Аудит информационной безопасности предприятия. Что получит заказчик?

Информационная безопасность – одна из важнейших составляющих общей безопасности предприятия. Периодический анализ состояния информационной защищенности позволяет вовремя устранить уязвимости и избежать утечки экономических и личных данных компании. Для проверки состояния защиты используется аудит.

Аудит состояния безопасности информационной системы – системный анализ, позволяющий получить объективные качественные и количественные данные о текущем состоянии информационной безопасности компании. Оценка (результат аудита) дается в соответствии с заранее обозначенными критериями и показателями безопасности.

В широком смысле, аудит сводится к проверке системы информационной безопасности предприятия и сравнению полученных данных с идеальными показателями безопасности, взятыми в качестве ориентира. Задача такого аудита состоит в том, чтобы наглядно продемонстрировать существующие уязвимости и выделить сектора, которые требуют дальнейшей переработки с целью улучшить состояние информационной защиты. 

Аудит информационной безопасности включает в себя три основных составляющих:

• Средства и способы проверки (инструменты аудита);
• Результат проверки (оценка текущего состояния системы информационной безопасности);
• Идеал, с которым сравнивается результат проверки.

Виды аудита

Аудит информационной безопасности предприятия проводится по-разному. Существующие методы аудита отличаются в зависимости от целей, которые преследуют, и инструментов, которые используют для анализа.

1. Активный аудит

Активный аудит является одним из самых широко используемых и востребованных видов аудита. Подобное исследование проводится с целью изучения текущего состояния защищенности информационной системы от хакерских и других атак извне.

Проверка проводится посредством моделирования ситуации. Во время проверки на систему сетевой защиты предприятия обрушивается как можно большее количество искусственно созданных контролируемых сетевых атак, которые потенциально может выполнить хакер. Во время проверки аудитор находится в тех же условиях, в которых работает злоумышленник: из информации о предприятии предоставляется только та, которую можно найти в открытых источниках в сети. При активном аудите хакерская атака всего лишь искусственно моделируются с целью выявить уязвимости и не оказывают реального воздействия на систему информационной безопасности.

В результате проведения проверки специалисты предоставляют отчет и рекомендации по модернизации системы безопасности. Рекомендации, как правило, содержат меры, которые позволят устранить существующие опасные уязвимости и максимально возможно повысить уровень защищенности информационной системы от воздействия внешних вирусов и хакерских атак.

Активный аудит — проверка, которую периодически необходимо проводить на каждом предприятии. Проведение активного аудита раз в год или чаще позволяет удостовериться, что уровень системы сетевой безопасности остается на удовлетворительном уровне.

Впрочем, следует понимать, что активный аудит – это лишь часть общего аудита системы безопасности; без проведения других видов анализа полученные в ходе активного аудита рекомендации могут оказаться недостаточными для создания максимально защищенной системы информационной безопасности. Для достижения идеала необходим комплексный подход.

2. Экспертный аудит

Экспертный аудит – это анализ с привлечением экспертов по информационной безопасности. В процессе проведения данного вида анализа экспертами, на основе имеющегося у них опыта, выявляются недостатки и пробелы в системе защиты информации. Для проведения данного вида анализа специалисты используют разнообразные методы, которые, по их мнению, могут дать наиболее показательный результат для конкретного случая.

Экспертный аудит заключается в подробном исследовании системы защиты автоматизированной системы заказчика и в ее сравнении с некоторой идеальной моделью обеспечения информационной безопасности. Важно отметить, что идеальная модель, с которой сравнивают имеющуюся систему, в каждом конкретном случае может быть своя. Идеальная модель формируется заранее на основании требований заказчика и собственного опыта компании-аудитора. В широком смысле идеальная модель представляет собой идеальную максимально защищенную систему безопасности данного предприятия.

После проведения проверки предприятию предоставляется развернутый отчет, в котором содержится информация о найденных уязвимостях в системе безопасности. Отчет, кроме анализа уязвимостей, содержит рекомендации по устранению неполадок и рекомендует проведение дальнейших мероприятий с целью улучшить состояние защиты информационной системы.

3. Аудит на соответствие стандартам

Еще один достаточно востребованный тип аудита. Суть данного вида анализа наиболее приближена к тем формулировкам и целям, которые существуют в финансовой сфере. Анализ на соответствие стандартам показывает, насколько точно система защиты информации предприятия выполняет предусмотренные законом и прочими правовыми нормами требования к безопасности предприятия.

Данный вид аудита используется компаниями при проведении обязательной и необязательной сертификации.

Аудит на соответствие стандартам необходим в тех случаях, когда на предприятии проходит:

• Обязательная сертификация;
• Сертификация, вызванная «внешними» объективными причинами;
• Сертификация, позволяющая получить выгоды в долгосрочной перспективе;
• Добровольная сертификация.

Каждый из вышеперечисленных видов аудита может проводиться отдельно или в комплексе в зависимости от тех задач, которые необходимо решить в организации.

После проведения квалифицированного аудита Заказчик получает полное представление о тех мерах и действиях, которые должен совершить для обеспечения качественной информационной безопасности своего предприятия.