Автор: Алексей Спирин. Рубрики: Безопасность. Опубликовано: Февраль 24th, 2010

Есть такое понятие, как аудит информационной безопасности. Понятие весьма часто употребляется как среди компаний-заказчиков, так и среди профессионалов в сфере IT. В тоже время, аудит — понятие растяжимое. Под аудитом могут пониматься мероприятия различные как по виду, так и по содержанию. Кратко опишу эти и другие аспекты темы.
Прежде всего, необходимо сказать о том, что аудит может быть вызван разными предпосылками. Предпосылки бывают внутренние и внешние.
1. Внутренние. Организация желает убедится в том, что ее информационные ресурсы являются достаточно защищенными и система информационной безопасности в удовлетворительном состоянии. Типичный случай для организаций, которые сконцентрированы на IT-решениях без системного выполнения требований ИБ. Тем не менее, даже для организаций с сильной службой ИБ, периодическая (ежегодная) проверка системы безопасности сторонней компанией является хорошей практикой. В рамках такой проверки может выполняться так называемый pentest (penetration test, тест на проникновение), который, при правильном проведении, является очень наглядным способом понять действительное состояние защищенности. Корректно такой вид аудита называется «обследование информационной безопасности».
2. Внешние. Организация должна соответствовать международным или национальным стандартам безопасности или выполнять требования по ИБ тех или иных отраслевых стандартов. В данном случае, необходимость быть защищенным диктуется извне и напрямую затрагивает возможность организации осуществлять свою деятельность. Если вы не выполняете требования PCI DSS, то вы не можете обрабатывать пластиковые карты. Если вы не выполняете требования РФ по защите конфиденциальной информации, то вы не можете работать с такой информацией. Т.е. из этого следует два вывода: 1) вы должны выполнять требования по защите 2) вы должны доказать, что требования выполняются. Последнее показывается в процессе прохождения аудита. Как правило, аудит на соответствие формальному стандарту защищенности может выполнять только сертифицированный аудитор, имеющий подтверждающие документы от руководящей организации. Список сертифицированных аудиторов обычно доступен на сайте такой организации.
Как я уже сказал, аудит всегда проводится на соответствие чему-то. Это либо «наилучшие практики» (в случае обследования информационной безопасности), либо какие-то формализованные в виде стандарта ИБ требования. В каждом случае есть свои особенности. В случае проведения обследования отсутствуют четкие критерии качества проводимого аудита и многое зависит от опытности и добросовестности компании-аудитора. В тоже время обследование может проводится в рамках и областях более отвечающих требованиям заказчика, дать более точную оценку защищенности заказчика. В результате обследования, как правило, выдается отчет о текущем положении дел и детальные предложения по исправлению ситуации. В результате аудита, как правило, отчет о текущем положении дел и сертификат соответствия вертикальным требованиям (если все хорошо).
В идеале, аудитор должел обладать всей полнотой знаний специалиста проверяемой информационной системы. Приведу пример для родной для меня области — сетевой безопасности. Если компания-заказчик желает проверить состояние защищенности своей корпоративной сети и сетевой инфраструктуры, то будет хорошей идеей обратиться за аудитом в компанию, которая профессионально занимается построением защищенных сетей. Именно она может наиболее четко понять и показать разницу между «как есть» и «как должно быть».
Что обычно входит в аудит или обследование? Типовой набор — интервью со специалистами заказчика, изучение рабочей и эксплуатационной документация, инструментальная проверка информационных систем сканерами безопасности и т.д., изучение настроек подсистем безопасности.

Поделиться

Опубликовать в Facebook
Опубликовать в Google Buzz
Опубликовать в Google Plus
Опубликовать в LiveJournal
Опубликовать в Мой Мир
Опубликовать в Одноклассники
Опубликовать в Яндекс

Мы в социальных сетях

Читать ProITClub в TwitterЧитать ProITClub в RSSЧитать ProITClub в п&##1086;чтовой подпискеЧитать ProITClub в Живом ЖурналеЧитать ProITClub в LinkedInЧитать ProITClub в LinkedIn
Вы можете оставить комментарий, или поставить трэкбек со своего сайта.

Написать комментарий

Вы должны войти чтобы добавить сообщение.