Bключите Flash плеер Здесь проигрывается FLash-ролик как элемент дизайна страницы.
 

 


НАШИ ПУБЛИКАЦИИ

Роль аудита в формировании политики безопасности

Для обеспечения экономической безопасности предпринимательской деятельности и противодействия внутренним и внешним угрозам коммерческим интересам фирмы важнейшее значение принадлежит контролю правильного функционирования системы защиты безопасности предприятия.

Аудит информационной безопасности – это деятельность, направленная на проверку, контроль, анализ и оценку текущего положения в области информационной безопасности фирмы.

Аудит безопасности понимается сегодня достаточно широко. За этим названием скрываются, по крайней мере, четыре различных группы работ:

К первой группе относятся так называемые «тестовые взломы» систем информационной безопасности предприятия. Но, как показывает практика, этот подход является мало эффективным. Причина малой эффективности «тестовых взломов» с точки зрения получения сведений об информационной безопасности ресурсов предприятия скрывается в самой постановке задачи. Как правило, основной задачей является обнаружение одной-двух уязвимостей и их максимальная эксплуатация для доступа в систему. Если тест оказался успешным, то, предотвратив потенциальное развитие возможных сценариев тестовой атаки, работу необходимо начинать сначала и искать следующие. Неуспех атаки может означать в равной мере как защищенность системы, так и недостаточность тестов.

Вторая группа — экспресс-обследование. В рамках этой, обычно непродолжительной, работы оценивается общее состояние механизмов безопасности информационных ресурсов на основе стандартизованных проверок. Экспресс-обследование обычно проводится в случае, когда необходимо определить приоритетные направления, позволяющие обеспечить минимальный уровень защиты информационных ресурсов. Основу для него составляют списки контрольных вопросов, заполняемые как в результате интервьюирования персонала, так и в результате работы автоматизированных сканеров защищенности.

Третья группа работ по аудиту — аттестация систем на соответствие требованиям защищенности информационных ресурсов. При этом происходит формальная проверка набора требований как организационного, нормативно-правового, так и технического аспектов, рассматриваются полнота и достаточность реализации механизмов безопасности. Количество информационных систем, аттестуемых на соответствие требованиям защиты информации, постоянно растет, несмотря на то, что эти работы связаны со значительными затратами и существенной вовлеченностью в них сотрудников организации, в которой она производится.

Наконец, самый трудоемкий вариант аудита — полное обследование защищенности информационной системы хозяйствующего субъекта. Такой аудит предполагает анализ организационной структуры предприятия в приложении к информационным ресурсам, правил доступа сотрудников к тем или иным информационным ресурсам. Затем выполняется анализ самих информационных ресурсов. Картина дополняется встроенными механизмами безопасности, что в сочетании с оценками потерь в случае нарушения информационной безопасности дает основания для ранжирования рисков, существующих в информационной системе, и выработки адекватных контрмер. Успешное проведение полного обследования и анализа рисков определяет, насколько принятые меры будут, с одной стороны, экономически оправданы, с другой — адекватны угрозам. Применение методологии сценарного анализа позволяет эффективно справиться с этой задачей.

Аудит следует рассматривать как инструмент в формировании политики безопасности предприятия. Политику информационной безопасности можно представить как совокупность следующих этапов, среди которых аудит играет одну из ключевых ролей:


 


Рис.__ Роль и  место аудита в формировании политики безопасности коммерческого предприятия.

На этапе формирования требований к политике безопасности определяются требования защищенности имеющейся информационной системы коммерческой фирмы.

Следующий этап – проведение независимого аудита – позволяет своевременно выявить существующие бреши в безопасности предприятия и объективно оценить соответствие параметров, характеризующих режим безопасности, необходимому уровню.

Под аудитом подразумевается оценка текущего состояния безопасности на соответствие некому стандарту или предъявленным при выработке политики безопасности требованиям. В настоящее время в практике российских предприятий часто применяется схема проведения аудита на соответствие британскому стандарту BS 7799. Внутренняя проверка соответствия уровня безопасности организации требованиям стандарта состоит в проверке выполнения каждого положения стандарта. В процессе проведения аудита анализируются и оцениваются следующие положения:

  • Организационная инфраструктура информационной безопасности на местах (распределение обязанностей сотрудников по обеспечению безопасности);
  • Документированная политика безопасности предприятия, и в частности:
  • подход к оцениванию и управлению рисками в рамках всей организации;
  • обоснование выбора средств защиты;
  • процедура принятия уровня остаточного риска;
  • результаты оценивания рисков по информационной системе предприятия;
  • контрмеры для противодействия выявленным рискам;
  • эффективность использования контрмер и результаты их тестирования и т.д.

В итоге работы аудиторы должны проанализировать все существенные аспекты информационной безопасности с учетом величины проверяемой организации и специфики ее деятельности, учесть ценность информации, подлежащей защите. Как следствие, опыт и компетентность аудитора являются весьма существенными факторами, оказывающими влияние на итоговый результат.

В результате проведения аудита создается список выявленных несоответствий требованиям стандартов или замечаний, а также рекомендации по их исправлению.

Для проведения аудиторских проверок создается специальная комиссия. Руководитель фирмы совместно с руководителем службы безопасности определяет ее членов из числа наиболее надежных и квалифицированных работников фирмы. В необходимых случаях могут привлекаться и внешние специалисты. Но тенденции развития этого направления таковы, что руководители коммерческих фирм все чаще склоняются к созданию службы внутрифирменного аудита, поскольку гораздо дешевле предотвратить правонарушения собственными силами, чем потом бороться с их последствиями.

Версия для печати

Комментариев: 0

Добавить комментарий



smile sad blink wink laugh biggrin angry blush closedeyes cool dry happy huh mellow ohmy rolleyes tongue unsure wacko sick 

[b]Жирный[/b] [i]Наклонный[/i] [u]Подчеркнутый[/u] [del]Зачеркнутый[/del] [q]Цитата[/q]

Copyright © 2004 - 2013 "РС-Безопасность"