Сбор информации об организации для анализа безопасности

Аудит представляет собой независимую экспертизу отдельных областей функционирования организации. Различают внешний и внутренний аудит. Внешний аудит – это, как правило, разовое мероприятие, проводимое по инициативе руководства организации или акционеров. Рекомендуется проводить внешний аудит регулярно, а, например, для многих финансовых организаций и акционерных обществ это является обязательным требованием. Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании «Положения о внутреннем аудите» и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации. Аудит безопасности информационных систем является одной из составляющих ИТ аудита. Целями проведения аудита безопасности являются:

· анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС

· оценка текущего уровня защищенности ИС;

· локализация узких мест в системе защиты ИС;

· оценка соответствия ИС существующим стандартам в области информационной безопасности;

· выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.

Этапность работ по проведению аудита безопасности информационных систем

Работы по аудиту безопасности ИС включают в себя ряд последовательных этапов, которые в целом соответствуют этапам проведения комплексного ИТ аудита АС, который включает в себя следующее:

· Инициирование процедуры аудита

· Сбор информации аудита

· Анализ данных аудита

· Выработка рекомендаций

· Подготовка аудиторского отчета

 

Сбор информации аудита

Этап сбора информации аудита, является наиболее сложным и длительным. Это связано с отсутствием необходимой документации на информационную систему и с необходимостью плотного взаимодействия аудитора со многими должностными лицами организации.

Компетентные выводы относительно положения дел в компании с информационной безопасностью могут быть сделаны аудитором только при условии наличия всех необходимых исходных данных для анализа. Получение информации об организации, функционировании и текущем состоянии ИС осуществляется аудитором в ходе специально организованных интервью с ответственными лицами компании, путем изучения технической и организационно-распорядительной документации, а также исследования ИС с использованием специализированного программного инструментария. Остановимся на том, какая информация необходима аудитору для анализа.

Обеспечение информационной безопасности организации – это комплексный процесс, требующий четкой организации и дисциплины. Он должен начинаться с определения ролей и распределения ответственности среди должностных лиц, занимающихся информационной безопасностью. Поэтому первый пункт аудиторского обследования начинается с получения информации об организационной структуре пользователей ИС и обслуживающих подразделений. В связи с этим аудитору требуется следующая документация:

· Схема организационной структуры пользователей;

· Схема организационной структуры обслуживающих подразделений.

Обычно, в ходе интервью аудитор задает опрашиваемым следующие вопросы:

· Кто является владельцем информации?

· Кто является пользователем (потребителем) информации?

· Кто является провайдером услуг?

Назначение и принципы функционирования ИС во многом определяют существующие риски и требования безопасности, предъявляемые к системе. Поэтому на следующем этапе аудитора интересует информация о назначении и функционировании ИС. Аудитор задает опрашиваемым примерно следующие вопросы:

· Какие услуги и каким образом предоставляются конечным пользователям?

· Какие основные виды приложений, функционирует в ИС?

· Количество и виды пользователей, использующих эти приложения?

Ему понадобиться также следующая документация, конечно, если таковая вообще имеется в наличие (что, вообще говоря, случается нечасто):

· Функциональные схемы;

· Описание автоматизированных функций;

· Описание основных технических решений;

· Другая проектная и рабочая документация на информационную систему.

Далее, аудитору требуется более детальная информация о структуре ИС. Это позволит уяснить, каким образом осуществляется распределение механизмов безопасности по структурным элементам и уровням функционирования ИС. Типовые вопросы, которые обсуждаются в связи с этим во время интервью, включают в себя:

· Из каких компонентов (подсистем) состоит ИС?

· Функциональность отдельных компонент?

· Где проходят границы системы?

· Какие точки входа имеются?

· Как ИС взаимодействует с другими системами?

· Какие каналы связи используются для взаимодействия с другими ИС?

· Какие каналы связи используются для взаимодействия между компонентами системы?

· По каким протоколам осуществляется взаимодействие?

· Какие программно-технические платформы используются при построении системы?

На этом этапе аудитору необходимо запастись следующей документацией:

· Структурная схема ИС;

· Схема информационных потоков;

· Описание структуры комплекса технических средств информационной системы;

· Описание структуры программного обеспечения;

· Описание структуры информационного обеспечения;

· Размещение компонентов информационной системы.

Тест на проникновение