Informationssikkerhedsrevision

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 14. juni 2016; checks kræver 9 redigeringer .

Informationssikkerhedsrevision  er en systematisk proces til at opnå objektive kvalitative og kvantitative vurderinger af den aktuelle tilstand af informationssikkerhed i et automatiseret system i overensstemmelse med visse kriterier og sikkerhedsindikatorer.

Informationssikkerhed [1]  er tilstanden af ​​bevarelse af informationsressourcer og beskyttelse af individets og samfundets juridiske rettigheder på informationsområdet .

Revisionen giver dig mulighed for at vurdere den aktuelle sikkerhed for informationssystemets funktion , vurdere og forudsige risici, styre deres indvirkning på virksomhedens forretningsprocesser , korrekt og rimeligt nærme spørgsmålet om at sikre sikkerheden af ​​dets informationsaktiver, strategisk udvikling planer, marketingprogrammer, finansielle og regnskabsmæssige erklæringer, indholdet af virksomhedens databasedata. I sidste ende maksimerer en veludført informationssystemsikkerhedsrevision afkastet af investeringen i at bygge og vedligeholde en virksomheds sikkerhedssystem.

De vigtigste aktiviteter inden for informationssikkerhedsrevision

De vigtigste retningslinjer for informationssikkerhedsrevision er detaljeret i følgende: attestation; informationssikkerhedskontrol; særlige undersøgelser af tekniske midler og udformning af genstande i beskyttet design [2] .

1. Certificering af informationsobjekter i henhold til informationssikkerhedskrav:
   • certificering af automatiserede systemer, kommunikationsmidler, behandling og transmission af information ;
   • certificering af lokaler beregnet til at føre fortrolige forhandlinger;
   • certificering af tekniske midler installeret i tildelte lokaler.
2. Sikkerhedskontrol af oplysninger med begrænset adgang:
   • identifikation af tekniske kanaler for informationslækage og metoder til uautoriseret adgang til det;
   • overvågning af effektiviteten af ​​de anvendte informationsbeskyttelsesværktøjer.
3. Særlige undersøgelser af tekniske midler til tilstedeværelsen af ​​falsk elektromagnetisk stråling og pickups (PEMIN):
   • personlige computere, kommunikationsmidler og informationsbehandling;
   • lokale computersystemer;
   • registrering af forskningsresultater i overensstemmelse med kravene fra FSB og FSTEC.
4. Design af objekter i et sikkert design:
   • udvikling af begrebet informationssikkerhed;
   • design af automatiserede systemer, kommunikationsmidler, behandling og transmission af information i et sikkert design;
   • design af lokaler beregnet til at føre fortrolige forhandlinger.

Typer og formål med revisionen

Skelne mellem ekstern og intern revision.

En ekstern revision er som udgangspunkt en engangsbegivenhed, der gennemføres på initiativ af organisationens ledelse eller aktionærer. Ekstern revision anbefales (og påkrævet for en række finansielle institutioner og aktieselskaber) at udføres regelmæssigt.

Intern revision er en løbende aktivitet, der udføres på grundlag af et dokument, sædvanligvis kaldet ”Regler om intern revision”, og i overensstemmelse med en plan, hvis udarbejdelse varetages af den interne revisionsenhed og godkendes af den interne revision. ledelse af organisationen. Sikkerhedsrevision af informationssystemer er en af ​​IT-revisionskomponenterne.

Målene for sikkerhedsrevisionen er: — Indhentning af objektiv dokumentation, analyse af risici forbundet med muligheden for at implementere sikkerhedstrusler mod IP-ressourcer; — vurdering af det nuværende niveau af IS-sikkerhed; — lokalisering af flaskehalse i IP-beskyttelsessystemet; - vurdering af IS' overensstemmelse med eksisterende standarder inden for informationssikkerhed; — udvikling af anbefalinger til indførelse af nye og forbedring af effektiviteten af ​​eksisterende IS-sikkerhedsmekanismer.

Indberetninger om SIS-hændelser afgivet til Revisor skal indeholde dokumentation om den såkaldte. "svage punkter" NIB.

Blandt de yderligere opgaver, som den interne revisor står over for, kan ud over at bistå eksterne revisorer også omfatte: - udvikling af sikkerhedspolitikker og andre organisatoriske og administrative dokumenter til beskyttelse af information og deltagelse i deres implementering i organisationens arbejde; - fastsættelse af opgaver for it - personale i forbindelse med sikring af informationsbeskyttelse; — deltagelse i uddannelse af IS-brugere og vedligeholdelsespersonale i informationssikkerhedsspørgsmål; — deltagelse i analysen af ​​hændelser i forbindelse med krænkelse af informationssikkerheden; - andre opgaver.

Nøgletrin i en sikkerhedsrevision

Arbejdet med IP-sikkerhedsrevision omfatter en række på hinanden følgende faser, som generelt svarer til faserne af en omfattende it -revision af et automatiseret system, som omfatter:

• indledning af revisionsproceduren;
• indsamling af revisionsoplysninger;
• analyse af revisionsdata;
• komme med anbefalinger;
• udarbejdelse af revisionsrapport.

På tidspunktet for indledning af revisionsproceduren bør følgende organisatoriske problemer løses:

1. revisors rettigheder og forpligtelser bør være klart defineret og dokumenteret i hans jobbeskrivelser samt i forordningen om intern (ekstern) revision;
2. revisor bør udarbejde og aftale med ledelsen en revisionsplan;
3. Forordningen om intern revision bør navnlig fastsætte, at virksomhedens medarbejdere er forpligtet til at bistå revisor og give alle de oplysninger, der er nødvendige for revisionen.

På tidspunktet for indledning af revisionsproceduren bør grænserne for undersøgelsen fastlægges. Planen og grænserne for revisionen drøftes på et arbejdsmøde, hvor revisorer, virksomhedsledelse og ledere af strukturelle afdelinger deltager.

Stadiet med indsamling af revisionsoplysninger er det mest komplekse og langvarige. Dette skyldes hovedsageligt manglen på nødvendig dokumentation for informationssystemet og behovet for tæt interaktion mellem revisor og mange embedsmænd i organisationen.

Kompetente konklusioner vedrørende tingenes tilstand i en virksomhed med informationssikkerhed kan kun drages af revisor, hvis alle de nødvendige indledende data til analyse er tilgængelige. Første punkt i revisionsundersøgelsen begynder med at indhente information om IS-brugernes og serviceenheders organisationsstruktur. Formålet med og principperne for driften af ​​IS bestemmer i høj grad de eksisterende risici og sikkerhedskrav til systemet. Desuden har revisor brug for mere detaljerede oplysninger om strukturen af ​​IP. Dette vil gøre det muligt at forstå, hvordan fordelingen af ​​sikkerhedsmekanismer udføres i henhold til IS' strukturelle elementer og funktionsniveauer.

De dataanalysemetoder , som revisorerne anvender, er bestemt af de valgte revisionstilgange, som kan variere betydeligt.

Den første tilgang , den mest komplekse, er baseret på risikoanalyse. Baseret på risikoanalysemetoder fastlægger revisor for den undersøgte IS et individuelt sæt sikkerhedskrav, der bedst tager højde for funktionerne i denne IS, dets driftsmiljø og de sikkerhedstrusler, der eksisterer i dette miljø.

Den anden tilgang , den mest praktiske, bygger på brugen af ​​informationssikkerhedsstandarder. Standarderne definerer et grundlæggende sæt sikkerhedskrav for en bred klasse af IS, som er dannet som et resultat af generaliseringen af ​​verdens praksis. Standarder kan definere forskellige sæt sikkerhedskrav, afhængigt af niveauet af IP-sikkerhed, der kræves, dets ejerskab (kommerciel organisation eller statslig agentur) og formål (finans, industri, kommunikation osv.). Revisoren er i dette tilfælde forpligtet til korrekt at bestemme standardens krav, som skal sikres.

Den tredje tilgang , den mest effektive, involverer en kombination af de to første. Det grundlæggende sæt af sikkerhedskrav til IS er defineret af standarden. Yderligere krav, der tager højde for særegenhederne ved funktionen af ​​denne IS i det maksimale omfang, er dannet på grundlag af risikoanalyse.

Anbefalinger udstedt af revisor baseret på resultaterne af analysen af ​​IP-tilstanden bestemmes af den anvendte tilgang, funktionerne i den undersøgte IP, tingenes tilstand med informationssikkerhed og detaljeringsgraden, der er anvendt i revisionen. Under alle omstændigheder bør revisors anbefalinger være specifikke og anvendelige for denne IS, økonomisk begrundede, begrundede (understøttet af analysens resultater) og sorteret efter vigtighed. Samtidig har foranstaltninger til at sikre beskyttelsen af ​​det organisatoriske niveau næsten altid forrang frem for specifikke software- og hardwarebeskyttelsesmetoder. Samtidig er det naivt at forvente af revisor, som et resultat af revisionen, udstedelse af et teknisk projekt af informationssikkerhedsundersystemet eller detaljerede anbefalinger om implementering af specifikke software- og hardwareinformationsbeskyttelsesværktøjer. Dette kræver en mere detaljeret undersøgelse af specifikke spørgsmål om tilrettelæggelse af beskyttelse, selvom interne revisorer kan deltage aktivt i disse arbejder.

Revisionsrapporten er hovedresultatet af revisionen. Dens kvalitet kendetegner kvaliteten af ​​revisors arbejde. Den bør i det mindste indeholde en beskrivelse af målene for revisionen, en beskrivelse af den IS, der undersøges, en angivelse af grænserne for revisionen og de anvendte metoder, resultaterne af analysen af ​​revisionsdataene, konklusioner, der opsummerer disse resultater og indeholdende en vurdering af AU's sikkerhedsniveau eller dets overholdelse af kravene i standarderne, og naturligvis anbefalinger fra revisor om at fjerne eksisterende mangler og forbedre beskyttelsessystemet.

Noter

1. ↑ Sikkerhed: teori, paradigme, koncept, kultur. Ordbogsreference  (utilgængeligt link)  (utilgængeligt link fra 14-06-2016 [2329 dage]) / Author-comp. Professor V. F. Pilipenko. 2. udg., tilf. og omarbejdet. — M.: PER SE-Press, 2005.
2. ↑ Yarochkin V.I. Informationssikkerhed: En lærebog for studerende - M .: Academic Project; Gaudeamus, 2. udgave, - 2004. - 544 s.

Litteratur

• Bartender Scott . Udvikling af informationssikkerhedsregler. M.: Williams, 2002. - 208 s. — ISBN 5-8459-0323-8 , ISBN 1-57870-264-X .
• Semenenko V. A. Informationssikkerhed: Lærebog. — M.: MGIU, 2004—215 s. — ISBN 5-8459-0323-8 , ISBN 1-57870-264-X .

Links

• Den Russiske Føderations føderale lov af 27. juli 2006 N 149-FZ om information, informationsteknologi og informationsbeskyttelse
• Standard for Bank of Russia: "Sikring af informationssikkerhed for organisationer i banksystemet i Den Russiske Føderation. Informationssikkerhedsrevision af STO BR IBBS-1.1-2007"