Основные аспекты аудита информационной безопасности

Аудит информационной безопасности – это систематический, независимый и документируемый процесс получения свидетельств деятельности организации по обеспечению информационной безопасности и установлению степени выполнения в организации критериев информационной безопасности, а также допускающий возможность формирования профессионального аудиторского суждения о состоянии информационной безопасности организации [1].
К задачам аудита относится:
Анализ информационной системы общества и используемых средств информационной безопасности;
Идентификация информационных активов организации;
Выявление уязвимостей выявленных информационных активов;
Оценка угроз активам;
Оценка средств повышения уровня информационной безопасности в обществе;
Выбор средств информационной безопасности и разработка их применения в организации;
Оценка экономической эффективности использования выбранных средств.
Отметим, что в современных условиях аудит является почти незаменимым инструментом для проведения комплексных исследований и оценки информации, принятия управленческих решений, прогнозирования развития всего бизнеса и его информационной системы в частности, а также инструментом поддержки управления этими системами [5, с. 103].
Аудит информационной безопасности подразделяется на внутренний и внешний и может проводиться сторонними лицензированными организациями и собственным отделом безопасности организации

. В рамках аудита решаются задачи проверки соответствия текущего уровня безопасности требованиям регуляторов, выявления уязвимостей и потенциальных рисков, а также выдачи отчета и рекомендаций по дальнейшим действиям. При этом внешний аудит обычно проводится либо в рамках сертификационных испытаний и в соответствии с требованиями нормативно-методической документации контролирующих органов, либо по инициативе руководства.
Внутренний аудит необходим для регулярного мониторинга состояния безопасности системы с целью управления инцидентами ИБ и поддержания приемлемого уровня безопасности системы. Он также может быть выполнен для подготовки к внешнему аудиту или получения сертификата соответствия.
Аудит может проводиться экспертным путем и/или с помощью специализированных инструментальных средств оценки и поддержки принятия решений [4]. Наиболее часто при проведении аудита ИБ используются системы ГРИФ, КОНДОР, CRAMM, RiskWatch.
Можно выделить основные виды аудита ИБ:
экспертный аудит безопасности, в ходе которого выявляются недостатки в системе мер защиты информации на основе опыта экспертов, которые участвуют в процедуре обследования;
оценка соответствия рекомендациям международного стандарта ISO 17799, а также требованиям руководящих документов ФСТЭК;
инструментальный анализ защищенности ИС, который направлен на выявление и устранение уязвимостей программно-аппаратного обеспечения системы;
комплексный аудит, который включает в себя все вышеперечисленные формы проведения обследования.
В целом аудит безопасности, независимо от формы его проведения, состоит из четырех основных этапов, каждый из которых предусматривает выполнение определенного круга задач:
Разработка регламента проведения аудита;
Сбор исходных данных;
Анализ полученных данных с целью оценки текущего уровня безопасности;
Разработка рекомендаций по повышению уровня защиты АС предприятия.
Существуют определенные правила относительно последовательности мероприятий, производимых в ходе экспертизы и аудита информационной безопасности