защищенности АС или соответствие ее требованиям стандартов
- рекомендации аудитора по устранению существующих недостатоков и совершенствованию системы защиты.