Под экспериментальным подходом понимается организация процесса определения эффективности существующих КСЗИ путем попыток преодоления защитных механизмов системы специалистами, выступающими в роли злоумышленников — активный аудит КСЗИ. Активный аудит может выполняться как своими силами (при наличии специалистов), так и за счет привлечения сторонней организации.
В настоящее время ФСТЭК разработан проект «Концепции аудита информационной безопасности систем информационных технологий и организаций». Данный проект документа содержит следующие разделы:
1. Общая характеристика состояния аудиторской деятельности в области информационной безопасности.
2. Основные виды и способы аудита информационной безопасности.
3. Основные принципы аудита информационной безопасности.
4. Критерии аудита информационной безопасности.
5. Организационно-методологические основы проведения аудита информационной безопасности.
5.1. Взаимоотношение аудиторов с представителями проверяемой организации.
|
|
5.2. Управление программой аудита информационной безопасности.
5.3. Этапы проведения аудита информационной безопасности.
6. Инструментальное обеспечение аудита информационной безопасности.
7. Требования к кадровому обеспечению аудиторской деятельности в области информационной безопасности.
8. Реализация первоочередных мероприятий по обеспечению аудиторской деятельности в области информационной безопасности.
Согласно этому документу, под аудитом информационной безопасности организации понимается периодический, независимый от объекта аудита и документированный процесс получения свидетельств аудита и объективной их оценки с целью установления степени выполнения в организациях установленных требований по обеспечению информационной безопасности.
По содержанию аудит ИБ разделяется на следующие виды:
• аудит ИБ АС, эксплуатирующихся в организации;
• аудит ИБ организации.
Задачей аудита ИБ АС, эксплуатирующихся в организации, является проверка состояния защищенности конфиденциальной информации в организации от внутренних и внешних угроз, а также программного и аппаратного обеспечения, от которого зависит бесперебойное функционирование АС. Данный вид подразумевает как документальный, так и инструментальный аудит состояния защищенности информации при ее сборе, обработке, хранении с использованием различных АС.
Задача аудита ИБ организации — проверка состояния защищенности интересов (целей) организации в процессе их реализации в условиях внутренних и внешних угроз, а также предотвращение утечки защищаемой конфиденциальной информации, возможных несанкционированных и непреднамеренных воздействий на защищаемую информацию.
|
|
Аудит ИБ АС, эксплуатирующихся в организации, может проводиться как самостоятельный вид аудита, а также являться частью аудита ИБ организации. При этом он может проводиться во время проведения аудита ИБ организации или же при проведении аудита ИБ организации могут использоваться результаты ранее проведенного аудита ИБ АС, эксплуатирующихся в организации.
По форме аудит ИБ может быть внутренним и внешним. Внутренний аудит ИБ проводится самой организацией или от ее имени для внутренних целей и может служить основанием для принятия декларации о соответствии требованиям стандартов или нормативных документов по защите информации и обеспечению информационной безопасности. Внешний аудит ИБ проводится внешними независимыми коммерческими организациями, имеющими лицензии на осуществление аудиторской деятельности в области ИБ.
Внешний аудит ИБ обязателен для всех государственных или негосударственных организаций, являющихся собственником или пользователем конфиденциальной информации, требующей защиты в соответствии с законодательством Российской Федерации, а также для всех организаций, эксплуатирующих объекты ключевых систем информационной и телекоммуникационной инфраструктуры Российской Федерации. Внешний аудит ИБ осуществляется в соответствии с Федеральными законами, стандартами и иными нормативными или правовыми актами по проведению аудита ИБ.
Основной целью аудита ИБ является установление степени соответствия применяемых в организации защитных мер выбранным критериям аудита ИБ.
Целями аудита ИБ могут быть:
• потребности руководства организации в оценке защищенности конфиденциальной информации, полноты и качества выполнения требований по обеспечению ИБ и защите информации;
• оценка полноты и качества выполнения требований, предъявляемых к организации или АС, при их сертификации на соответствие законодательным требованиям, стандартам по ИБ, нормативным документам или политикам безопасности либо требованиям, предусмотренным контрактом;
• установление соответствия требованиям потребителей или потребностям заинтересованных сторон;
• необходимость оценки поставщика услуг;
• оценка результативности системы управления ИБ для достижения конкретных целей;
• определение областей совершенствования обеспечения ИБ организации и защиты конфиденциальной информации.
Цели аудита ИБ определяет заказчик аудита ИБ. Исходя из целей аудита ИБ, заказчиком внешнего аудита ИБ может быть проверяемая организация или любая другая организация, имеющая регулирующее или контрактное право заказывать аудит ИБ.
Аудитором по ИБ является физическое лицо, отвечающее квалификационным требованиям и имеющее квалификационный аттестат аудитора по ИБ, выдаваемый уполномоченным федеральным органом или органом по аккредитации аудиторской деятельности в области ИБ. Аудитор может осуществлять свою деятельность индивидуально или в составе аудиторской организации по ИБ.
Аудиторская организация по ИБ — это коммерческая организация, осуществляющая аудиторские проверки по ИБ, оказывающая сопутствующие аудиту ИБ услуги. Аудиторская организация по ИБ осуществляет свою деятельность после получения лицензии от уполномоченного Федерального органа по аккредитации и лицензированию для выполнения аудита в области ИБ.
Тема 20.