Заслуженный адвокат Союза адвокатов России


Телефон:
+7(908)590-52-56

График работы:
ПН-ПТс 9-00 до 19-00

Экспертиза и аудит информационной безопасности

Экспертиза и аудит информационной безопасности

            Экспертиза и аудит информационной безопасности осуществляется с целью выявления недостатков и уязвимых мест в системе компьютерной безопасности организации, а также для оценки эффективности ее работы. Понятие аудита по отношению к системам информационной защиты трактуется несколько иначе, нежели классический смысл, вкладываемый в этот термин. Подобная проверка по-другому может именоваться как оценка соответствия, аттестация или сертификация. В любом случае, аудит информационной безопасности представляет собой анализ информационной защиты компании, которая проводится с одной из следующих целей:

  1. Оценка соответствия системы существующим нормативным требованиям.
  2. Определение уровня обоснованности и правомерности всех принимаемых решений в области безопасности.

      Оценка эффективности и правильности работы системы может осуществляться по инициативе организации с целью повышения уровня ее информационной защищенности. В том случае, если компании необходимо установить соответствие систем безопасности нормативным предписаниям, фирма не может отказаться от проведения аудита, он осуществляется в обязательном порядке. Причем, если будут выявлены какие-либо отклонения от предписанных норм, организации грозит приостановление деятельности, штраф или иные санкции, предусмотренные законодательством.

        Особенно важным проведение экспертиза и аудита информационной безопасности становится в ситуации, когда компания по роду своей деятельности работает с конфиденциальными данными ее пользователей или клиентов. Защита подобной информации от доступа мошенников и прочих злоумышленников является не просто предосторожностью, по первейшей обязанностью организации.

ОСНОВНЫЕ НАПРАВЛЕНИЯ ОСУЩЕСТВЛЕНИЯ ЭКСПЕРТИЗЫ И АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

      Экспертиза и аудит информационной безопасности представляют собой комплексное, всестороннее исследование всех информационных систем заказчика, включая средства обмена информацией с его контрагентами. Совокупность информационных ресурсов при проведении анализа подразделяется на следующие компоненты:

  1. Организация специальных мероприятий по защите информационных ресурсов.
  2. Программно-аппаратные средства защиты информационных систем.
  3. Физическая безопасность информационной инфраструктуры.

При анализе организации защиты информации эксперт исследует следующие ее аспекты:

  1. Алгоритм осуществления бизнес-процессов, а именно методы обработки защищенных данных, механизмы обмена данными между структурными подразделениями организации, способы трансляции данных контрагентам и так далее.
  2. Пакет распорядительных документов, регулирующих данную сферу – должностные инструкции, положения, приказы и др.

При экспертизе программно-аппаратных средств защиты информационных систем особое внимание уделяется следующим моментам:

  1. Особенности конфигурационной настройки систем информационной защиты.
  2. Техническая документация, сопровождающая системы и средства информационной защиты.
  3. Обнаружение возможных уязвимых мест системы (производится с использованием специальных технических средств).

         Под физической безопасностью информационной инфраструктуры понимают ограничение доступа для посторонних лиц в помещения, в которых находится специальное оборудование, а также в помещения, где обрабатываются конфиденциальные сведения.

ЗАДАЧИ, РЕШАЕМЫЕ СПЕЦИАЛИСТАМИ В ОБЛАСТИ ЭКСПЕРТИЗЫ И АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

           В ходе проведения экспертных мероприятий специалисты в области экспертизы и аудита информационной безопасности решают множество задач, связанных с компьютерными системами, обеспечивающими защиту предприятия от противоправных действий преступников и конкурентов. Круг проблем, рассматриваемых специалистами, определяется существующими недостатками системы, предполагаемыми пробелами в защите и целями организации, являющейся инициатором исследования. Наиболее часто в ходе осуществления экспертизы решаются следующие задачи:

  1. Анализ событий, фактов и обстоятельств, представляющих угрозу информационной безопасности предприятия. Иное название данного комплекса экспертных действий – аудит сферы внешних информационных угроз.
  2. Экспертиза действующих на момент проведения исследования нормативных актов с целью оценки соответствия рабочей система данным документам.
  3. Поиск потенциально опасных узлов и подсистем действующей системы информационной безопасности.
  4. Оценка совокупности прав доступа членов организации и прогноз сохранения целостности информационной защиты предприятия.

ПОРЯДОК ПРОВЕДЕНИЯ ЭКСПЕРТИЗЫ И АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

              Существуют определенные правила относительно последовательности мероприятий, производимых в ходе экспертизы и аудита информационной безопасности. На первом этапе, который называется инициирование процесса аудита, происходит назначение данной проверки – принудительно или по желанию организации. Заключается договор на проведение данных мероприятий. На втором этапе происходит сбор информации. Для этого компания предоставляет все необходимые документы и сведения – по запросу специалиста. Кроме того, эксперт получает доступ к информационным системам организации и исследует их с помощью специальных средств. Следующим шагом является доскональный анализ всех полученных на предыдущем этапе данных. Эксперт исследует полученные данные и формулирует профессиональные выводы о состоянии систем информационной безопасности организации. На четвертом этапе, полагаясь на результаты проведенного анализа, эксперт приступает к формированию рекомендаций по устранению недостатков системы, исправлению уязвимых и слабых мест, подготовке специальных документов и мероприятий и так далее. На пятом, заключительном, этапе специалист, производивший исследование, приступает к составлению экспертного заключения или аудиторского отчета. Данный документ представляет собой основной смысл и результат проведения экспертизы или аудита информационной безопасности. Он содержит описание всех произведенных работ, выводы и рекомендации специалиста, а также ответы на поставленные перед ним вопросы.

ПРАВОВЫЕ ОСНОВЫ ПРОВЕДЕНИЯ ЭКСПЕРТИЗЫ И АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

           Требования к организации систем информационной безопасности, а также к проведению мероприятий по информационной защите зафиксированы в государственном стандарте ГОСТ Р ИСО/МЭК 27001-2006. Данный стандарт представляет собой пакет наилучших технологий управления информационной защитой и информационной безопасностью на крупных предприятиях. Российский стандарт является аналогом международного стандарта в данной области – ISO/IEC 27001:2005. Следует отметить, что небольшие фирмы, включая банки и прочие финансовые организации, не имеют возможности полностью выполнить прописанные в стандарте требования.

ВОПРОСЫ, КОТОРЫЕ СТАВЯТСЯ ПЕРЕД СПЕЦИАЛИСТОМ ПО ПРОВЕДЕНИЮ ЭКСПЕРТИЗЫ И АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

  1. Какова общая политика организации в области информационной безопасности?
  2. Обнаружены ли в ходе проведения экспертизы (аудита) слабые места систем информационной защиты?
  3. Каковы слабые места системы? Каким образом они могут быть исправлены?
  4. Каким образом организован доступ в помещения, в которых находится специальное оборудование?
  5. Каким образом устроена физическая безопасность помещений, в которых происходит обработка конфиденциальных данных?
  6. Соответствует ли организация информационной безопасности на предприятии требованиям стандарта?
  7. Каковы конфигурационные особенности системы защиты безопасности? Заключаются ли в ней какие-либо ошибки или уязвимые места?
  8. Какие недостатки или недочеты содержит пакет распорядительных документов?
  9. Каким образом налажены бизнес-процессы компании? Являются ли технологии их проведения оптимальными с точки зрения информационной безопасности?
  10. Есть ли недостатки в технической документации систем и средств информационной защиты?
  11. Безопасна ли передача данных контрагентам организации?
  12. Возможно ли нарушение конфиденциальности данных при переправке их между структурными подразделениями организации?
  13. Соответствуют ли требованиям стандарта методы обработки защищенных и конфиденциальных данных?

помощь адвоката

тел. 8 908 590 52 56