Аудит информационной безопасности предприятия: понятие, стандарты, пример. Аудит информационных систем

Целью сбора информации является формирование свидетельств ау­дита.

Процесс сбора и обработки информации осуществляется по следую­щей схеме:

Выбор источников информации;

Сбор информации;

Формирование свидетельств аудита.

Выбор источников информации

Выбор источников информации осуществляется аудитором в зави­симости от объема и сложности проверки.

Источниками исходной информации для аудитора в ходе проверки выступают:

Документы, регламентирующие деятельность подразделения и/или процессы (положение о подразделении, должностные инст­рукции, процедуры, рабочие инструкции, методики, приказы, распоряжения, разрешения и др.),

Планы, акты, регистрационные журналы (журналы измерений), протоколы совещаний, программы и журналы обучения, средства труда, компьютерные базы, элементы инфраструктуры, произ­водственная среда и др.

Источником информации для аудитора могут быть данные, полученные за пределами аудитируемого подразделения, на­пример, от службы качества, от других подразделении и пр.

Методы сбора информации

Метод сбора информации – способ решения задачи, связанной со сбором информации.

Информация, относящаяся к целям, объектам и критериям аудиторской проверки, собирается аудитором различными методами.

Осмотр

Осмотр – обследование, сделанное в ходе проверки и основанное зрительном восприятии аудитора.

Известно, что благодаря зрению, человек получает до 85% поступающей к нему информации.

В ходе осмотра аудитор ищет главным образом материальные доказательства соответствия. Это особенно важно при проверке, проводимой в производственных помещениях, в лабораториях, на складах хранения про­дукции и т.п.

Объекты осмотра:

Документация – процедуры и записи (наличие, состояние, доступность);

Производственная среда – состояние рабочих мест (соответст­вие технологии, обеспечение безопасности);

Инфраструктура – оборудование, оснастка, инструмент, энерго­обеспечение, транспорт, связь (наличие, состояние, соответствие технологии);

Средства измерения, контроля и испытаний (наличие, состояние, соответствие технологии, метрологическим правилам и нормам);

Персонал (наличие, квалификация, поведение);

Продукция (порядок обращения, соответствие технологии).

При осмотре аудитор должен быть внимателен к деталям.

Опрос

Опрос - метод получения первичной информации об объеме ауди­торской проверки в виде ответов на вопросы. В приложении Ж приведены рекомендации по организации и технике беседы.

Опрос может проводиться в форме анкетирования (посредством оп­росного листа) или в форме непосредственной беседы (интервью). В приложении Ж приведены рекомендации по организации и технике беседы.

Методы проверки информации и формирования наблюдений аудита

Результатом сбора информации являются свидетельства аудита.

Свидетельство аудита – записи, изложение фактов или другая ин­формация, которые связаны с критериями аудита и могут быть провере­ны .

Свидетельства аудита могут быть качественными или количествен­ными.

С помощью методов проверки информации на базе собранных сви­детельств аудита формируются наблюдения аудита.

Наблюдения аудита - результаты оценки собранных свидетельств аудита в зависимости от критериев аудита.

Наблюдения аудита могут указывать на соответствие или несоот­ветствие критериям аудита или на возможности улучшения.

Наблюдения, в свою очередь, являются основой заключения по ре­зультатам аудита.

Выходные данные аудита, предоставленные группой по аудиту после рассмотрения целей аудита и всех наблюдений аудита.

К методам проверки информации и формирования наблюдений ау­дита относятся:

Доказательство

Оценивание.

Анализ

Анализ свидетельств аудита

Свидетельства аудита и любая другая информация, собранная в ходе аудита, анализируется с точки зрения целей аудиторской проверки. Для использования данных свидетельств для формирования наблюдений ауди­та, они должны быть систематизированы, обобщены и тщательно проана­лизированы, включая при необходимости статистические методы.

В ходе аналитического анализа важно отделить существенную ин­формацию от несущественной («выделить сигнал из шума»).

Для тех свидетельств, которые вызывают сомнения аудитора (на­пример, правильность интерпретации полученной информации), необхо­димо применить метод доказательства, обсудить в аудиторской группе, и только после такого обсуждения может быть принято окончательное ре­шение о формировании наблюдения аудита, к примеру, использование статистических методов.

Статистические методы

В тех случаях, когда получаемые аудитором данные имеют ко­личественную форму (например, данные результатов технического кон­троля, данные о количестве обнаруженных несоответствий, данные о при­чинах несоответствий и др.) их целесообразно представлять и ана­лизировать с помощью статистических методов.

Статистические приёмы используются во многих областях обслуживания и производства. Многие из этих приемов пригодны и для аудита. Наиболее часто встречающие инструменты, используемые на стадиях подготовки и проведения аудита:

· контрольные листы;

· анализ воспроизводимости оборудования;

· анализ воспроизводимости процесса;

· анализ Парето;

· планы выборочного контроля и проверки;

· кривые операционных характеристик;

· блок-схемы процессов/прослеживание;

· мозговой штурм;

· диаграммы причин и результатов;

· контрольные карты.

Эти средства могут пригодиться и аудиторам, и проверяемым. Эти приёмы – способ демонстрации продукции или услуги, которые нуждаются в улучшении. Примерами могут служить:

· несоответствие продукции (поступающие отчёты о проверке, отказы в эксплуатации и т.д.);

· низкая воспроизводимость процесса (параметры продукции находятся внутри поля допуска, но не центрированы);

· анализ стоимости продукции, обслуживания и проектирования;

· анализ эксплуатации (оценивание качества в ходе производства как альтернатива выходному контролю; число контейнеров с правильной маркировкой и неправильно обработанных заказов потребителей и т.д.).

Инспекция на месте. Обнаруживающий выборочный контроль

В ходе аудита для локализации хронических случаев несоответствия и неподтверждения системы качества, процессов или их элементов используется обнаруживающий выборочный контроль. Такой контроль предполагает, что отклонение случается с заданной вероятностью.

Объём выборки основан на вероятности того, что в неё попадает, по крайней мере, одно изделие с отклонением. Вот несколько примеров применения выборочного контроля:

· установленное число вопросов опросного листа, применимых к определённой категории проблем для обнаружения зоны несоответствия;

· если обнаружена рабочая инструкция, действующая без утверждения. В этом случае можно провести обнаруживающий выборочный контроль в различных отделах для определения того, действительно ли проблема имеет хронический характер, указывающий на «находку» аудита .

Выборочный обнаруживающий контроль требует большого числа образцов для достижения высоких уровней значимости даже там, хронические проблемы были очевидны в прошлом. Успешное пользование такого контроля зависит от частоты событий. Чем выше частота события, тем меньше образцов потребуется.

Естественно, если выявлено несоответствие для одного аспекта системы, аналогичные аспекты стоит проверить на предмет такие же несоответствия.

Выборочный контроль/проверка

Во время аудита системы мало времени для проверки определённых параметров. Выборочный контроль приходится ограничивать. В общем, несколько образцов достаточно, чтобы определить статус продукции или процесса (например, горсть деталей, случайно выбранных сверху, из середины и со дна контейнера, или проверка нескольких письменных документов). Наилучшее место для взятия образцов – области взаимодействия процесса и продукции (т.е. конец этапа).

При записи выборочных данных отмечается следующее:

· место взятых образцов (стадия процесса, участок, станок);

· наименование и номер детали;

· номер партии или другие идентификаторы;

· время и дата;

· непрерывные или дискретные результаты;

· любые наблюдения, которые могут повлиять на процесс (продукцию).

В зависимости от вида аудита, его цели и отведенного времени может понадобиться разработка планов выборочного контроля. Выборочный контроль применяется для:

· локализации проблемы в процессе;

· обеспечения информации об уровнях переделок и отходов;

· определения соответствия параметрам процесса;

· определения воспроизводимости.

Эти планы надо подготовить до проведения аудита. В связи с фактором времени стандартные выборочные планы более пригодны для внутреннего, чем внешнего аудита.

Прослеживание/блок-схемы (схемы потоков)

Другая широко применяемая и эффективная форма инспекции «на месте» - прослеживание. Здесь полезно использование блок-схемы. Можно изучать эффективность, соответствие или прослеживаемость продукции или процессы, делая выборки на каждой стадии, зафиксированной в блок-схеме процесса либо производства изделия. Это может вовлечь несколько отделов. Продукция или её часть можно исследовать следующими методами:

· Прослеживание вперёд. Обследование с «головы» процесса производства продукции, оказания, услуги или выполнения заказа до «хвоста» либо с иной заданной точки до конца до конца и, наконец, с другой заданной точки далее вниз по цепи процесса. Это полезно для получения целостной картины и определения практичности схемы;

· Прослеживание назад. Обратное прослеживаемости вперёд. Начинается от «хвоста» процесса производства продукции, оказания услуги или выполнения заказа и идёт к «голове» процесса либо к заданной точке. Преимущество этого метода – использование сведений о результате процесса. Эффективность других процессов можно оценивать по вкладу в желаемый результат;

· Случайный отбор (случайная проверка). Это не форма прослеживания, а альтернативный вариант, когда персонал и время ограничены. Случайный отбор может оказаться единственным методом, доступным аудитору. Недостатки: приходится делать много записей и труднее понять схему операций или процесса. Преимущества: аудит можно проводить более гибко и экономить время.

Прослеживание позволяет аудитору определить:

· где слабые места процесса или процедуры;

· есть ли ненужные, неэффективные, повторяющиеся шаги процесса или процедуры;

· какая стадия служит источником большинства проблем;

· общее состояние процесса и системы.

Отклонения от заданных значений должны рассматриваться в качестве потенциала для улучшений. При этом также необходимо проверять, не изменились ли действующие правила и целесообразны ли были проведённые изменения.

По возможности, каждое установленное отклонение должно немедленно устраняться, в целях исключений в последующем трудоёмкого дополнительного отслеживания мероприятий по устранению выявленных отклонений.

Необходимые мероприятия по улучшениям, которые не могут быть сразу реализованы, должны быть выработаны совместно с руководством подразделения и документированы в виде корректирующих мероприятий. Их пригодность для достижения поставленных целей должна быть основана.

Доказательство

Значимыми характеристиками аудиторского доказательства яв­ляются его достоверность и достаточность. Доказательство считается дос­товерным, если оно вызывает доверие аудитора, является объективным и проверяемым. Достаточность доказательства определяется его полнотой, что в большой мере зависит от объема собранной информации. Несоблю­дение требований к доказательству обесценивает результат аудиторской проверки.

Ниже приводится ряд положений, знание которых может быть полезным аудитору в этой области:

Свидетельства составляют основу аудиторского заключения и, сле­довательно, без необходимых доказательств такое заключение не может быть достоверным;

Получая свидетельства о соблюдении процедур (инструкций), ауди­тор должен быть уверен, что эти процедуры будут соблюдаться и в будущем, по крайней мере, до следующей аудиторской проверки;

Достоверность аудиторского свидетельства зависит от многих фак­торов, но прежде всего от степени его подтверждения и квалификации ау­дитора;

Чем достовернее свидетельство, тем ниже уровень риска оши­бочного аудиторского заключения (следует отметить, что никто не сво­боден от ошибочных выводов и поэтому определенные элементы риска присущи и аудиторскому заключению).

Объективными свидетельствами соответствия при проведении ауди­торской проверки являются факты, подтверждающие:

Идентичность (повторяемость по времени и местам применения) практических действий правилам и нормам, установленным в документа­ции системы менеджмента качества и (или) экологии;

Выполнение требований тех разделов ИСО 9001 и ИСО 14001, ко­торые необязательны для документирования в организации;

Наличие и выполнение запланированных мероприятий в области качества и (или) охраны окружающей среды;

Оценивание результативности процессов;

Результативность корректирующих и предупреждающих де­йствий;

Постоянное улучшение деятельности, процессов и систем ме­неджмента в целом.

Оценивание

Свидетельство аудита оценивается с точки зрения критериев аудита. Результаты такого оценивания рассматриваются как наблюдение аудита.

Наблюдения аудита могут указывать либо на соответствие, либо на несоответствие критериям аудита, либо на возможность улучшения. При этом особого внимания аудитора заслуживают обнаруженные несоответст­вия. Оценивание несоответствий осуществляется путем их классификации на значительные, малозначительные и уведомления.

При оценивании свидетельств существует ве­роятность ошибочных (неправильных) выводов и, как следствие, неправильного заключения по результатам аудиторской проверки. Веро­ятность неправильных выводов уменьшается при использовании объ­ективных данных, т.е. данных, основанных на измерениях.

Заключение по результатам аудита

Заключение аудиторской группы по результатам аудиторской про­верки может содержать итоговую оценку:

Степени соответствия процесса, деятельности подразделения или системы менеджмента в целом критериям аудита;

результативности и эффективности процесса, деятельности подразделения или системы менеджмента в целом;

способности руководства обеспечивать постоянную адекват­ность и результативность процесса, деятельности подразделения или системы менеджмента в целом;

правильности установления показателей результативности и эффективности процесса;

возможности улучшения процесса, деятельности подразделения или системы менеджмента в целом.

При оценке степени соответствия объекта аудиторской проверки (отдельное подразделение или несколько подразделений, участвующих в выполнении определенного процесса) аудиторская группа должна полу­чить однозначные ответы на вопросы:

Можно ли утверждать, что персонал аудитируемого подразде­ления (нескольких подразделений) знает, имеет в своем распоряжении, по­нимает и использует обязательные для него документы системы ме­неджмента качества?

Подтверждается ли соблюдение требований документов системы менеджмента качества и (или) экологии необходимыми регистрационными данными, фактами и другими свидетельствами?

Все ли требования документов, используемых в подразделении (подразделениях), обеспечивают достижение целей подразделения (под­разделений) в области качества?

При оценке результативности внедрения, поддержания и совер­шенствования объекта аудита аудиторская группа должна получить ответы на вопросы:

Достигнуты ли запланированные результаты в проверенном про­цессе, деятельности подразделения или системы менеджмента в целом?

Достаточно ли эффективно используются выделенные ресурсы для осуществления процесса, деятельности подразделения или системы менеджмента в целом?

При оценке способности руководства обеспечивать постоянную аде­кватность и результативность процесса, деятельности подразделения или системы менеджмента качества в целом группа аудиторов должна полу­чить ответы на вопросы:

Подтверждается ли, что процесс, деятельность подразделения или система менеджмента в целом функционирует в управляемых условиях?

Можно ли утверждать, что руководством выделяются ресурсы, достаточные для результативного функционирования процесса, дея­тельности подразделения или системы менеджмента в целом?

При оценивании возможности улучшения деятельности аудиторская группа должна получить ответы на вопросы:

Имеется ли необходимость и реальная возможность улучшить процесс (сокращение времени, затрат, повышение качества, уменьшение отрицательного воздействия на окружающую среду), деятельность подраз­деления или системы менеджмента в целом?

Заключение должно правдиво и точно отражать деятельность ауди­торской группы.

Заключение может быть напечатанным или рукописным и оформ­ляться в виде собственно «Заключения», или «Акта проверки». Заключе­ние согласовывается и подписывается всеми членами аудиторской группы.

Если в ходе аудита выявлены несоответствия, то оформленные про­токолы по выявленным несоответствиям включаются в заключение в виде приложения.

После обсуждения итогов по результатам проверки на заключительном совещании или с руководителем аудитируемого подразделения, Заключение в окончательном виде включается в отчет об аудиторской проверке.

Похожая информация.

Сбор, обработка, хранение и использование персональных данных осуществляются во многих сферах деятельности общества и государства. Например, в финансовой и налоговой сфере, при пенсионном, социальном и медицинском страховании, в оперативно-розыскной деятельности, трудовой и других областях общественной жизни.

В различных сферах деятельности под персональными данными понимаются часто не совпадающие наборы сведений. Определения персональных данных содержатся в различных федеральных законах, причем объем сведений определяется в них по разному.

С развитием информационных технологий всё большее значение приобретает защита коммерческой информации, позволяющая компании поддерживать конкурентоспособность своих товаров, организовывать работу с партнерами и клиентами, снижать риски возникновения санкций со стороны регуляторов.

Защитить коммерческую тайну компании и привлечь виновных в разглашении к ответственности возможно, введя режим коммерческой тайны, т. е. приняв правовые, организационные и технические меры по охране конфиденциальности информации.

На сегодняшний день вирусные атаки по-прежнему происходят с пугающей частотой. Самыми эффективными являются атаки, осуществляемые с использованием файлов, открываемых обычными приложениями. Например, вредоносный код может содержаться в файлах Microsoft Word или PDF-документах. Такая атака называется эксплойтом и не всегда определяется обычным антивирусом.

Palo Alto Networks Traps обеспечивает расширенную защиту рабочих станций от целенаправленных вредоносных атак, предотвращает эксплуатацию уязвимостей операционной системы и приложений.

Рекомендации по защите информации при работе в системах ДБО

В последнее время участились случаи мошеннических действий в системах дистанционного банковского обслуживания (ДБО), направленные на хищение секретных ключей пользователей и денежных средств организаций. В статье мы рассмотрели практические меры, необходимые для снижения вероятности кражи денежных средств и привели рекомендации по реагированию на возможные мошеннические действия.

Согласно Федеральному закону от 30.12.2008 №307-ФЗ «Об аудиторской деятельности», аудит - это «независимая проверка бухгалтерской (финансовой) отчетности аудируемого лица в целях выражения мнения о достоверности такой отчетности». К информационной безопасности данный термин, упомянутый в этом законе, отношения не имеет. Однако так уж сложилось, что специалисты по информационной безопасности достаточно активно его используют в своей речи. В этом случае под аудитом понимается процесс независимой оценки деятельности организации, системы, процесса, проекта или продукта. В тоже время надо понимать, что в различных отечественных нормативных актах термин «аудит информационной безопасности» применяется не всегда - его часто заменяют либо термин «оценка соответствия», либо немного устаревший, но все еще употребляемый термин «аттестация». Иногда еще применяется термин «сертификация», но применительно к международным зарубежным нормативным актам.

Аудит информационной безопасности проводится либо с целью проверки выполнения нормативных актов, либо с целью проверки обоснованности и защищенности применяемых решени

Но какой бы термин не использовался, по сути, аудит информационной безопасности проводится либо с целью проверки выполнения нормативных актов, либо с целью проверки обоснованности и защищенности применяемых решений. Во втором случае аудит носит добровольный характер, и решение о его проведении принимается самой организацией. В первом же случае отказаться от проведения аудита невозможно, та как это влечет за собой нарушение установленных нормативными актами требований, что приводит к наказанию в виде штрафа, приостановлению деятельности или иным формам наказания.
В случае обязательности аудита он может проводиться как самой организацией, например, в форме самооценки (правда, в этом случае о «независимости» уже речи не идет и термин «аудит» применять здесь не совсем правильно), так и внешними независимыми организациями - аудиторами. Третий вариант проведения обязательного аудита - контроль со стороны регулирующих органов, наделенных правом осуществлять соответствующие надзорные мероприятия. Этот вариант чаще называется не аудитом, а инспекционной проверкой.
Так как добровольный аудит может проводиться абсолютно по любому поводу (для проверки защищенности системы ДБО, контроля активов приобретенного банка, проверки вновь открываемого филиала и т.п.), то данный вариант рассматривать не будем. В этом случае невозможно ни четко очертить его границы, ни описать формы его отчетности, ни говорить о регулярности - все это решается договором между аудитором и проверяемой организацией. Поэтому рассмотрим лишь формы обязательного аудита, присущие именно банкам.

Международный стандарт ISO 27001

Иногда можно услышать о прохождении тем или иным банком аудита на соответствие требованиям международного стандарта «ISO/IEC 27001:2005» (его полный российский аналог - «ГОСТ Р ИСО/МЭК 27001-2006 - Информационная технология - Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности - Требования»). По сути, данный стандарт - это набор лучших практик по управлению информационной безопасностью в крупных организациях (небольшие организации, в том числе и банки, не всегда в состоянии выполнить требования этого стандарта в полном объеме).
Как и любой стандарт в России, ISO 27001 - сугубо добровольный документ, принимать который или не принимать решает каждый банк самостоятельно. Но ISO 27001 является стандартом де-факто по всему миру, и специалисты многих стран используют этот стандарт как некий универсальный язык, которым следует руководствоваться, занимаясь информационной безопасностью.

С ISO 27001 связаны и несколько не самых очевидных и не часто упоминаемых моментов

Однако с ISO 27001 связаны и несколько не самых очевидных и не часто упоминаемых моментов. Во-первых, аудиту по данному стандарту подлежит не вся система обеспечения информационной безопасности банка, а только одна или несколько из ее составных частей. Например, система защиты ДБО, система защиты головного офиса банка или система защиты процесса управления персоналом. Иными словами, получение сертификата соответствия на один из оцениваемых в рамках аудита процессов не дает гарантии, что остальные процессы находятся в таком же близком к идеальному состоянию. Второй момент связан с тем, что ISO 27001 является стандартом универсальным, то есть применимым к любой организации, а значит, не учитывающим специфику той или иной отрасли. Это привело к тому, что в рамках международной организации по стандартизации ISO уже давно ведутся разговоры о создании стандарта ISO 27015, который является переложением ISO 27001/27002 на финансовую отрасль. В разработке этого стандарта активное участие принимает и Банк России. Однако Visa и MasterCard против проекта этого стандарта, который уже разработан. Первая считает, что проект стандарта содержит слишком мало нужной для финансовой отрасли информации (например, по платежным системам), а если ее туда добавить, то стандарт надо переносить в другой комитет ISO. MasterCard также предлагает прекратить разработку ISO 27015, но мотивация другая - мол, в финансовой отрасли и так полно регулирующих тему информационной безопасности документов. В-третьих, необходимо обращать внимание, что многие предложения, встречающиеся на российском рынке, говорят не об аудите соответствия, а о подготовке к аудиту. Дело в том, что право проводить сертификацию соответствия требованиям ISO 27001 имеет всего несколько организаций в мире. Интеграторы же всего лишь помогают компаниям выполнить требования стандарта, которые затем будут проверены официальными аудиторами (их еще называют регистраторами, органами по сертификации и т.д.).
Пока продолжаются споры о том, внедрять банкам ISO 27001 или нет, отдельные смельчаки идут на это и проходят 3 стадии аудита соответствия:

• Предварительное неформальное изучение аудитором основных документов (как на территории заказчика аудита, так и вне нее).
• Формальный и более глубокий аудит внедренных защитных мер, оценка их эффективности и изучение разработанных необходимых документов. Этим этапом обычно заканчивается подтверждение соответствия, и аудитор выдает соответствующий сертификат, признаваемый во всем мире.
• Ежегодное выполнение инспекционного аудита для подтверждения ранее полученного сертификата соответствия.

Кому же нужен ISO 27001 в России? Если рассматривать этот стандарт не только как набор лучших практик, которые можно внедрять и без прохождения аудита, но и как процесс сертификации, знаменующий собой подтверждение соответствия банка международным признанным требованиям по безопасности, то ISO 27001 имеет смысл внедрять либо банкам, входящим в международные банковские группы, где ISO 27001 является стандартом, либо банкам, планирующим выход на международную арену. В остальных случаях аудит соответствия ISO 27001 и получение сертификата, на мой взгляд, не нужно. Но только для банка и только в России. А все потому, что у нас есть свои стандарты, построенные на базе ISO 27001.

Де-факто инспекционные проверки Банка России проводились до недавнего времени именно в соответствии с требованиями СТО БР ИББС

Комплекс документов Банка России СТО БР ИББС

Таким стандартом, а точнее набором стандартов, является комплекс документов Банка России, описывающий единый подход к построению системы обеспечения ИБ организаций банковской сферы с учетом требований российского законодательства. В основе данного набора документов (далее СТО БР ИББС), содержащего три стандарта и пять рекомендаций по стандартизации, лежит и ISO 27001 и ряд других международных стандартов по управлению информационными технологиями и информационной безопасностью.
Вопросы аудита и оценки соответствия требованиям стандарта, как и для ISO 27001, прописаны в отдельных документах - «СТО БР ИББС-1.1-2007. Аудит информационной безопасности», «СТО БР ИББС-1.2-2010. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2010» и «РС БР ИББС-2.1-2007. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0».
Во время оценки соответствия по СТО БР ИББС проверяется выполнение 423 частных показателей ИБ, сгруппированных в 34 групповых показателя. Результатом оценки является итоговый показатель, который должен находиться на 4-м или 5-м уровне по пятибалльной шкале, установленной Банком России. Это, кстати, очень сильно отличает аудит по СТО БР ИББС от аудита по другим нормативным актам в области ИБ. В СТО БР ИББС не бывает несоответствия, просто уровень соответствия может быть разный: от нуля до пяти. И только уровни выше 4-го считаются положительными.
По состоянию на конец 2011 года около 70–75% банков внедрили или находятся в процессе внедрения этого набора стандартов. Несмотря ни на что они де-юре носят рекомендательный характер, но де-факто инспекционные проверки Банка России проводились до недавнего времени именно в соответствии с требованиями СТО БР ИББС (хотя явно это никогда и нигде не звучало).
Ситуация изменилась с 1 июля 2012 года, когда в полную силу вступил закон «О национальной платежной системе» и разработанные для его исполнения нормативные документы Правительства России и Банка России. С этого момента вопрос необходимости проведения аудита соответствия требованиям СТО БР ИББС вновь встал на повестке дня. Дело в том, что методика оценки соответствия, предложенная в рамках законодательства о национальной платежной системе (НПС), и методика оценки соответствия СТО БР ИББС могут очень сильно расходиться в итоговых значениях. При этом оценка по первой методике (для НПС) стала обязательной, в то время как оценка по СТО БР ИББС по-прежнему де-юре носит рекомендательный характер. Да и в самом Банке России на момент написания статьи еще не было принято решение о дальнейшей судьбе этой оценки. Если раньше все нити сходились в Главное управление безопасности и защиты информации Банка России (ГУБЗИ), то с разделением полномочий между ГУБЗИ и Департаментом регулирования расчетов (LHH) вопрос пока остается открытым.

Уже сейчас ясно, что законодательные акты о НПС требуют обязательной оценки соответствия, то есть аудита

Законодательство о национальной платежной системе

Законодательство о НПС находится только на заре своего становления, и нас ждет немало новых документов, в том числе и по вопросам обеспечения информационной безопасности. Но уже сейчас ясно, что выпущенное и утвержденное 9-го июня 2012 года Положение 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» требует в п.2.15 обязательной оценки соответствия, то есть аудита. Такая оценка осуществляется либо самостоятельно, либо с привлечением сторонних организаций. Как уже сказано выше, проводимая в рамках 382-П оценка соответствия похожа по своей сути на то, что описано в методике оценки соответствия СТО БР ИББС, но выдает совершенно иные результаты, что связано с вводом специальных корректирующих коэффициентов, которые и определяют отличающиеся результаты.
Никаких особых требований к привлекаемым для аудита организациям положение 382-П не устанавливает, что вступает в некоторое противоречие с Постановлением Правительства от 13 июня 2012 года №584 «О защите информации в платежной системе», которое также требует организации и проведения контроля и оценки выполнения требований к защите информации один раз в 2 года. Однако Постановление Правительства, разработанное ФСТЭК, требует, чтобы внешний аудит проводился только организациями, имеющей лицензию на деятельность по технической защите конфиденциальной информации.
Дополнительные требования, которые сложно отнести к одной из форм аудита, но которые накладывают на банки новые обязанности, перечислены в разделе 2.16 Положения 382-П. Согласно этим требованиям оператор платежных систем обязан разработать, а банки, присоединившиеся к этой платежной системе, обязаны выполнять, требования по регулярному информированию оператора платежной системы о различных вопросах информационной безопасности в банке: о выполнении требований по защите информации, о выявленных инцидентах, о проведенных самооценках, о выявленных угрозах и уязвимостях.
Дополнительно к аудиту, проводимому на договорной основе, ФЗ-161 о НПС также устанавливает, что контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в 584-м Постановлении и Банком России в 382-м Положении, осуществляются ФСБ ФСТЭК и Банком России соответственно. На момент написания статьи ни ФСТЭК, ни ФСБ не имели разработанного порядка проведения такого надзора, в отличие от Банка России, который выпустил Положение от 31 мая 2012 года №380-П «О порядке осуществления наблюдения в национальной платежной системе» (для кредитных организаций) и Положение от 9 июня 2012 года №381-П «О порядке осуществления надзора за соблюдением не являющимися кредитными организациями операторами платежных систем, операторами услуг платежной инфраструктуры требований Федерального Закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе», принятых в соответствии с ним нормативных актов Банка России».
Нормативные акты в области защиты информации в национальной платежной системе находятся только в начале подробной разработки. С 1 июля 2012 года Банк России начал их апробацию и сбор фактов по правоприменительной практике. Поэтому сегодня преждевременно говорить о том, как будут применяться эти нормативные акты, как будет проводиться надзор по 380-П, какие выводы будут делаться по итогам самооценки, проводимой раз в 2 года и отправляемой в Банк России.

Стандарт безопасности платежных карт PCI DSS

Payment Card Industry Data Security Standard (PCI DSS) - стандарт безопасности данных платежных карт, разработанный Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), который был учрежден международными платежными системами Visa, MasterCard, American Express, JCB и Discover. Стандарт PCI DSS представляет собой совокупность 12 высокоуровневых и свыше 200 детальных требований по обеспечению безопасности данных о держателях платежных карт, которые передаются, хранятся и обрабатываются в информационных системах организаций.

Требования стандарта распространяются на все компании, работающие с международными платежными системами Visa и MasterCard. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определенный уровень с соответствующим набором требований, которые эти компании должны выполнять. Эти уровни отличаются в зависимости от платежной системы.

Успешное прохождение аудита еще не означает, что с безопасностью в банке все хорошо - существует множество уловок, позволяющих проверяемой организации скрыть какие-то недочеты в своей системе защиты

Проверка выполнения требований стандарта PCI DSS осуществляется в рамках обязательной сертификации, требования к которой отличаются в зависимости от типа проверяемой компании - торгово-сервисное предприятие, принимающее платежные карты за оплату товаров и услуг, или поставщик услуг, оказывающий услуги торгово-сервисным предприятиям, банкам-эквайерам, эмитентам и т.п. (процессинговые центры, платежные шлюзы и т.п.). Такая оценка может осуществляться в разных формах:

• ежегодные аудиторские проверки с помощью аккредитованных компаний, имеющих статус Qualified Security Assessors (QSA);
• ежегодное проведение самооценки;
• ежеквартальное сканирование сетей с помощью уполномоченных организаций, имеющих статус Approved Scanning Vendor (ASV).

Законодательство о персональных данных

Последний нормативный документ, также имеющий отношение к банковской индустрии и устанавливающий требования по оценке соответствия, - Федеральный закон «О персональных данных». Однако ни форма такого аудита, ни его периодичность, ни требования к организации, проводящей такой аудит, пока не установлены. Возможно, этот вопрос будет снят осенью 2012 года, когда выйдет очередная порция документов Правительства РФ, ФСТЭК и ФСБ, вводящих новые нормативы в области защиты персональных данных. Пока же банки могут спать спокойно и самостоятельно определять особенности аудита вопросов защиты персональных данных.
Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных 19-й статьей 152-ФЗ, осуществляются ФСБ и ФСТЭК, но только для государственных информационных систем персональных данных. Контроль коммерческих организаций в области обеспечения информационной безопасности персональных данных пока осуществлять по закону некому. Чего не скажешь о вопросах защиты прав субъектов персональных данных, то есть клиентов, контрагентов и просто посетителей банка. Эту задачу взял на себя Роскомнадзор, который очень активно осуществляет свои надзорные функции и считает банки одними из злостных нарушителей закона о персональных данных.

Заключительные положения

Выше рассмотрены основные нормативные акты в области информационной безопасности, касающиеся кредитных организаций. Этих нормативных актов немало, и каждый из них устанавливает свои требования по проведению оценки соответствия в той или иной форме - от самооценки в виде заполнения опросных листов (PCI DSS) до прохождения обязательного аудита один раз в два года (382-П) или один раз в год (ISO 27001). Между этими самыми распространенными формами оценки соответствия существуют и другие - уведомления оператора платежной системы, ежеквартальные сканирования и т.п.

Стоит также помнить и понимать, что в стране до сих пор отсутствует единая система взглядов не только на государственное регулирование процессов аудита информационной безопасности организаций и систем информационных технологий, но и вообще саму тему аудита информационной безопасности. В Российской Федерации существует целый ряд ведомств и организаций (ФСТЭК, ФСБ, Банк России, Роскомнадзор, PCI SSC и т.п.), ответственных за информационную безопасность. И все они действуют на основании своих собственных нормативных документов и руководств. Разные подходы, разные стандарты, разные уровни зрелости… Все это мешает установлению единых правил игры. Картину портит и появление фирм-однодневок, которые в погоне за прибылью предлагают очень некачественные услуги в области оценки соответствия требованиям по информационной безопасности. И к лучшему ситуация вряд ли изменится. Раз есть потребность, то будут и желающие ее удовлетворить, в то время как на всех квалифицированных аудиторов просто не хватит. При небольшом их числе (показано в таблице) и длительности аудита от нескольких недель до нескольких месяцев очевидно, что потребности в аудите серьезно превышают возможности аудиторов.
В так и не принятой ФСТЭК «Концепции аудита информационной безопасности систем информационных технологий и организаций» была такая фраза: «в то же время в отсутствие необходимых национальных регуляторов такая деятельность /по нерегулируемому законодательством аудиту со стороны частных фирм/ может нанести непоправимый вред организациям». В заключение, авторы Концепции предлагали унифицировать подходы к аудиту и законодательно установить правила игры, включая правила аккредитации аудиторов, требования к их квалификации, процедуре проведения аудита и т.п., но воз и ныне там. Хотя, учитывая то внимание, которое отечественные регуляторы в области информационной безопасности (а у нас их 9) уделяют вопросам защиты информации (только за прошедший календарный год было принято или разработано 52 нормативных акта по вопросам информационной безопасности - один нормативный акт в неделю!), не исключаю, что к этой теме вскоре вновь вернутся.

СТАНДАРТЫ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В таких условиях, к сожалению, приходится признавать, что основная цель аудита информационной безопасности банка - повышение доверия к его деятельности - в России недостижима. У нас мало кто из клиентов банка обращает внимание на уровень его безопасности или на результаты проведенного в банке аудита. К аудиту у нас обращаются либо в случае выявления очень серьезного инцидента, приведшего к нанесению серьезного материального ущерба банку (или его акционерам и владельцам), либо в случае законодательных требований, которых у нас, как было показано выше, немало. И на ближайшие полгода требованием №1, ради которого стоит обратить свое внимание на аудит безопасности, является положение Банка России 382-П. Уже есть первые прецеденты запроса со стороны территориальных управлений ЦБ сведений об уровне защищенности банков и выполнении требований 382-П, а получаются эти сведения именно в результате внешнего аудита или проведенной самооценки. На второе место я бы поставил аудит выполнения требований закона «О персональных данных». Но проводить такой аудит стоит не раньше весны, когда будут выпущены все обещанные ФСТЭК и ФСБ документы и когда станет понятная судьба СТО БР ИББС. Тогда же можно будет поднять и вопрос проведения аудита соответствия требованиям СТО БР ИББС. Уже станет понятным не только будущее комплекса документов Банка России, но и его статус по отношению к похожему, но все-таки отличному 382-П, а также по-прежнему ли будет СТО БР ИББС покрывать вопросы защиты персональных данных.
Успешное прохождение аудита еще не означает, что с безопасностью в банке все хорошо - существует множество уловок, позволяющих проверяемой организации скрыть какие-то недочеты в своей системе защиты. Да и от квалификации и независимости аудиторов зависит очень многое. Опыт прошедших лет показывает, что даже в организациях, успешно прошедших аудит соответствия стандартам PCI DSS, ISO 27001 или СТО БР ИББС, бывают инциденты, и инциденты серьезные.

Аудит информационных систем дает актуальные и точные данные о том, как работает ИС. На базе полученных данных можно планировать мероприятия для повышения эффективности предприятия. Практика проведения аудита информационной системы - в сравнении эталона, реальной обстановки. Изучают нормативы, стандарты, регламенты и практики, применимые в других фирмах. При проведении аудита предприниматель получает представление о том, как его фирма отличается от нормальной успешной компании в аналогичной сфере.

Общее представление

Информационные технологии в современном мире развиты исключительно сильно. Сложно представить себе предприятие, не имеющее на вооружении информационные системы:

• глобальные;
• локальные.

Именно за счет ИС компания может нормально функционировать и идти в ногу со временем. Такие методологии необходимы для быстрого и полного обмена информацией с окружающей средой, что позволяет компании подстраиваться под изменения инфраструктуры и требований рынка. Информационные системы должны удовлетворять ряду требований, меняющихся по прошествии времени (внедряются новые разработки, стандарты, применяют обновленные алгоритмы). В любом случае информационные технологии позволяют сделать доступ к ресурсам быстрым, и эта задача решается через ИС. Кроме того, современные системы:

• масштабируемые;
• гибкие;
• надёжные;
• безопасные.

Основные задачи аудита информационных систем - выявление, соответствует ли внедренная ИС указанным параметрам.

Аудит: виды

Очень часто применяется так называемый процессный аудит информационной системы. Пример: внешние специалисты анализируют внедренные системы на предмет отличия от эталонов, изучая в том числе и производственный процесс, на выходе которого - программное обеспечение.

Может проводиться аудит, направленный на выявление того, насколько правильно применяется в работе информационная система. Практику предприятия сравнивают со стандартами производителя и известными примерами корпораций международного масштаба.

Аудит системы информационной безопасности предприятия затрагивает организационную структуру. Цель такого мероприятия - найти тонкие места в кадрах ИТ-отдела и обозначить проблемы, а также сформировать рекомендации по их решению.

Наконец, аудит системы обеспечения информационной безопасности направлен на качественный контроль. Тогда приглашенные эксперты оценивают, в каком состоянии процессы внутри предприятия, тестируют внедренную информационную систему и делают некоторые выводы по полученной информации. Обычно применяется модель TMMI.

Задачи аудита

Стратегический аудит состояния информационных систем позволяет определить слабые места во внедренной ИС и выявить, где применение технологий оказалось неэффективными. На выходе такого процесса у заказчика будут рекомендации, позволяющие устранить недочеты.

Аудит позволяет оценить, как дорого обойдётся внесение изменений в действующую структуру и сколько времени это займет. Специалисты, изучающие действующую информационную структуру компании, помогут подобрать инструментарий для реализации программы улучшений, учитывая особенности компании. По итогам можно также выдать точную оценку, в каком объеме ресурсов нуждается фирма. Проанализированы будут интеллектуальные, денежные, производственные.

Мероприятия

Внутренний аудит информационных систем включает в себя проведение таких мероприятий, как:

• инвентаризация ИТ;
• выявление нагрузки на информационные структуры;
• оценка статистики, данных, полученных при инвентаризации;
• определение, соответствуют ли требования бизнеса и возможности внедренной ИС;
• формирование отчета;
• разработка рекомендаций;
• формализация фонда НСИ.

Результат аудита

Стратегический аудит состояния информационных систем - это процедура, которая: позволяет выявить причины недостаточной эффективности внедрённой информационной системы; провести прогнозирование поведения ИС при корректировке информационных потоков (числа пользователей, объема данных); предоставить обоснованные решения, помогающие повысить продуктивность (приобретение оборудования, совершенствование внедренной системы, замена); дать рекомендации, направленные на повышение продуктивности отделов компании, оптимизацию вложений в технологии. А также разработать мероприятия, улучшающий качественный уровень сервиса информационных систем.

Это важно!

Нет такой универсальной ИС, которая подошла бы любому предприятию. Есть две распространенных базы, на основе которых можно создавать уникальную систему под требования конкретного предприятия:

• Oracle.

Но помните, что это лишь основа, не более. Все усовершенствования, позволяющие сделать бизнес эффективным, нужно программировать, учитывая особенности конкретного предприятия. Наверняка придется вводить ранее отсутствовавшие функции и отключать те, которые предусмотрены базовой сборкой. Современная технология аудита банковских информационных систем помогает понять, какие именно особенности должна иметь ИС, а что нужно исключить, чтобы корпоративная система была оптимальной, эффективной, но не слишком «тяжелой».

Аудит информационной безопасности

Анализ, позволяющий выявить угрозы информационной безопасности, бывает двух видов:

• внешний;
• внутренний.

Первый предполагает единовременную процедуру. Организует ее руководитель компании. Рекомендовано регулярно практиковать такую меру, чтобы держать ситуацию под контролем. Ряд АО, финансовых организаций ввели требование внешнего аудита ИТ-безопасности обязательным к выполнению.

Внутренний - это регулярно проводимые мероприятия, регламентированные локальным нормативным актом «Положение о внутреннем аудите». Для проведения формируют годовой план (его готовит отдел, ответственный за аудит), утверждает генеральный директор, другой руководитель. ИТ-аудит - несколько категорий мероприятий, аудит безопасности занимает не последнее место по значимости.

Цели

Главная цель аудита информационных систем в аспекте безопасности - это выявление касающихся ИС рисков, сопряженных с угрозами безопасности. Кроме того, мероприятия помогают выявить:

• слабые места действующей системы;
• соответствие системы стандартам информационной безопасности;
• уровень защищенности на текущий момент времени.

При аудите безопасности в результате будут сформулированы рекомендации, позволяющие улучшить текущие решения и внедрить новые, сделав тем самым действующую ИС безопаснее и защищённые от различных угроз.

Если проводится внутренний аудит, призванный определить угрозы информационной безопасности, тогда дополнительно рассматривается:

• политика безопасности, возможность разработки новой, а также иных документов, позволяющих защитить данные и упростить их применение в производственном процессе корпорации;
• формирование задач обеспечения безопасности работникам ИТ-отдела;
• разбор ситуаций, сопряженных с нарушениями;
• обучение пользователей корпоративной системы, обслуживающего персонала общим аспектам безопасности.

Внутренний аудит: особенности

Перечисленные задачи, которые ставят перед сотрудниками, когда проводится внутренний аудит информационных систем, по своей сути, не аудит. Теоретически проводящий мероприятия лишь в качестве эксперта оценивает механизмы, благодаря которым система обезопасена. Привлеченное к задаче лицо становится активным участником процесса и теряет независимость, уже не может объективно оценивать ситуацию и контролировать ее.

С другой стороны, на практике при внутреннем аудите остаться в стороне практически невозможно. Дело в том, что для проведения работ привлекают специалиста компании, в прочее время занятого другими задачами в сходной области. Это значит, что аудитор - это тот самый сотрудник, который обладает компетенцией для решения упомянутых ранее заданий. Поэтому приходится идти на компромисс: в ущерб объективности привлекать работника к практике, чтобы получить достойный итог.

Аудит безопасности: этапы

Таковые во многом сходны с шагами общего ИТ-аудита. Выделяют:

• старт мероприятий;
• сбор базы для анализирования;
• анализ;
• формирование выводов;
• отчетность.

Инициирование процедуры

Аудит информационных систем в аспекте безопасности начинается, когда на это дает отмашку руководитель компании, так как именно начальники - те персоны, которые более прочих заинтересованы в эффективной проверке предприятия. Проведение аудита невозможно, если руководство не поддерживает процедуру.

Аудит информационных систем обычно комплексный. В нем принимает участие аудитор и несколько лиц, представляющих разные отделы компании. Важна совместная работа всех участников проверки. При инициации аудита важно уделить внимание следующим моментам:

• документальная фиксация обязанностей, прав аудитора;
• подготовка, согласование плана аудита;
• документальное закрепление того факта, что сотрудники обязаны оказывать аудитору посильную помощь и предоставлять все запрашиваемые им данные.

Уже в момент инициации проверки важно установить, в каких границах проводится аудит информационных систем. В то время как некоторые подсистемы ИС критичны и требуют особенного внимания, другие таковыми не являются и достаточно маловажны, поэтому допускается их исключение. Наверняка найдутся и такие подсистемы, проверка которых будет невозможна, так как вся информация, хранимая там, конфиденциальна.

План и границы

Перед началом работ формируется список ресурсов, которые предполагается проверить. Это могут быть:

• информационные;
• программные;
• технические.

Выделяют, на каких площадках проводят аудит, на какие угрозы проверяют систему. Существуют организационные границы мероприятия, аспекты обеспечения безопасности, обязательные к учету при проверке. Формируется рейтинг приоритетности с указанием объема проверки. Такие границы, а также план мероприятия утверждаются генеральным директором, но предварительно выносятся темой общего рабочего собрания, где присутствуют начальники отделов, аудитор и руководители компании.

Получение данных

При проведении проверки безопасности стандарты аудита информационных систем таковы, что этап сбора информации оказывается наиболее продолжительным, трудоемким. Как правило, ИС не имеет документации к ней, а аудитор вынужден плотно работать с многочисленными коллегами.

Чтобы сделанные выводы оказались компетентными, аудитор должен получить максимум данных. О том, как организована информационная система, как она функционирует и в каком состоянии находится, аудитор узнает из организационной, распорядительной, технической документации, в ходе самостоятельного исследования и применения специализированного ПО.

Документы, необходимые в работе аудитора:

• организационная структура отделов, обслуживающих ИС;
• организационная структура всех пользователей.

Аудитор интервьюирует работников, выявляя:

• провайдера;
• владельца данных;
• пользователя данных.

Для этого нужно знать:

• основные виды приложений ИС;
• число, виды пользователей;
• услуги, предоставляемые пользователям.

Если в фирме есть документы на ИС из перечисленного ниже списка, обязательно нужно предоставить их аудитору:

• описание технических методологий;
• описание методик автоматизации функций;
• функциональные схемы;
• рабочие, проектные документы.

Выявление структуры ИС

Для корректных выводов аудитор должен располагать максимально полным представлением об особенностях внедренной на предприятии информационной системы. Нужно знать, каковы механизмы безопасности, как они распределены в системе по уровням. Для этого выясняют:

• наличие и особенности компонентов используемой системы;
• функции компонентов;
• графичность;
• входы;
• взаимодействие с различными объектами (внешнее, внутреннее) и протоколы, каналы для этого;
• платформы, примененные для системы.

Пользу принесут схемы:

• структурная;
• потоков данных.

Структуры:

• технических средств;
• информационного обеспечения;
• структурных компонентов.

На практике многие из документов готовят непосредственно при проведении проверки. Анализировать информацию можно лишь при сборе максимального объема информации.

Аудит безопасности ИС: анализ

Есть несколько методик, применяемых для анализа полученных данных. Выбор в пользу конкретной основывается на личных предпочтениях аудитора и специфике конкретной задачи.

Наиболее сложный подход предполагает анализировать риски. Для информационной системы формируются требования к безопасности. Они базируются на особенностях конкретной системы и среды ее работы, а также угроз, свойственных этой среде. Аналитики сходятся во мнении, что такой подход требует наибольших трудозатрат и максимальной квалификации аудитора. Насколько хорош будет результат, определяется методологией анализа информации и применимостью выбранных вариантов к типу ИС.

Более практичный вариант предполагает обращение к стандартам безопасности для данных. Таковыми определяется набор требований. Это подходит для различных ИС, так как методика выработана на основе крупнейших фирм из разных стран.

Из стандартов следует, каковы требования безопасности, зависящие от уровня защиты системы и принадлежности ее тому или иному учреждению. Многое зависит от предназначения ИС. Главная задача аудитора - определить корректно, какой набор требований по безопасности актуален в заданном случае. Выбирают методику, по которой оценивают, соответствуют ли стандартам имеющиеся параметры системы. Технология довольно простая, надежная, поэтому распространена широко. При небольших вложениях в результате можно получить точные выводы.

Пренебрегать недопустимо!

Практика показывает, что многие руководители, особенно небольших фирм, а также те, чьи компании работают уже достаточно давно и не стремятся осваивать все новейшие технологии, относятся к аудиту информационных систем довольно халатно, так как просто не осознают важности этой меры. Обычно лишь ущерб бизнесу провоцирует начальство принимать меры по проверке, выявлению рисков и защите предприятия. Иные сталкиваются с тем, что у них крадут данные о клиентуре, у других утечки происходят из баз данных контрагентов или уходит информация о ключевых преимуществах некоего субъекта. Потребители перестают доверять компании, как только случай подвергается огласке, и компания терпит еще больший урон, нежели просто от потери данных.

Если есть вероятность утечки информации, невозможно построить эффективный бизнес, имеющий хорошие возможности сейчас и в будущем. У любой компании есть данные, представляющие ценность для третьих лиц, и их нужно беречь. Чтобы защита была на высочайшем уровне, необходим аудит, выявляющий слабые стороны. В нем нужно учитывать международные стандарты, методики, новейшие наработки.

При аудите:

• оценивают уровень защиты;
• анализируют применяемые технологии;
• корректируют документы по безопасности;
• моделируют рисковые ситуации, при которых возможна утечка данных;
• рекомендуют внедрение решений для устранения уязвимостей.

Проводят эти мероприятия одним из трех образов:

• активный;
• экспертный;
• выявляющий соответствие стандартам.

Формы аудита

Активный аудит предполагает оценку системы, на которую смотрит потенциальный хакер. Именно его точку зрения «примеряют» на себя аудиторы - изучают сетевую защиту, для чего применяют специализированное ПО и уникальные методики. Обязателен и внутренний аудит, проводимый также с точки зрения предполагаемого преступника, желающего украсть данные или нарушить работу системы.

При экспертном аудите проверяют, насколько соответствует внедренная система идеальной. При выявлении соответствия стандартам за основу берут абстрактное описание стандартов, с которыми сравнивают имеющийся объект.

Заключение

Корректно и качественно проведенный аудит позволяет получить следующие итоги:

• минимизация вероятности успешной хакерской атаки, ущерба от нее;
• исключение атаки, основанной на изменении архитектуры системы и информационных потоков;
• страхование как средство уменьшения рисков;
• минимизация риска до уровня, когда таковой вовсе можно не учитывать.

Большинство современных предприятий и организаций стремятся обезопасить себя от утечки коммерческой информации, однако в век высоких технологий реализовать это крайне сложно. Надёжная защита информации является фундаментом эффективной работы любой организации. Выбор остаётся за Вами - реализовать эффективную модель работы предприятия или терять прибыль, лишаться ценных кадров и дарить своих клиентов конкурентам.

В наши дни существует ряд охранных систем, реализующих информационную безопасность (ИБ), но для того, чтобы проверить эффективность их работы, необходимо проведение аудита безопасности информационных систем, который позволит выявить, ликвидировать бреши внутри структуры организации и предотвратить появление подобных проблем в будущем. Он представляет собой независимую оценку состояния системы на предмет соответствия установленным требованиям, и проводится в отношении налоговой и бухгалтерской отчётности, финансово-хозяйственной деятельности и экономического обеспечения.

Многолетняя практика нашей компании показывает, что формальный подход к информационной «обороне» оборачивается для организаций предельной беззащитностью перед конкретными угрозами. Мы доверяем только практике, тщательно анализируя защищённость бизнес-процессов, обнаруживая уязвимости в системах и давая клиентам объективное представление о них.

Оказание услуг по защите информации от «Зеонит»: наши преимущества

• Предотвращение хакерских атак. Тысячи хакеров систематически взламывают сервера организаций ради развлечения, корысти или тренировки. Важно своевременно обезопасить предприятие от утечки конфиденциальной информации.
• Доскональная аналитика. На основе аналитики наши эксперты разрабатывают эффективную стратегию контроля информационных систем. Мы понимаем уязвимости IT-инфраструктур любой специфики и масштаба, и каков бы ни был размер Вашей компании, мы реализуем индивидуальный подход и высококлассную экспертизу с гарантией полной конфиденциальности.
• Формат «под ключ». Обращаясь к нам, Вы получаете комплексный подход: мы выявляем слабые места внутри информационной системы Вашей компании, возможные проблемы и риски, и на выходе предлагаем готовые пути их ликвидации.
• Компетентные эксперты. В команде «Зеонит» работают профессионалы в области ИБ, квалификация и опыт работы которых имеет документальное подтверждение. Глубоко погружаясь в логику работы систем, мы обнаруживаем даже самые неочевидные риски и предлагаем варианты их устранения. Именно поэтому наши специалисты предлагают самые эффективные и перспективные решения.
• Обеспечение ИБ для организации любого уровня. Мы предоставляем услуги как государственным предприятиям и банковским структурам, так и коммерческим организациям, учитывая потребности в каждом отдельном случае.
• Понятное резюме. Мы формируем отчёт на доступном языке, с подробным описанием рисков и набором практических рекомендаций для технических специалистов компании.
• Внедрение передовых технологий. В рамках реализации ИБ нашей целью является внедрение самых современных технологий и свежих решений, подтвержденных международными сертификатами. Помимо всего, мы успешно реализуем и собственные разработки.

Стоит помнить, что хорошо защищённая информационная система - это залог успешной и прибыльной работы любого предприятия. Обращайтесь к нам и заказывайте профессиональный аудит уже сегодня.

Зачем нужен аудит ИБ

Комплексный аудит ИБ

Тест на проникновение

Экспресс аудит ИБ

Зачем нужен аудит информационной безопасности

Информационная безопасность (ИБ) – фундамент любого предприятия, без применения которого невозможно построить надежную структуру организации. Выбор за Вами: получить эталонную защиту, или продолжать дарить клиентов своим конкурентам, терять существенную прибыль и ценные кадры. Аудит информационной безопасности позволит выявить, устранить и предупредить появление брешей внутри структуры Вашего предприятия.

6 причин, доверить проведение аудита нашей компании

Защита от хакерских атак

На скрытых форумах общаются тысячи хакеров, которые взламывают сервера предприятий для забавы, корыстных целей или ради тренировки. Крупные организации подвергаются хакерским атакам регулярно.

Аналитический подход

Наши эксперты проводят глубокий аудит с предоставлением полного отчета по обследованным системам. На основе аналитики разрабатывается наиболее эффективная стратегия обеспечения бесперебойного контроля над безопасной работой с информацией.

Сервис в формате «под ключ»

Обращаясь к нам, Вы получаете исчерпывающий перечень услуг в сегменте ИБ. Выявим слабые места внутри вашей информационной системы, оценим возможные проблемные места, риски и предложим готовые решения для их полного устранения.

Экспертный консалтинг

Получите консультацию ведущих экспертов «ЗЕОНИТ»: оценка возможных проблемных участков и рисков, расчет инвестиций в информационную безопасность, варианты готовых решений, советы по постройке надежной защиты.

Компетентные специалисты

В нашей команде работают ведущие консультанты в сфере информационной безопасности, квалификация которых подтверждена сертификатами. Именно поэтому специалисты «ЗЕОНИТ» предлагают самые эффективные решения.

Полное погружение

Не существует единого стандарта информационной безопасности, поэтому при заказе аудита наши эксперты учитывают особенности именно Вашей организации, чтобы построить защиту действительно эталонного уровня.

Приоритетная направленность наших услуг

Мы работаем с множеством предприятий различного масштаба, как с банками и другими государственными структурами, так и коммерческими организациями.

Обеспечение ИБ для коммерческих организаций

• Контроль и предоставление сотрудникам доступа различного уровня к данным предприятия;
• Отслеживание и управление репутацией компании в сети;
• Создание корпоративной тайны и сбережение корпоративной информации от посягательств конкурентов.

Обеспечение ИБ для госпредприятий и банковских структур

• Проверка на соответствие ИБ ГОСТ стандартам;
• Оптимизация технологий под масштабы организации;
• Оценка экспертами степени безопасности систем автоматизации и менеджмента.

Обеспечение ИБ банковских организаций

• Системы управления рисками;
• Создание и приведение к актуальности стандартов под требования Банка России;

Выявление и устранение информационных утечек по вине сотрудников и клиентов

Проведение аудита настоятельно рекомендуется в случаях смены руководства или структуры организации, а также для актуализации требований под действующее законодательство. Необходимо понимать, что хорошо обособленная и защищенная информационная система - это надежная опора любого предприятия. Свяжитесь с нами уже сегодня, и закажите профессиональный аудит ИБ прямо сейчас.

Основной целью нашей организации в рамках внедрения первичных систем безопасности информации, является укоренение передовых технологий по информационной защите внутри бизнес процессов своих клиентов. Для ее исполнения мы используем множество новых и полезных решений, прошедших сертификацию у мировых лидеров по разработке ПО. Кроме того, мы имеем собственные успешные разработки, не уступающие большинству европейских и американских образцов. Специалисты нашей компании ясно понимают, какие именно сегменты рынка безопасности будут востребованы в ближайшие годы, поэтому мы с имеем возможность с уверенностью смотреть в будущее, зная, какие бизнес – процессы не потеряют своей актуальности еще долгое время. Опираясь на наших постоянных партнеров, мы продолжаем развитие нашей компании, точно зная, что всегда сможем принести пользу окружающему миру.

Каждый заказчик получает от нас особое внимание, и мы, учитывая все особенности его бизнеса, предлагаем ему проект, имеющий максимальную эффективность с экономической и технической точки зрения, согласно которому, после согласования, мы строим всю последующую работу.

Согласно концепции комплексного подхода, к решению всех вопросов нашего клиента, мы можем гарантировать и качественный охват всех поставленных задач.

Проведение аудита настоятельно рекомендуется в случаях смены руководства или структуры организации, а также для актуализации требований под действующее законодательство. Защищенная информационная система, это надежная опора любого предприятия. Свяжитесь с нами уже сегодня, и закажите профессиональный аудит ИБ прямо сейчас.

Комплексный аудит информационной безопасности

Когда нужен действительно компетентный аудит информационной безопасности (ИБ), выбирают «ЗЕОНИТ». Наши эксперты проведут полноценную аналитику, объективно оценят степень защищенности систем и дадут экспертное заключение о состоянии инфраструктуры Вашей организации

6 главных причин, почему выбирают нашу компанию

Независимая оценка

Привлечение внешних консультантов компании «ЗЕОНИТ» позволит получить объективную оценку информационной безопасности Вашего предприятия. С нами, Вы узнаете реальную картину состояния инфраструктуры, а также получите ценные рекомендации специалистов.

Экспертный консалтинг

Помимо выявления дыр в системе безопасности, наши эксперты предложат стратегию предотвращения появления новых проблем, а также проконсультируют по внедрению необходимых средств защиты.

Услуги в формате «под ключ»

Комплексный аудит от нашей компании подразумевает проведение пентестов, аналитики состояния информационных систем и онлайн безопасности. В итоге, Вы будете в курсе актуального состояния как внутренних, так и внешних ресурсов информационной безопасности.

Исключительно индивидуальный подход

Мы предлагаем решения, которые адаптированы под реалии и особенности Вашей организации. Состав и специализация наших работ обговариваются с клиентом индивидуально.

Реальные бюджеты

Наши цены на 10-12% ниже среднерыночной стоимости. При этом, в комплекс наших услуг входит оценка и грамотное планирование бюджета на оптимизацию информационной безопасности.

Предлагаем эффективные решения

Разработаем план мероприятий по усовершенствованию безопасности информационных систем, а также предложим эффективные решения по устранению обнаруженных недостатков.

Как проводится комплексный аудит

• Изучение особенностей организации, исследование действующих методологий и решений информационной безопасности;
• Аналитика существующей структуры, выявление наиболее значимых компонентов;
• Оценка конфигурации используемых средств защиты и элементов инфраструктуры, определение соответствия информационной системы актуальным требованиям безопасности;
• Проведение пентестов;
• Независимая оценка рисков взлома или сбоя в системе информационной безопасности;
• Подготовка подробной отчетности о текущем состоянии ИБ;
• Составление рекомендаций по улучшению степени информационной безопасности, которые могут быть адаптированы под особенности Вашей организации.

Остались вопросы? Свяжитесь с нами прямо сейчас, и Вас СОВЕРШЕННО БЕСПЛАТНО проконсультирует ведущий эксперт компании «ЗЕОНИТ». Спешите, наши цены временно снижены.

Тестирование на проникновение в Москве

Одна из довольно популярных и востребованных услуг в области безопасности информации, которые предоставляет наша компания – так называемое тестирование на проникновение . Это довольно популярная во всём мире услуга, которая заключается в попытке обойти защитный комплекс мер вашей информационной системы с целью выявления ее слабых и уязвимых деталей. На протяжение всего времени тестирования , специалист ведет себя как злоумышленник, пытающийся совершить проникновение к данным клиента. Проще говоря, аудитор ведет санкционированную хакерскую атаку, проверяя тем самым уязвимость системы заказчика к подобным посягательствам извне.

Как правило, совершающий атаку специалист в большинстве случаев добивается своих результатов, проникая в тестируемую внутреннюю сеть компании заказчика. Как показывает практика, порядка 20% уязвимостей высокой степени можно выявить уже в процессе сбора информации о компании из официальных источников, в том числе и из социальных сетей персонала. То есть при отсутствии у большинства сотрудников информационной дисциплины, можно с высокой долей вероятности сказать, что ваша коммерческая тайна несет большие риски. Более сложный, комбинированный тест с применением инженерных средств, является еще более эффективным и дает порядка 70% положительных результатов на проникновение. После окончания проверки все риски и слабые места системы безопасности заносятся в подробный отчёт и демонстрируются заказчику, после чего следует этап исправления ошибок и внедрения инструкций по элементарным основам безопасности.