Аудит на соответствие стандартам

Суть данного вида аудита наиболее приближена к тем формулировкам и целям, которые существуют в финансовой сфере - при проведении данного вида аудита состояние информационной безопасности сравнивается с неким абстрактным описанием, приводимым в стандартах.

Официальный отчет, подготовленный в результате проведения данного вида аудита, включает следующую информацию:

· степень соответствия проверяемой информационной системы выбранным стандартам;

· степень соответствия собственным внутренним требованиям компании в области информационной безопасности;

· количество и категории полученных несоответствий и замечаний;

· рекомендации по построению или модификации системы обеспечения информационной безопасности, позволяющие привести её в соответствие с рассматриваемым стандартом;

· подробная ссылка на основные документы заказчика, включая политику безопасности, описания процедур обеспечения информационной безопасности, дополнительные обязательные и необязательные стандарты и нормы, применяемые к данной компании.

Ниже перечислены примеры стандартов, на соответствие которым проводится аудит системы информационной безопасности:

ü существующие руководящие документы Гостехкомиссии:

o «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (далее - РД для АС).

o «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К).

o «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» (ГОСТ Р ИСО/МЭК 15408-2002 или «Общие критерии»).

ü Зарубежные и международные стандарты:

o Международный стандарт ISO/IEC 17799 «Информационные технологии. Управление информационной безопасностью» (Information Technology - Information Security Management). На сегодняшний день является одним из самых распространенных и широко применяемым стандартом во всем мире.

o Международный стандарт WebTrust. Применим для подтверждения высокого уровня защищенности системы электронной коммерции и web-сервисов.

Причины проведения аудита на соответствие стандарту (и сертификации) можно условно разделить по степени обязательности данной услуги по отношению к компании: обязательная сертификация; сертификация, вызванная «внешними» объективными причинами; сертификация, позволяющая получить выгоды в долгосрочной перспективе; добровольная сертификация. Государственные организации, которые обрабатывают сведения, составляющие государственную тайну, в соответствии с российским законодательством обязаны проводить аттестацию информационной системы (во многом процедура аналогична сертификации). Однако такие организации чаще всего пользуются не услугой аудита на соответствие стандартам, а в обязательном порядке проводят аттестацию собственных информационных систем при участии аттестационных центров.

Учитывая распространенности услуги аттестации и многолетнего опыта работы аттестационных центров, услуга аудита на соответствие РД для АС по трудозатратам аудитора, а, значит, и по стоимости, приравнивается к услуге аттестации, поэтому клиенту выгодно приобретать именно последнюю.

Среди государственных организаций (а также среди «полугосударственных» - организаций с большой долей уставного капитала, принадлежащего государству) велика доля тех, кто в соответствии с законодательством не обязан проводить аттестацию информационной системы. Для них аудит на соответствие стандартам более актуален. Чаще всего его проводит компания-интегратор, которая имеет большой опыт успешного взаимодействия с компанией-заказчиком. При необходимости в качестве субподрядчиков привлекаются аттестационные центры.

В последнее время все большее количество компаний рассматривают получение сертификата, подтверждающего высокий уровень информационной безопасности, как «козырь» в борьбе за крупного клиента или делового партнера. В этом случае целесообразно проведение аудита и последующей сертификации на соответствие тем стандартам, которые являются значимыми для клиента или делового партнера.

Иногда руководство компании проявляет инициативу по сертификации системы информационной безопасности. Для таких организаций важны не только защита собственных ресурсов, но и подтверждение со стороны независимого эксперта (в роли которого выступает компания-аудитор) высокого уровня защиты.

Комплексный аудит

Комплексный аудит информационной безопасности – независимая экспертиза текущего состояния системы ИБ предприятия, устанавливающая уровень ее соответствия выбранным критериям, и предоставление результатов в виде рекомендаций.

Таким образом, комплексный аудит информационной безопасности дает ответ на вопросы:

· комплексной оценки состояния системы информационной безопасности предприятия;

· соответствия системы информационной безопасности выбранным критериям;

· локализации имеющихся проблем;

· формирования оптимальной и эффективной программы построения системы обеспечения информационной безопасности организации.

Комплексный аудит включает в себя:

1. Анализ механизмов безопасности организационного уровня.

2. Анализ политики безопасности организации и организационно-распорядительной документации.

3. Проведение оценки соответствия механизмов и политик безопасности требованиям нормативных документов и адекватности существующим рискам.

4. Инструментальный анализ защищенности внешнего периметра и внутренней ИТ-инфраструктуры организации.

Комплексный аудит информационной безопасности проводится с обязательным привлечением штатного персонала, ответственного за обеспечение функционирования системы информационной безопасности, что помогает в случае необходимости в дальнейшем проводить периодические аудиты внутренними силами.

Ценность в совместной работе состоит в том, что, работая по проектам аудита, проводится независимая оценка, что повышает степень объективности результатов. Кроме того, высокая квалификация и больший опыт подобной работы позволяет провести работу в кратчайшие сроки с заданным качеством.

Таким образом, комплексный аудит ИБ включает в себя комбинацию всех перечисленных выше видов аудита.