Аудит информационной безопасности — это системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности автоматизированной системы согласно определенным критериями и показателям безопасности.
Общие сведения об информационной безопасности
Информационная безопасность охватывает множество аспектов, таких как: физическая защита информационных ресурсов, криптография, защита от вирусов и вредоносных программ, фильтрация трафика, управление доступом, мониторинг и аудит безопасности.
Информационная безопасность (ИБ) - это состояние защищенности информации от некорректного доступа, использования, раскрытия, изменения или уничтожения. Концепция ИБ обеспечивает сохранность конфиденциальности, целостности и доступности информации.
Информация - это данные, которые представляют собой ценность для организации и могут быть использованы для принятия решений. В современном мире информация является одним из наиболее важных активов организации.
ИБ охватывает множество аспектов, таких как: физическая защита информационных ресурсов, криптография, защита от вирусов и вредоносных программ, фильтрация трафика, управление доступом, мониторинг и аудит безопасности.
Производство, сбор, обработка и хранение конфиденциальной информации - это основные функции организаций любого типа. Очень важно обеспечить безопасность этой информации, чтобы предотвратить несанкционированный доступ к ней. Также важно оценить угрозы информационной безопасности и разработать стратегии и тактики для этой защиты.
Информация является одним из основных активов любого бизнеса или организации. Для того чтобы обеспечить безопасную работу с большими объемами данных, организация должна сформировать систему управления информационной безопасностью (СУИБ). В современной действительности получают быстрое развитие механизмы кражи информационных данных или использования незаконно полученного доступа к ресурсам компании с целью получения прибыли. По этой причине необходимо каждой организации постоянно совершенствовать свою СУИБ.
Это может стать причиной постоянного увеличения непрофильных затрат на поиск и обучение специалистов по информационной безопасности, приобретению дорогих средств информационной защиты, а также на поддержание всей системы информационной защиты в оптимальном состоянии. Часто организации вынуждены заботиться о работе безопасности практически круглые сутки, что приводит к еще большим вложениям в человеческие и инфраструктурные ресурсы. Для того чтобы СУИБ обладали достаточной эффективностью, необходимо исполнять аудиторские проверки информационной безопасности.
Аудитом информационной безопасности являются мероприятия, связанные с проверкой имеющегося состояния защиты инфраструктуры информационных технологий, выявлением потенциальных угроз и уязвимостей. Аудиторская проверка может проводиться по отношению к корпоративным сетям, отдельным устройствам, сайтам, программным приложениям, серверам в различных масштабах и процессах.
Следует отметить, что аудит информационной безопасности требуется не только компаниям, работающим с конфиденциальными данными. Стабильность и надежность СУИБ являются очень важным фактором, к примеру, для интернет-магазинов, сервисов логистики, информационных ресурсов.
Классификация аудита информационной безопасности
Прежде всего необходимо выделить следующие виды аудита информационной безопасности:
- Внутренний аудит, который должен регламентироваться внутренними документами и уставом организации. Они должны определять порядок работы с данными и процессами. Внутренний аудит может проводиться собственными структурными подразделениями и выполняться на регулярной основе.
- Внешний аудит. Он должен проводиться независимыми экспертами, которым по условиям договора должен быть предоставлен доступ к внутренней сети организации. Внешний аудит может быть проведен по требованию руководства, акционеров и правоохранительных органов. Обычно привлечение внешних аудиторов может дать более объективную оценку имеющейся СУИБ, так как подобные фирмы обладают штатом квалифицированных аудиторов. Кроме того у них имеются необходимые лицензии и сертификаты, которые подтверждают их способность качественного проведения аудита по запрошенному направлению.
Аудит информационной безопасности может быть классифицирован по нескольким критериям. Следующие классификации являются наиболее распространенными:
- По цели проведения.
- По методу проведения.
- По масштабу проведения.
- По периодичности проведения.
По цели проведения аудит информационной безопасности классифицируется следующим образом:
- Профилактический аудит (предотвращение нарушений безопасности).
- Диагностический аудит (оценка уровня защищенности информации).
- Аудит, связанный с раскрытием, выявлением и устранением нарушений безопасности.
- Исследовательский аудит (изучение возможных угроз информационной безопасности и создание рекомендаций для их минимизации).
По методу проведения выделяют следующие типы аудита:
- Внутренний аудит (как отмечалось выше, проводится силами сотрудников организации).
- Внешний аудит (проводится силами сторонней организации).
- Смешанный аудит (сочетание внутреннего и внешнего аудита).
По масштабу выделяют следующие типы аудита:
- Общий аудит (оценка уровня защищенности всей системы).
- Частичный аудит (оценка уровня защищенности конкретной части системы).
По периодичности выделяют следующие типы аудита:
- Единовременный аудит (проходит один раз).
- Периодический аудит (проходит через определенные промежутки времени).
- Аудит по требованию (проводится по запросу руководства организации).
Это основные классификации аудита информационной безопасности, которые помогают определить его цель, методы, масштаб и периодичность. В ходе аудита информационной безопасности анализируются производится оценка:
- политики и процедур информационной безопасности, их соответствие требованиям законодательства, стандартам и регуляторным документам;
- технических средств защиты информации, их эффективности и соответствия требованиям безопасности;
- процессов управления доступом к информации, контроля и мониторинга доступа;
- процессов резервного копирования и восстановления данных;
- уровня подготовки персонала организации в области информационной безопасности;
- уровня осведомленности пользователей о правилах использования информации и мер по защите данных.
После проведения аудита информационной безопасности составляется отчет, в котором указываются выявленные уязвимости и рекомендации по их устранению. Аудит информационной безопасности является важным инструментом для поддержания безопасности информации в организации.
