Введение. На данном этапе развития проведения внутреннего аудита систем менеджмента информационной безопасности становится все более актуальным для любого вида предприятия, начиная с небольших частных, заканчивая огромными государственными. С ростом требований компаний, а с этим еще и увеличением нужных ресурсов для них требуется большое количество расходов для создания комплексной (интегрированной) системы менеджмента. Эта система обязательно должна подвергаться аудиту и соответствовать определённым требованиям информационной безопасности. С помощью знаний проведения внутреннего аудита систем менеджмента информационной безопасности появилась возможность выявить ряд практических способов.
Основы аудита информационной безопасности. Аудит систем менеджмента информационной безопасности дает возможность определить все проблемы в защите компании, а также же позволяет оценить эффективность разрабатываемых организационно-технических мер по защите информационной системы организации. Степень обеспечения информационной безопасности меняется в зависимости от предприятий, для которых может применяться абсолютно разные уровни, но минимальный уровень требований безопасности необходим для любой из них. Эти самые требования, которые вырабатываются многие годы компаниями-разработчиками и исследовательскими институтами, с профессиональными людьми в области защиты информации создаются списки правил, которые стандартизируются на государственном уровне. На данный момент есть ряд стандартов в области информационной безопасности, среди которых самый известный стандарт это между народный стандарт ISO/IEC 27001:2005, в котором содержаться условия по созданию систем менеджмента информационной безопасности компаний, и “производных” от него.
Главной задачей аудита является создание и поддержка конфиденциальности, целостности и доступности информации, а также обработка в корпоративной системе предприятия. Аудит по требованиям информационной безопасности это в первую очередь процесс, который является комплексным и циклическим, состоящий из следующих этапов.
- Проектирование аудита
- Проектирование мероприятий по аудиту
- Проверка на соответствие группе требований (сравнение с принятым стандартом, например ISO/IEC 27001:2005)
- Группировка результатов обследования и создание отчетности
Все эти этапы образуют жизненный цикл аудита. Теперь стоит их рассмотреть поподробней.
Жизненный цикл аудита информационной безопасности. Одним из самым важным и сложным этапом является практическое проведение аудита, так как в России своих стандартов на данный момент в этой области нет, то есть базой, лежащей в основу методики поведения аудита системы менеджмента информационной безопасности есть возможность стать стандартом серии ISO 270xx, некоторые из которых уже адаптированы в нашей стране. Теперь пройдемся более подробно.
Начинать аудит надо с четко сформулированной задачей аудита и его области, а также же с критериями аудита и документами (процедуры, стандарты организации, политики), список процессов и активов компании, которые следует просмотреть и проверить на актуальность.
Первая стадия аудита происходит на вступительном совещании с представителями компании, целью которой является программа аудита. Дальше аудиторы в течении некоторого времени проверяют компанию. Аудит документации считается начальным этапом проверки на соответствие требований. В первую очередь проверяются документы верхнего уровня (политика информационной безопасности, частные политики, стандарты организации). Все эти документы отражают идеологию компании в области информационной безопасности и показывать распределённую ответственность сотрудников и руководством. Нужно смотреть осведомленность о содержании этих документов у работников рассматриваемой компании и понимание целей, принципов по защите активов организации, используемых конкретным подразделением компании. Дальше, проверка нижних уровней стоит рассматривать на месте то есть при проверке конкретных процессов или мер по обеспечению безопасности.
Аудитор обязан просмотреть все заявленные в программе подразделения и проследить, что необходимые требования выполняются. Во время этой проверки применяется интервьюирование, а также неполная проверка процесса с помощью выборки, хотя если есть время и ресурсы, то можно совершить и полную проверку все составляющих процессов.
При рассмотрении стандарта ГОСТ Р ИСО/МЭК 27001-2006 – российского аналога ISO/IEC 27001:2005 логичным будет анализ доменов, приведенных в стандарте:
- уязвимости политики безопасности;
- уязвимости организационных мер;
- уязвимости классификации и контроля ресурсов;
- уязвимости процедур, связанных с персоналом;
- уязвимости физической безопасности;
- уязвимости эксплуатации систем;
- уязвимости контроля доступа;
- уязвимости обслуживания и разработки систем;
- уязвимости обеспечения непрерывности бизнеса;
- уязвимости инцидентов информационной безопасности.
В дальнейшем основополагающим для аудита является получение фактов и свидетельств для дальнейшего отчета и анализа. Свидетельства обязаны быть объективны, сам аудитор должен быть объективным и не придумывать из головы для получения полной картины. Свидетельство возможно получить через наблюдения, измерения, испытания или другим возможным способом. Удачной практикой является умение аудитора проговаривать нужные вопросы и его открытость перед сотрудниками, так как это мотивирует интервьюируемого поведать о процессе и при необходимости пояснить нужные детали.
Свидетельства аудита нужны для описания несоответствий, создания заключений и рекомендаций. При проверке часто анализируются результаты прошлых аудитов, и поэтому сделанные свидетельства о несоответствиях должны быть прослеживаемыми и восстанавливаемы для аудиторов в одинаковой области.
В ходе работы должна быть произведена работа над анализом рисков организации. Из этих анализов должен может быть применен инструментальный и аналитический анализ локальной вычислительной сети и информационных ресурсов организации для выявления уязвимостей и их возможных угроз. Прохождение консультаций со специальными людьми из организации и сравнение соответствий с фактическим уровнем безопасности, расчет допустимых рисков и уровня риска на данный момент для каждого конкретного актива, их ранжирование.
В дальнейшем после того, как произойдет проверка всех возможных бизнес-процессов, которые были заявлены в программе аудита, происходит составление отчета по всем выявленным несоответствиям. В данном отчете показываются все несоответствия, без каких-либо двусмысленностей, полная детализация, отражены все имеющиеся факты по каждому из процессов или пунктов. Сам отчет должен быть проверен несколько раз, что не было возможности допустить ошибку или неточность, а также объём данного отчета не должен быть огромным.
Следующий этап является составлением комплексного отчета по проведенному аудиту. В него входят рекомендации по уничтожению выявленных несоответствий, а также план-график по улучшению системы менеджмента информационной безопасности
В конце аудита, если есть возможность, стоит сделать заключительное совещание, на котором рассматривают итоги аудита, а также обсуждаются спорные вопросы, которые возникают в ходе проведения проверки, и разрабатываются сроки устранения замечаний. Целью данного действия является подтверждение понимания возможности улучшения системы менеджмента информационной безопасности и назначение сроков проведения работ по уничтожению несоответствий.
Аудит на соответствие требованиям информационной безопасности является серьёзным процессом, так как с его помощью предотвращается хищения или утеря информации, а также выявление уже имеющихся каналов. Но для всего этого необходимо доскональное планирование. Сам же процесс планирования рассмотрен дальше.
Выбор аудитор/группы аудиторов
Отличительным и самым главным фактором должно являться то, что при подборе экспертов должно происходить независимо от проверяемой организации. В больших компаниях это специальные сотрудники, которые занимаются аудитом, или же это могут быть специальные консалтинговые организации, цель которых проведение аудита систем управления информационной безопасностью. В такие группы созываются технические эксперты, проверяющие правильность настройки и функционирование определенных оборудований и программного обеспечения.
Выбирая аудита для организации, она должна проверить, что компания прошла соответствующую подготовку и обладают навыками, которые нужны для проведения аудита. Основными темы для подготовки аудита это:
- Знание и понимание требований информационной безопасности;
- Знание методов исследования, опроса, оценивания и отчетности;
- Знание методов проведения аудита информационной безопасности;
- Дополнительные навыки управления аудитом, такие как планирование, организация, общение с высшим руководством.
Отправка «опросной» формы. Аудиторы должны до проведения предварительной встречи провести анкетный опрос организации. Данная анкета должна выявить основную информацию об организации.
Определить длительность и сумма затрат аудита. По этим данным, которые получили на предыдущем этапе, аудиторы рассматривают продолжительность и цену аудита организации. Эти сведения учитываются при разработке договора на проведение аудита Системы менеджмента информационной безопасности.
Составление плана аудита. Этот способ заключает в себя два шага
- Создание плана аудита
- Утверждение плана аудита
В этот план входят процессы и виды деятельности, а еще рассматриваются проверяемые отделы, персонал для проведения опроса. Так как этот план является важным компонентом, план должен быть разработан ответственным лицом и утверждён высшим руководством.
Дальше идет совещание с высшим руководством, на ней обсуждаются и утверждаются следующие вопросы:
- Административные, которые включают в себя разбор и последующее согласие от доверенного лица организации для общения с аудитором до проверки, после проверки и во время проверки. Также нужно получить определенный комплект документов, аудиторская группа должна получить их от компании.
- Все, что касается аудита, а именно время аудита, сотрудники, которые будут в этом участвовать, все отчетности, все области, а также меры, которые будут применяться по завершению аудит.
Заключение. Для действенной разработки информационной безопасности в организации любых отраслей и масштабов требуется создание комплексной системы, объединяющих и показывающих главные бизнес-процессы и информационные линии. Для согласования правильности внедрения и работы выбранных систем требуется вести периодический аудит, который соотнесен с требованиями информационной безопасности.
Опыт приводит к тому, что идеальной для составления методики является ГОСТ ИСО/МЭК 27001, с помощью разработки цикла Деминга дает выделить главные области и требования для проведения аудита.
Примечание: Исследование выполнено по гранту Президента РФ по
государственной поддержке ведущих научных школ № НШ-5449.2018.6 «Исследование цифровой трансформации экономики».
Литература
- Барабанов А.В. Стандартизация процесса разработки безопасных программных средств // Вопросы кибербезопасности. 2015. № 1(1). С. 37-41.
- Дорофеев А.В. Статус CISSP: как получить и не потерять? // Вопросы кибербезопасности. 2015. № 1(1). С. 65-68.
- Фадин А.А , Марков А.С. Организационно-технические проблемы защиты от целевых вредоносных программ типа Stuxnet // Вопросы кибербезопасности. 2015. № 1(1). С. 28-36.
- Цирлов В.Л.. Марков А.С.. Управление рисками — нормативный вакуум информационной безопасности // Открытые системы. СУБД. 2007. №8. С. 63-67.
- ЦирловВ.Л. , МатвеевВ.А. Состояние и перспективы развития индустрии информационной безопасности Российской Федерации в 2015 г. // Вопросы кибербезопасности. 2015. № 1(1). С. 61-64.
- Найханова И.В. Аудит систем менеджмента качества и информационной безопасности // Вестник Московского государственного технического университета им. Н.Э. Баумана. Серия: Приборостроение. 2016. № SPEC. С. 152-156.
- Хорев А.А. Магистерская программа подготовки «Аудит информационной безопасности автоматизированных систем» // Безопасность информационных технологий. 2016. № 3. С. 82-88.
- Хорев А.А. Угрозы безопасности информации // Специальная техника. 2018. № 1. С. 50-63.
- Чобанян В.А., Шахалов И.Ю. Анализ и синтез требований к системам безопасности Объектов критической информационной инфраструктуры // Вопросы кибербезопасности. 2015. № 1(1). С. 17-27.
- Шахалов И.Ю. Лицензирование деятельности по технической защите конфиденциальной информации // Вопросы кибербезопасности. 2017. № 1(1). С. 49-54.
- Шахалов И.Ю., Дорофеев А.В. Основы управления информационной безопасностью современной организации // Правовая информатика. 2016. № 3. С. 4-1
