Современные компании и предприятия все чаще стараются практически полностью автоматизировать многие бизнес-процессы, используя средства вычислительной техники и телекоммуникаций. В наши дни информационные средства являются неотъемлемой частью развития бизнеса. Для обеспечения эффективности
работы коммерческих и государственных предприятий ключевую роль играют
информационные системы (ИС). Информационный поток становится все больше и объемнее, ведь это один из ключевых ресурсов любой организации, от которого напрямую зависит успешность и прибыльность предприятия.
Информационные системы развиваются каждый день. Они эволюционируют и видоизменяются. В некоторых случаях может возникнуть ситуация, в которой система еще работает, но нет точного ответа. как она поведет себя в случае возникновения угрозы. В данном случае для эффективной защиты требуется объективная оценка
уровня безопасности ИС.
Решением этой проблемы является аудит информационной безопасности
(ИБ). Конкретизированного определения для данного процесса не существует. Но можно точно сказать, что аудит ИБ является системным процессом, направленным на сбор свидетельств, получение качественных и количественных оценок относительно состояния технологического или бизнес-процесса. А также элементов ИТ-инфраструктуры, и их соотнесение с необходимыми критериями (законами, стандартами, политиками и прочее). Если говорить общедоступным языком, аудит дает понимание того, насколько та или иная информационная система защищена от внешних и внутренних угроз. Специалисты оценивают состояние защиты ИТ-инфраструктуры, а также дают рекомендации по устранению нарушений.
Как проходит аудит
Для того чтобы провести подобную проверку компании привлекают сторонних специалистов. Только грамотный и системный подход позволит обеспечить всестороннюю защиту информации в компании. А также устранить возможные пробелы при реализации угроз безопасности информации. Регулярные аудиты ИБ помогают выявить уязвимые места как в программных, так и программно-аппаратных элементах инфраструктуры.
Этапы аудита процессов обеспечения информационной безопасности компании:
1. Составление плана аудита и выявление зоны проверки
Аудит процессов обеспечения информационной безопасности начинается с определения того, какие процессы и информационные системы будут входить в рамки проекта.
2. Формирование группы специалистов
Аудит - комплексное мероприятие, в котором задействована целая рабочая группа, а не один специалист. Работники определяют формат и правила взаимодействия во время проекта и только после этого приступают к работе
3. Осуществление сбора первичной информации и ее анализ.
Специалистам по аудиту необходимо собрать всю информацию в тех местах, в которых она задокументирована. Также на этом этапе проводится интервью с ответственными сотрудниками IT подразделения, руководителями бизнес-процессов, а также со службой ИБ, если подобная существует в штате.
4. Анализ полученной информации и оценка рисков.
После сбора всей необходимой информации, происходит анализ на соответствие с лучшими практиками и принятыми стандартами информационной безопасности.
5. Разработка плана по управлению рисками.
Специалисты выявляют приоритетные риски. И на основе этого анализа создается план по управлению рисками. Выделяется несколько групп рисков: критические, средние, низкие.
6. Разработка рекомендаций по управлению рисками.
После этого, ответственным сотрудникам и руководству компании даются рекомендации по управлению этими рисками: о возможной минимизации, передаче информации, отказе или принятии в тех процессах или ситуациях, когда это возможно.
7. Подготовка итогового отчёта.
В конце проекта готовится итоговый отчёт, который содержит в себе перечень выявленных рисков информационной безопасности, а также подробные рекомендации по устранению или снижению этих рисков.
Результаты аудита информационной безопасности
По результатам аудита процессов обеспечения информационной безопасности компания получает:
- оценку текущего уровня защищенности компании с точки зрения информационной безопасности;
- обнаружение пробелов и уязвимых мест в процессах и системах обеспечения информационной безопасности компании. Именно такие проблемы в дальнейшем могут привести к взлому, утечке, похищению информации, а также другим инцидентам;
- необходимые рекомендации, которые повысят по уровень защищенности. Их необходимо внедрить в работу информационных систем незамедлительно, чтобы минимизировать риски.
Чаще всего рекомендации специалистов направлены не на полное устранение всех выявленных рисков, а лишь на уменьшение до уровня, который является для компании приемлемым. Стоит понимать, что организация мер безопасности, связанных с рисками взлома информационных систем или утечки информации, не должна финансово превышать стоимость самих защищаемых ресурсов. Компания, проводящая аудит, оценивает все риски и возможные убытки от предполагаемого нарушения конфиденциальности, целостности или доступности информации. Только на основе этой информации выдается рекомендации.
Результаты подобных проверок помогают сформировать стратегию развития системы обеспечения информационной безопасности организации. Стоит помнить, что аудит ИС должен проводиться на регулярной основе. Тогда данная проверка будет приносить реальную отдачу и способствовать повышению уровня информационной безопасности компании.
