Что такое экспертиза и аудит в сфере информационной безопасности? Какие задачи они решают?

Экспертизу и аудит информационной безопасности (ИБ) проводят, чтобы выявить недостатки и уязвимые места в системе компьютерной безопасности компании и для того, чтобы оценить эффективность ее работы. Подробнее о целях и задачах расскажем далее.

Цели аудита

То, как должны быть организованы системы информационной безопасности (ИБ) и как проводить мероприятия, направленные на защиту конфиденциальных данных, диктует ГОСТ Р ИСО/МЭК 27001-2006.

Анализ информационной защиты преследует две цели:

1. Оценить соответствие системы нормативным требованиям.
2. Определить степень правомерности и обоснованности принимаемых решений относительно ИБ.

Фирма самостоятельно может установить степень эффективности и правильности работы системы. Это нужно для того, чтобы повысить уровень информационной защищенности. Тогда проводится обязательный аудит. Если проверка покажет отклонения от установленных законодательством норм, компания рискует прекратить работу, попасть под штраф или иные взыскания.

Проводить экспертизу и аудит ИБ очень важно тем компаниям, которые работают с личными данными клиентов. В этом случае защита информации встает на первый план.

Главные направления

Экспертиза и аудит исследуют информационные системы (ИС) заказчика комплексно и со всех сторон, вместе со средствами обмена информацией и контрагентами. Проведение анализа включает:

1. Организацию мероприятий, направленных на защиту информационных ресурсов.
2. Программно-аппаратные средства защиты ИС.
3. Физическую безопасность информационной инфраструктуры.

Сначала специалист исследует:

• алгоритмы бизнес-процессов, методы обработки защищенных данных, способы обмена информацией между структурными подразделениями;
• содержание распорядительных документов, к которым относятся приказы или инструкции.

Когда проводится экспертиза программно-аппаратных средств защиты, исследуются:

• конфигурационная настройка систем защиты данных;
• технические документы, сопровождающие данные системы;
• поиск уязвимых мест с помощью аппаратуры.

Физическая безопасность информационной структуры – это ограничение входа для посторонних туда, где стоит аппаратура и в кабинеты обработки конфиденциальной информации.

Задачи экспертов

Задачи устанавливаются исходя из потребностей заказчика. Среди наиболее популярных:

1. Проведение анализа событий, обстоятельств и фактов, которые могут представлять угрозу для ИБ.
2. Проведение экспертизы нормативных документов, действующих на момент исследования.
3. Нахождение опасных узлов и подсистем действующей системы ИБ.
4. Проведение оценки прав доступа для работников фирмы, составление прогноза сохранения целостности информационной защиты.

Этапы

Экспертиза проходит в пять шагов:

1. Назначается проверка организации, заключается договор.
2. Осуществляется сбор информации с помощью документации и сведений, представляемых сотрудниками и руководством.
3. Анализ полученных данных.
4. Формирование рекомендаций по исправлению слабых мест, подготовка документации.
5. Составление экспертного заключения.

Решаемые вопросы

Задача проводимого экспертного исследования установить:

1. Принципы политики фирмы в отношении ИБ
2. Есть ли у системы слабые места, и как их устранить.
3. Как организован доступ в помещения, где установлено оборудование.
4. Как устроена физическая безопасность в кабинетах, где проходит обработка документации.
5. Насколько ИБ соответствует стандартным нормам.
6. Конфигурационные особенности системы защиты.
7. В чем слабости распорядительных и технических документов.
8. По каким принципам в фирме протекают бизнес-процессы.
9. Есть ли возможность передачи данных контрагентам фирмы и насколько это безопасно.
10. Была ли нарушена конфиденциальность информации во время отправки по подразделениям.
11. Степень соответствия стандартов обработки данных прописанным нормам.

Стоимость экспертизы для фирмы в среднем составляет 100 000 рублей. Процедура может быть назначена не только в добровольном, но и в судебном порядке. Если специалист укажет заведомо ложную информацию, его ждет уголовная ответственность.