Новости
09.05.2023
с Днём Победы!
07.03.2023
Поздравляем с Международным женским днем!
23.02.2023
Поздравляем с Днем защитника Отечества!
Оплата онлайн
При оплате онлайн будет
удержана комиссия 3,5-5,5%








Способ оплаты:

С банковской карты (3,5%)
Сбербанк онлайн (3,5%)
Со счета в Яндекс.Деньгах (5,5%)
Наличными через терминал (3,5%)

АНАЛИЗ МЕТОДОВ ПРОВЕДЕНИЯ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ

Авторы:
Город:
Ставрополь
ВУЗ:
Дата:
20 ноября 2016г.

Аудит информационной безопасности включает в себя процесс получения количественных и качественныхоценок текущего состояния защищенности информации на предприятии [4].

Основными задачами аудита информационной безопасности являются:

 - обеспечить оценку состояния безопасности информационных систем;

 -     расчет материальных ресурсов, вложенных в создание системы управления информационной безопасностью;

-        оценить возможный ущерб, причиненный в результате осуществления информационных угроз;

- разработка требований для построения политики безопасности.

 В настоящее время существует три подхода к осуществлению аудита информационной безопасности [2]: активный аудит, экспертный аудит и аудит на соответствия стандартам. Активный аудит информационной безопасности базируется на исследовании состояния защищенности информационной системы предприятия.При активном аудитепредоставляется информация о существующих уязвимостях информационной системы, уровню их критичности и методах устранения. Экспертный аудит базируется на мнении экспертов, которые участвуют в анализе системы информационной безопасности. Этот метод аудита представляет собой подробное описание системы защиты и сравнил ее с некоторой идеальной моделью. По результатам проведения экспертного аудита составляется отчет о существующих уязвимостях и даются рекомендации по их устранению. При проведении аудита на соответствие стандартам сравнивают состояние системы информационной безопасности с рекомендациями, приведенными в стандартах информационной безопасности. При проведении указанного вида аудита используются стандарты информационной безопасности:руководящие документы Федеральной службы; международные стандарты ISO/IEC. Аудит на соответствие стандартам является обязательным для государственных учреждений обрабатывающие сведения, составляющих государственную тайну.

Для анализа методов аудита информационной безопасности используется SWOT- анализа [1]. В данной работе, SWOT-анализ проводится с целью определения достоинств и недостатков методов аудита информационной безопасности, а также выявления угроз. В таблице 1 приведены результаты SWOT-анализа рассматриваемых 3 видов аудита (активный, экспертный, на соответствие стандартам).

Таблица 1 – Результаты SWOT-анализа3 видов аудита (активный, экспертный, на соответствие стандартам)

 

 

Критерии

Вид аудита

 

Активный

 

Экспертный

На соответствие

стандартам

Угрозы

1. Высокая стоимость

необходимого программного обеспечения.

2.               Для каждой системы необходимо выбрать программное обеспечение для проведения аудита

3.               Возможны ошибки в используемом про- граммном обеспечении

1.               Отсутствие

автоматизации процесса.

2.               Необходимость

доверять экспертом.

3.               Высокие требования к компетентности экспертов.

4.               Есть противоречия во мнениях экспертов.

1.               Большое

количество юридических документов

2.               Нормативно-

правовая база постоянно совершенствуется.

3.               Противоречия в юридических документах.

4.               Невозможно выполнить аудиторские полномочия силами самой организации.

Возможности

1.            Высокий спрос на

рынке.

2.            Аудит может осуществляться сотрудниками подразделения информационной безопасности предприятия.

3.            Автоматизировать большую часть работы экспертов.

1.   Наличие

необходимых юридических документов.

2.   Проверка может быть выполнена сотрудниками предприятия подразделений информационной безопасности

3.   Возможность

1.      Сертификат

безопасности выдается в результате аудита для улучшения имиджа компании.

2.      В требованиях нормативных документов находят отражение лучшие практические выводы экспертов

3.      Высокий спрос на


автоматизировать

процесс аудита

рынке

Сильные

стороны

1.               Автоматизация

процесса аудита.

2.               В ходе проведения аудита не требуется участия сотрудников компании.

3.               Возможно проведение стресс- тестирования для определения производительности и устойчивости системы.

1.               Никакого

дополнительного ПО.

2.               На время проведения ревизии не нужно останавливать работу системы

3.               Ревизия           исходит уз               угроз

информационной безопасности,                         что позволяет                           охватить большое                      количество уязвимостей

1.               Порядок

проведения аудита регламентируется нормативными актами, в которых присутствует описание отчетных документов.

2.               Никакого дополнительного ПО

3.               Не требуется прекращение работы системы в ходе проведения аудита.

Слабые

стороны

1.             Требуется

дополнительное программное обеспечение.

2.             На момент проведения проверки необходимо остановить систему.

3.             Аудит направлен на выявление только известные уязвимости.

1.               Высокие

требования к качеству информации.

2.               Процесс аудита отнимает много времени.

3.               Сотрудники организации принимают участие в проверке.

1.               Сотрудники

организации должны быть вовлечены в процесс проведения аудита

2.               Каждый раз при изменении системы необходимо провести аудит.

3.               Высокие требования к качеству информации,

4.               Процесс аудита отнимает много времени.

Для перехода от качественных оценок к количественным для приведенных в таблице1 определены следующие значения:


Результаты вычисления параметров для каждого метода аудита информационной безопасности компании представлены в таблице 2.


Таблица 2 – Значимости параметров

 

 

Достоинства и недостатки параметров

 

Активный аудит

 

Экспертный аудит

 

Аудит на соответствие стандартам

Сильные стороны

112,75

137,15

98,70

Слабые стороны

147,20

147,00

154,35

Возможности

174,80

184,95

163,80

Угрозы

165,45

181,70

184,40

Из таблицы 2 видно, что самые перспективные показатели у экспертного аудита.

 При проектировании экспертной системы выполняются следующие шаги.

 1.      Определяются основные угрозы информационной безопасности и производится их классификация.

2.      Для каждой угрозы информационной безопасности определяется список уязвимостей, через которые эта угроза может быть реализована.

3.      С помощью информационной безопасности для каждой уязвимости определяется список требований, которые должны быть выполнены, чтобы избежать осуществления угрозы.

4.      Каждому запросу присваивается вес, выражающий степень важности требований.

 Таким образом, экспертная система состоит из модулей, которые включают в себя требования безопасности, предъявляемые к каждой уязвимости. Экспертная система выбирает модули, участвующие в процессе аудита информационной безопасности, в зависимости от того, из каких угроз будетпроанализирована информационная безопасность [3].

Процесс проведения аудита можно разделить на четыре этапа:

 – регулирование развития аудита;

 – сбор данных;

 – анализ данных;

 – разработка рекомендаций по повышению уровня защиты.

 На основании статьи, в которой проанализированы методы аудита информационной безопасности, можно сделать вывод, что для повышения качества аудита целесообразно применять экспертные системы. Использование экспертных систем позволит, с одной стороны, компания-подрядчик для проведения самого аудита клиента, но эксперты в области безопасности приветствуются только в критических ситуациях; с другой стороны, для компаний аудита экспертной системы могут выступать в качестве инструмента для ускорения процесса аудита и упростить работы эксперта.Частота проверок зависит от того, как часто информационная система предприятия возмещать убытки - при добавлении нового оборудования, изменение приложения и системного программного обеспечения. С помощью регулярного проведения аудита уровень безопасности информационной системы будет достаточно высока [2].

Список литературы

 

 

1.        SWOT-анализ: методики проведения и возможности применения на российских предприятиях / А. Н. Гвозденко // Маркетинг и маркетинговые исследования. - 2006. - № 2. - С. 144-156.

2.        Дубинин Е.А., Тебуева Ф.Б., Копытов В.В. Оценка относительного ущерба безопасности информационной системы. – М.: ИЦ РИОР: НИЦ ИНФРА-М, 2014. – 192 с.

3.        Забокрицкий Е.И., Заводнов В.С., Минкина Т.В. Предпосылки угроз информационной безопасности объекта/ Сборник материалов III Всероссийской научно- технической конференции «Студенческая наука для развития информационного общества», Ставрополь, 14-18 декабря 2015, Ставрополь: Издательство СКФУ, 2015. – С. 181-182.

4.        Курило А.П., Зефиров С.Л., Голованов В.Б. и др. Аудит информационной безопасности.– М.: Издательская группа «БДЦ-пресс», 2006 г.