Аудит информационной безопасности — это системный процесс получения объективной качественной и количественной оценки текущего состояния информационной безопасности автоматизированной системы согласно определенным критериям и показателям безопасности.
Введение
Современную жизнь уже нельзя себе представить без персональных компьютеров, всемирной сети Интернет и различных других устройств, которыми люди пользуются практически ежедневно. Они стали неотъемлемой составляющей, которая сопровождает человека в его повседневных делах, причем как в быту, так и на работе. Практически любой процесс в современном обществе перетекает в информационные системы, которые призваны играть ключевую роль в обеспечении эффективной деятельности коммерческих, государственных структур и образовательных учреждений.
Повсеместное применение информационных систем, которые служат для хранения, обработки и трансляции информации, сделало актуальными проблемы защиты и сохранности информации. А если учитывать непрерывно возрастающее количество атак на организации, которые способны привести к существенным финансовым и материальным потерям, то возникает еще одна актуальная проблема, исследованием и работой над которой сегодня занимаются многие компании. А именно, это проблема, связанная с объективной оценкой уровня безопасности информационной системы, а также действующей политики информационной безопасности в организации.
Услуги таких компаний используются для осуществления какого-либо одного из известных типов аудита информационной безопасности, а также и для выполнения комплексного аудита систем безопасности в организации, по итогам которого может быть выдано комплексное заключение об обнаруженных рисках и совокупность практических рекомендаций по их предотвращению и предупреждению.
Цели и задачи аудита информационной безопасности
Область информационной безопасности была образована и получила повсеместное распространение и всеобщую популярность в связи с непрерывно возрастающим количеством информационных атак вместе с необходимостью защиты от них и разнообразных рисков. Риском информационной безопасности следует обобщенно считать возможность того, что может случиться какое-либо неблагоприятное событие, которое обладает определенным размером нанесенного ущерба и ожидаемой вероятностью его наступления с наличием негативных последствий. Главными рисками информационной безопасности считаются следующие моменты:
- Риски утечек конфиденциальных данных.
- Риски потери и (или) недоступности важной информации.
- Риски нарушения целостности информации и (или) важных данных.
- Риски неправомочной эксплуатации информационных ресурсов.
- Риски распространения информации, которая дискредитирует организацию во внешней среде и угрожает ее репутации.
Главными типами угроз безопасности, которые следует рассматривать при осуществлении аудита информационной безопасности, считаются:
- Организационные угрозы законодательного, административного или процедурного типа. К примеру, это может быть отсутствие контроля и (или) неэффективно используемые меры управления такими процессами как управление конфигурациями, управление изменениями, управление обновлениями и так далее, а также атаки через привлекаемые подрядные организации.
- Угрозы эксплуатационного типа, такие как, к примеру, неподдерживаемые и (или0 нелицензионные варианты операционных систем, системного программного обеспечения, программных продуктов, а также уязвимости веб-серверов и (или) применение небезопасных протоколов управления (применение SSL и TLS способно привести к перехвату транслируемой информации об аутентификации) и передачи информации. Кроме того, это наличие слабых паролей и (или) недостаточно эффективная парольная политика в организации.
- Программно-технический тип угроз, то есть, архитектурные угрозы. Это может быть к примеру, возможность подключения корпоративных устройств к незащищенным сегментам гостевых беспроводных сетей компании, а также наличие неконтролируемых информационных потоков.
- Другие аспекты обеспечения информационной безопасности, которые следует учитывать в процессе реализации аудита, для определения их приоритетов.
Термины информационная безопасность и аудит информационной безопасности имеют существенные отличия. Информационной безопасностью является состояние сохранности информационных ресурсов и защищенности законных прав личности и общества в информационной области. Аудитом информационной безопасности является системный процесс определения объективных качественных и количественных оценок о текущем состоянии информационной безопасности организации согласно определенным критериям и показателям безопасности.
Если связать воедино оба этих термина, то в результате получится обобщенное определение аудита информационной безопасности, которое выступает как процесс сбора и анализа информации об информационной системе для качественной и количественной оценки уровня ее защищенности от атак злоумышленников.
Главными целями и задачами при осуществлении аудита информационной безопасности могут считаться следующие аспекты:
- Осуществление анализа рисков информационной безопасности, которые непосредственно связаны с возможностью реализации угроз безопасности для организации в отношении ресурсов информационной системы.
- Выполнение оценки текущего состояния уровня защищенности информационной системы организации.
- Выявление «узких мест» в системе безопасности информационной системы организации.
- Осуществление оценки информационной системы предприятия с точки зрения соответствия существующим стандартам и нормативно-правовой документации в сфере информационной безопасности.
- Выработка рекомендаций по внедрению новых и (или) увеличению эффективности имеющихся механизмов безопасности информационной системы организации.