Тема 10.3. Сбор информации аудита

Этап сбора информации аудита, является наиболее сложным и длительным. Это связано с необходимостью плотного взаимодействия аудитора со многими должностными лицами организации, а так же сложностью самой информационной системы и системы обеспечивающей ее безопасность.
Компетентные выводы относительно положения дел в компании с информационной безопасностью могут быть сделаны аудитором только при условии наличия всех необходимых исходных данных для анализа. Получение информации об организации, функционировании и текущем состоянии информационной системы осуществляется аудитором в ходе специально организованных интервью с ответственными лицами компании, путем изучения технической и организационно-распорядительной документации, а также исследования информационной системы с использованием специализированного программного инструментария. Остановимся на том, какая информация необходима аудитору для анализа.

Обеспечение информационной безопасности организации – это комплексный процесс, требующий четкой организации и дисциплины. Он должен начинаться с определения ролей и распределения ответственности среди должностных лиц, занимающихся информационной безопасностью. Поэтому первый пункт аудиторского обследования начинается с получения информации об организационной структуре пользователей системы и обслуживающих подразделений. В связи с этим аудитору требуется следующая документация:
• Схема организационной структуры пользователей;
• Схема организационной структуры обслуживающих подразделений.
• Обычно, в ходе интервью аудитор задает опрашиваемым следующие вопросы:
• Кто является владельцем информации?
• Кто является пользователем (потребителем) информации?
• Кто является провайдером услуг?
• Назначение и принципы функционирования ИС во многом определяют существующие риски и требования безопасности, предъявляемые к системе. Поэтому на следующем этапе аудитора интересует информация о назначении и функционировании ИС. Аудитор задает опрашиваемым примерно следующие вопросы:
• Какие услуги и каким образом предоставляются конечным пользователям?
• Какие основные виды приложений, функционирует в ИС?
• Количество и виды пользователей, использующих эти приложения?
• Ему понадобиться также следующая документация, конечно, если таковая вообще имеется в наличие (что, вообще говоря, случается нечасто):
• Функциональные схемы;
• Описание автоматизированных функций;
• Описание основных технических решений;
• Другая проектная и рабочая документация на информационную систему.
• Далее, аудитору требуется более детальная информация о структуре ИС. Это позволит уяснить, каким образом осуществляется распределение механизмов безопасности по структурным элементам и уровням функционирования ИС. Типовые вопросы, которые обсуждаются в связи с этим во время интервью, включают в себя:
• Из каких компонентов (подсистем) состоит ИС?
• Функциональность отдельных компонент?
• Где проходят границы системы?
• Какие точки входа имеются?
• Как ИС взаимодействует с другими системами?
• Какие каналы связи используются для взаимодействия с другими ИС?
• Какие каналы связи используются для взаимодействия между компонентами системы?
• По каким протоколам осуществляется взаимодействие?
• Какие программно-технические платформы используются при построении системы?

На этом этапе аудитору необходимо запастись следующей документацией:
• Структурная схема ИС;
• Схема информационных потоков;
• Описание структуры комплекса технических средств информационной системы;
• Описание структуры программного обеспечения;
• Описание структуры информационного обеспечения;
• Размещение компонентов информационной системы.

Фактически этот список является перечнем сведений, которые должны содержаться в политике безопасности предприятия. Когда все необходимые данные по ИС, включая документацию, подготовлены, можно переходить к их анализу.