Материалы
АУДИТ И КОНСАЛТИНГ
АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ - это системный процесс получения объективных качественных и количественных оценок текущего состояния корпоративной информационной системы в соответствии с определенными критериями информационной безопасности.
Обеспечение информационной безопасности - это непрерывный процесс, взаимоувязывающий правовые, организационные и программно-аппаратные меры защиты. Необходимо регулярно проводить аудит информационной безопасности, для того чтобы дать объективную оценку защищенности ресурсов информационной системы.
ГОСУДАРСТВЕННОЕ ПРЕДПРИЯТИЕ "НИИ ТЗИ" ПРОВОДИТ СЛЕДУЮЩИЕ ВИДЫ АУДИТА:
-
аудит систем безопасности и решений средств защиты информации, информационных ресурсов и информационных систем;
-
аудит политик и концепций правил безопасности объектов и подсистем;
-
аудит информационных систем и ресурсов;
-
экспертный аудит.
Экспертный аудит информационной безопасности позволяет принять обоснованные решения по использованию мер защиты, необходимых для отдельно взятой организации, оптимальных в соотношении их стоимости и возможности осуществления угроз нарушения информационной безопасности.
Экспертный аудит информационной безопасности подразумевает под собой обследование информационно-телекоммуникационной системы(ИТС), которая включает в себя: физическую, информационную, технологическую среды и среду пользователей.
Аудит информационный среды характеризует обрабатываемую информацию, виды информации, требования по ее защите, режимы доступа к ней, схемы информационных потоков и особенности технологии ее обработки.
В ПРОЦЕССЕ АУДИТА ФИЗИЧЕСКОЙ СРЕДЫ ОРГАНИЗАЦИИ ОПИСЫВАЮТСЯ СЛЕДУЮЩИЕ ХАРАКТЕРИСТИКИ:
- территориальное размещение компонентов ИТС;
- наличие охраняемой территории, пропускного режима, пожарной и охранной систем сигнализации, средств видеонаблюдения;
- режим доступа к компонентам физической среды;
- наличие элементов коммуникаций, систем жизнеобеспечения и связи, имеющих выход за пределы контролируемой территории;
- влияние факторов окружающей среды на защищенность информации и условия хранения магнитных, оптикомагнитных, бумажных и других носителей информации.
ПРИ ОБСЛЕДОВАНИИ ТЕХНОЛОГИЧЕСКОЙ СРЕДЫ ОРГАНИЗАЦИИ ДАЕТСЯ ОПИСАНИЕ:
-
общей схема ИТС, ее состава (перечень оборудования, технических и программных средств, их связи, архитектура и топология, особенности конфигурации, программные и аппаратно-программные средства защиты информации);
-
видов и характеристики каналов связи; особенностей взаимодействия компонентов ИТС;
-
возможных ограничений относительно использования технических и программных средств;
-
наличия документации на ИТС и ее компоненты.
В ХОДЕ АУДИТА СРЕДЫ ПОЛЬЗОВАТЕЛЕЙ ОПИСЫВАЮТСЯ:
-
наличие распорядительной документации с регламентацией деятельности персонала по обеспечению информационной безопасности в ИТС;
-
наличие службы (отдела) по защите информации, ее обязанности и полномочия;
-
функциональный и качественный состав пользователей ИТС организации, их функциональные обязанности, квалификация;
-
полномочия пользователей по организации доступа к сведениям, обрабатываемых в ИТС, и по управлению средствами защиты в ИТС.
При обследовании ИТС отдельным моментом является тестирование на уязвимости. Далее проводится анализ рисков и после составления перечня обнаруженных уязвимостей дается общая оценка защищенности ИТС. Вся информация, полученная в результате аудита, является основой для формирования требований к комплексной защите информации ИТС.