Экспериментальный подход

Под экспериментальным подходом понимается организация процесса определения эффективности существующих КСЗИ пу­тем попыток преодоления защитных механизмов системы специ­алистами, выступающими в роли злоумышленников — активный аудит КСЗИ. Активный аудит может выполняться как своими силами (при наличии специалистов), так и за счет привлечения сторонней организации.

В настоящее время ФСТЭК разработан проект «Концепции аудита информационной безопасности систем информационных технологий и организаций». Данный проект документа содержит следующие разделы:

1. Общая характеристика состояния аудиторской деятельности в области информационной безопасности.

2. Основные виды и способы аудита информационной без­опасности.

3. Основные принципы аудита информационной безопасности.

4. Критерии аудита информационной безопасности.

5. Организационно-методологические основы проведения ауди­та информационной безопасности.

5.1. Взаимоотношение аудиторов с представителями проверяе­мой организации.

5.2. Управление программой аудита информационной безопас­ности.

5.3. Этапы проведения аудита информационной безопасности.

6. Инструментальное обеспечение аудита информационной безопасности.

7. Требования к кадровому обеспечению аудиторской деятель­ности в области информационной безопасности.

8. Реализация первоочередных мероприятий по обеспечению аудиторской деятельности в области информационной безопас­ности.

Согласно этому документу, под аудитом информационной без­опасности организации понимается периодический, незави­симый от объекта аудита и документированный процесс полу­чения свидетельств аудита и объективной их оценки с целью установления степени выполнения в организациях установлен­ных требований по обеспечению информационной безопасно­сти.

По содержанию аудит ИБ разделяется на следующие виды:

• аудит ИБ АС, эксплуатирующихся в организации;

• аудит ИБ организации.

Задачей аудита ИБ АС, эксплуатирующихся в организации, является проверка состояния защищенности конфиденциальной информации в организации от внутренних и внешних угроз, а также программного и аппаратного обеспечения, от которого за­висит бесперебойное функционирование АС. Данный вид подра­зумевает как документальный, так и инструментальный аудит со­стояния защищенности информации при ее сборе, обработке, хранении с использованием различных АС.

Задача аудита ИБ организации — проверка состояния защи­щенности интересов (целей) организации в процессе их реализа­ции в условиях внутренних и внешних угроз, а также предотвра­щение утечки защищаемой конфиденциальной информации, воз­можных несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Аудит ИБ АС, эксплуатирующихся в организации, может про­водиться как самостоятельный вид аудита, а также являться час­тью аудита ИБ организации. При этом он может проводиться во время проведения аудита ИБ организации или же при проведе­нии аудита ИБ организации могут использоваться результаты ра­нее проведенного аудита ИБ АС, эксплуатирующихся в организа­ции.

По форме аудит ИБ может быть внутренним и внешним. Внут­ренний аудит ИБ проводится самой организацией или от ее име­ни для внутренних целей и может служить основанием для при­нятия декларации о соответствии требованиям стандартов или нормативных документов по защите информации и обеспечению информационной безопасности. Внешний аудит ИБ проводится внешними независимыми коммерческими организациями, имею­щими лицензии на осуществление аудиторской деятельности в области ИБ.

Внешний аудит ИБ обязателен для всех государственных или негосударственных организаций, являющихся собственником или пользователем конфиденциальной информации, требующей за­щиты в соответствии с законодательством Российской Федера­ции, а также для всех организаций, эксплуатирующих объекты ключевых систем информационной и телекоммуникационной инфраструктуры Российской Федерации. Внешний аудит ИБ осу­ществляется в соответствии с Федеральными законами, стандар­тами и иными нормативными или правовыми актами по проведе­нию аудита ИБ.

Основной целью аудита ИБ является установление степени со­ответствия применяемых в организации защитных мер выбран­ным критериям аудита ИБ.

Целями аудита ИБ могут быть:

• потребности руководства организации в оценке защищенно­сти конфиденциальной информации, полноты и качества выпол­нения требований по обеспечению ИБ и защите информации;

• оценка полноты и качества выполнения требований, предъяв­ляемых к организации или АС, при их сертификации на соответ­ствие законодательным требованиям, стандартам по ИБ, норма­тивным документам или политикам безопасности либо требова­ниям, предусмотренным контрактом;

• установление соответствия требованиям потребителей или потребностям заинтересованных сторон;

• необходимость оценки поставщика услуг;

• оценка результативности системы управления ИБ для дости­жения конкретных целей;

• определение областей совершенствования обеспечения ИБ организации и защиты конфиденциальной информации.

Цели аудита ИБ определяет заказчик аудита ИБ. Исходя из целей аудита ИБ, заказчиком внешнего аудита ИБ может быть проверяемая организация или любая другая организация, имею­щая регулирующее или контрактное право заказывать аудит ИБ.

Аудитором по ИБ является физическое лицо, отвечающее ква­лификационным требованиям и имеющее квалификационный ат­тестат аудитора по ИБ, выдаваемый уполномоченным федераль­ным органом или органом по аккредитации аудиторской деятельности в области ИБ. Аудитор может осуществлять свою деятель­ность индивидуально или в составе аудиторской организации по ИБ.

Аудиторская организация по ИБ — это коммерческая органи­зация, осуществляющая аудиторские проверки по ИБ, оказываю­щая сопутствующие аудиту ИБ услуги. Аудиторская организация по ИБ осуществляет свою деятельность после получения лицен­зии от уполномоченного Федерального органа по аккредитации и лицензированию для выполнения аудита в области ИБ.

Тема 20.