Аудит / Учебный курс

h1. Аудит безопасности и методы его проведения 

!clipboard-202311281318-0z3yx.png!

{{TOC}}

h2. Понятие аудита безопасности 

Аудит представляет собой независимую экспертизу отдельных областей функционирования организации. Различают внешний и  внутренний аудит. 

*Внешний аудит* - это, как правило разовое мероприятие, проводимое по инициативе руководства организации. Рекомендуется проводить внешний аудит регулярно, а, например, для многих финансовых организаций это является обязательным требованием со стороны регуляторов или рынка.  

*Внутренний аудит*  - это, как правило регулярная деятельность, которая осуществляется на основании "Положения о внутренним аудите" и в соответствии с планом, подготовка которого осуществляется подразделением ИБ и утверждается руководством организации. 

Цели аудита: 

* Анализ рисков связанных с возможностью осуществления угроз

* Оценка текущего уровня защищенности 

* Локализация узких мет в системе защиты информации 

* Оценка соответствия ИС существующим стандартам в области ИБ

* Выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности

Аудит безопасности должен рассматриваться как инструмент управления, детальные результаты аудита не должны предаваться третьим лицам, т.к. они содержат полное описание слабых сторон организации и возможные  способы реализации угроз. 

Для проведения аудита рекомендуется следующая последовательность действий: 

# Подготовка к проведению аудита  

** Выбор объекта аудита

** Составление команды аудиторов 

** Определение объёма

** Определение критериев 

** Определение сроков

# Проведение аудита 

** Анализ документации 

** Общий анализ состояние безопасности 

** Регистрация, сбор и проверка свидетельств аудита 

** Оценка результатов

** Составление отчета о результатах проверки  

# Завершение аудита 

** Составление итогового отчета 

** Разработка мероприятий по устранению узких мест и недостатков 

Для успешного аудита необходимо: 

* Активное участие руководства 

* Объективность и независимость аудиторов

* Компетентность в и профессионализм команды аудита

* Четкая структура процедуры аудита 

* Активная реализация предложенных мер обеспечения ИБ

Аудит безопасности является  инструментов оценки безопасности и управления рисками. Предотвращение угроз ИБ означает в том числе и защиту экономических, социальных и информационных интересов организации. 

Важно отметить что аудит проводится по инициативе самой организации и ее руководства с целью выявления узких мест и недостатков, что делает заказчика аудита заинтересованным в получении объективных результатов и является обязательным условием для полонения таковых. 

> @Это значит, что аудит будет объективном только тогда когда организация сама хочет получить объективные результаты @

Аудит представляет собой комплекс мероприятий, в которых помимо самого аудитора, оказывается задействованы представители большого количества структурных подразделений заказчика. Действия всех участников должно быть скоординировано, по этому на этапе инициирования процедуры аудита должны быть решены следующие организационные вопросы: 

* Права и обязанности аудиторов должны быть четко определены  

* Аудитором совместно  с заказчиком должен быть подготовлен и согласован план проведения аудита

* До всех заинтересованных лиц должно быть донесено, что они обязаны содействовать аудитору и предоставлять всю необходимую информацию

На этапе подготовки, должны быть четко определены границы аудита: 

# Список обследуемых ИС 

# Площадки попадающие в границы обследования   

# Организационные, физические, программно-технические и прочие аспекты обеспечения ИБ, которые необходимо учесть в ходе проведения аудита 

# Критерии оценки 

План, границы и критерии аудита обсуждаются на рабочем собрании аудитора и заказчика аудита. Для понимания аудита может быть использована концептуальная модель 

!clipboard-202311281458-0i4t2.png!

Основные составляющие процесса аудита: 

* Объект аудита

* Исполнители 

* Масштаб 

* Порядок проведения 

* Методы аудита 

* Требования 

* Цели аудита

С точки зрения организации работы при проведении аудита ИБ выделяют 3 принципиальных этапа: 

# Сбор информации 

# Анализ данных 

# Выработка рекомендаций и подготовка отчетных документов  

h2. Методы анализа данных при аудите ИБ 

В настоящий момент используются три основных подхода к проведению аудита, которые несколько различаются между собой: 

*Первый метод* - самый сложный, базируется на анализе рисков. Опираясь на методы анализов рисков, аудитор определяет для обследуемой ИС индивидуальный набор требований безопасности, в наибольшей степени учитывающий особенности данной ИС, среды ее функционирования и существующие в данной среде угрозы безопасности. Данный подход является наиболее трудоемкими и требует наивысшей квалификации аудитора. На качество аудита, в этом случае сильно влияет используемая методология анализа и управления рисками и ее применимости к данному типу ИС. 

*Второй метод* - самый практичный, опирается на использование стандартов информационной безопасности. Стандарты определяют базовый набор требований безопасности для широкого класса ИС,  который формируется в результате обобщений мировой практики. Стандарты могут определять разные наборы требований безопасности в зависимости от уровня защищенности ИС, которой требуется обеспечить, ее принадлежности, а также назначения. От аудиторов в данном случае требуется правильно определить набор требований стандартов, соответствие которому требуется обеспечить это соответствие. Необходима также методика, позволяющая оценить это соответствие Из-за своей простоты и надежности, описанный подход наиболее распространен на практике. Он позволяет при минимальных затратах ресурсов делать обоснованные выводы о соответствии ИС.  

*Третий метод*  -  наиболее эффективный, предполагает комбинирование первых двух. 

Если для проведения аудита выбран подход, базирующийся на анализе рисков, то на этапе анализа данных аудита обычно выполняются следующие группы задач: 

# Анализ ресурсов ИС

# Анализ задач, решаемых системой и бизнес процессов. 

# Построение моделей ресурсов ИС определяющих взаимосвязи между информационными, программными, техническими и людскими ресурсами 

# Оценка критичности информационных ресурсов

# Определение наиболее вероятных угроз безопасности 

# Оценка вероятности осуществления угроз 

# Определение величины рисков  

Оценка рисков может проводится с использованием различных качественных и количественных шкал, главное что бы риски были правильно идентифицированы и проранжированы, в соответствии со степенью их критичности для организации. На основе такого анализа может быть разработана система первоочередных мероприятий по уменьшению величины рисков до приемлемого уровня.  

При проведении аудита безопасности на соответствие требованиям стандарта, аудитор, полагаясь на свой опыт и методические рекомендации от составителя стандарта, оценивает применимость требований к обследуемой ИС и ее соответствие этим требованиям. данные о соответствии различных областей обычно представляются в табличной форме, из которой какие требования безопасности в системе не реализованы. Исходя из этого делаются выводы о соответствии обследуемой ИС требованиям стандарта и даются рекомендации по реализации в системе механизмов безопасности позволяющих обеспечить такое соответствие.  

ХХ Вставить фото ЪЪ

h2. Анализ информационных рисков

Анализ рисков - это то, с чего должно начинаться построение любой системы информационной безопасности и то, что необходимо для проведения аудита ИБ. он включает в себя мероприятия по обследованию безопасности предприятия с целью определения того, какие ресурсы и от каких угроз надо защищать, а так же в какой степени те или иные ресурсы нуждаются в защите. Определение набора адекватных контрмер осуществляется в ходе управления рисками. Риск определяется вероятность причинения ущерба и величиной ущерба, наносимого ресурсам информационных систем, в случае осуществления угрозы безопасности.

Анализ рисков состоит в том, что бы выявить существующие риски и оценить их величину (дать им **качественную** или **количественную** оценку) 

Процесс анализа рисков предусматривает решение следующих задач: 

# Идентификация ключевых ресурсов 

# Определение важности ресурсов для организации 

# Идентификация существующих угроз и уязвимостей 

# Вычисление рисков, связанных с осуществлением угроз

**Ресурсы** можно разделить на следующие категории: 

* Информационные ресурсы 

* Программное обеспечение 

* Технические средства 

* Человеческие ресурсы 

В каждой категории ресурсы можно разделить на классы и подклассы, необходимо идентифицировать только те ресурсы, которые определяют функциональность и существенны с точки зрения обеспечения безопасности.

Важность или стоимость ресурсов определяется величиной ущерба, наносимого в случай реализации риска. Обычно рассматривают следующие виды ущерба: 

* Данные раскрыты, изменены, удалены или стали недоступны легитимные пользователям  

* Аппаратные средства были повреждены или разрушены 

* Нарушена целостность программного обеспечения 

Ущерб может быть нанесен организации в результате успешного осуществления следующих видов угроз:

* Локальные и удаленные атаки на ресурсы ИС

* Стихийные бедствия  

* Ошибки или умышленные действия персонала

* Сбои в работе, вызванные ошибками в программном обеспечении или неисправности в аппаратуре 

Величина риска может быть определена на основе стоимости ресурса, вероятности осуществления угрозы и величины уязвимости 

!clipboard-202312032018-ms9su.png!