Анализ результатов ущерба в ходе аудита информационной безопасности

Размещено на http://www.allbest.ru/

Анализ результатов ущерба в ходе аудита информационной безопасности

Бакин Игорь Борисович

ФГОБУ ВО «Финансовый университет при Правительстве Российской Федерации», Москва, Россия

Ниязова Камилла Шухратовна

ФГОБУ ВО «Финансовый университет при Правительстве Российской Федерации», Москва, Россия

Володин Сергей Михайлович

АОЧУ ВО «Московский финансово-юридический университет МФЮА», Москва, Россия

Доцент кафедры «Информационные системы и технологии»

Кандидат технических наук

Аннотация

В данной статье были выделены основные классификации аудита информационной безопасности, в зависимости от его направленности и организационного отношения аудиторов к проверяемой организации, а также были перечислены основные этапы и причины проведения аудита информационной безопасности. Для этого была проанализирована научная литература по указанной тематике, а также выбрана ключевая информация из сведений, полученных из научных источников. В ходе проведения анализа были отмечены важность правильного выбора состава аудиторской группы, постановки целей и задач аудита, была указана относительная длительность различных этапов и выявлены точки начала и окончания аудита. По мнению автора, подбор оптимального набора инструментов улучшения режима защищенности хранимой и обрабатываемой информации, а также выбор порядка проведения аудита и перечня аудиторских мероприятий невозможны без понимания того, от каких угроз требуется защищать предприятия. Автор считает, что российским организациям кредитно-финансовой сферы необходимо периодическое проведение аудита на фоне регулярно появляющихся новых или модифицированных версий известных угроз. Компании, проводящие его, на российском рынке аудиторских услуг также присутствуют, однако имеют ряд особенностей, из-за которых считать однозначно доверенными можно лишь самых крупных и опытных игроков отрасли. Основываясь на приведенной в данной статье информации, далее будет проще выработать последовательность действий, которой необходимо придерживаться аудиторской группе для обеспечения соответствия аудиторских мероприятий разработанной методике, а также добавить причины, по которым моделируемому ниже учреждению понадобилось скорое проведение аудита информационной безопасности.

Ключевые слова: информатизация; информация; аудит; внутренний аудит; информационная безопасность; финансовая система; банковская система; информационная система; кредитно-финансовая сфера

Abstract

Bakin Igor' Borisovich

Financial University under the Government of the Russian Federation, Moscow, Russia

Niyazova Kamilla Shukhratovna

Financial University under the Government of the Russian Federation, Moscow, Russia

Volodin Sergey Mikhaylovich

Moscow University of Finance and Law, Moscow, Russia

Analysis of damage results during an information security audit

This article highlighted the main classifications of an information security audit, depending on its focus and the organizational relationship of auditors to the organization being audited, and also listed the main stages and reasons for conducting an information security audit. To do this, scientific literature on this topic was analyzed, and key information was selected from information obtained from scientific sources. During the analysis, the importance of correctly choosing the composition of the audit team, setting goals and objectives of the audit was noted, the relative duration of the various stages was indicated, and the start and end points of the audit were identified. According to the author, selecting the optimal set of tools to improve the security regime of stored and processed information, as well as choosing the procedure for conducting an audit and the list of audit activities, is impossible without understanding what threats enterprises need to protect from. The author believes that Russian financial institutions need periodic audits against the backdrop of regularly appearing new or modified versions of known threats. Companies conducting it are also present on the Russian audit services market, but they have a number of features due to which only the largest and most experienced players in the industry can be considered unambiguously trusted. Based on the information provided in this article, it will be easier to further develop a sequence of actions that the audit team must follow to ensure that the audit activities comply with the developed methodology, and also add the reasons why the institution modeled below needed an information security audit quickly.

Keywords: informatization; information; audit; internal audit; Information Security; financial system; banking system; Information system; credit and financial sector

Введение

аудит информационная безопасность

В современном мире, в связи с постоянным возрастанием количества накопленной человечеством информации и постепенным приобретением обществом статуса информационного, вопросы обеспечения безопасности информации выходят на первый план в целом ряде различных сфер человеческой деятельности, начиная с личной безопасности каждого гражданина, с сохранности его персональных данных, что не позволяет посторонним лицам, в том числе злоумышленникам, вмешиваться в его жизнь, заканчивая безопасностью целых стран, ведь сотрудникам специальных учреждений большинства стран мира приходится ежедневно сталкиваться с информацией, входящей в категорию государственной или военной тайны, а также связанной с серьезными преступлениями, такими как отмывание денег и финансирование преступных организаций. В связи с вышеизложенным появляются законы и нормативные акты, обеспечивающие регулирование в области информационной безопасности. Они устанавливают требования не только к порядку защиты хранимых данных, но и к аудиту информационной безопасности, к оценке ее состояния в организации и ее возможности противостоять попыткам несанкционированного доступа, а также к поиску путей по улучшению режима защиты информации на предприятии. Ведь в соответствии с Федеральным законом Российской Федерации от 27.07.2006. 149-ФЗ «Об информации, информационных технологиях и о защите информации» обладатель информации и оператор информационной системы обязаны не только искать факты несанкционированного доступа к хранимым данным и стараться предотвращать их, но и осуществлять «постоянный контроль за обеспечением уровня защищенности информации».

Целью исследования является особенности результатов ущерба в ходе аудита информационной безопасности.

Объект исследования: информационная безопасность.

Предмет исследования: аудит информационной безопасности на объекте информатизации.

Результаты и обсуждения

Подбор оптимального набора инструментов улучшения режима защищенности хранимой и обрабатываемой информации, а также выбор порядка проведения аудита и перечня аудиторских мероприятий невозможны без понимания того, от каких угроз требуется защищать предприятия кредитно-финансовой сферы в первую очередь, как существующие угрозы конфиденциальности, целостности и доступности информации отражаются на функционировании и финансовых потерях компаний, какие аудиторские решения уже применяются для устранения уязвимых элементов в рассматриваемой стране в настоящее время.

Подтверждения изменчивости обстановки в мире информационных угроз можно проследить и в статистике по другим типам вредоносного программного обеспечения. Так, количество атак с применением троянцев-вымогателей за год снизилось на порядок, шифровальщики также утрачивают популярность [4]. Их либо вытесняют, либо рождаются в виде их модификаций программы, позволяющие использовать зараженный компьютер для майнинга, а также возвращается популярность к вирусам, получающим полный набор прав для контроля устройства (права администратора или суперпользователя -- в зависимости от особенностей вредоносной программы и программного обеспечения устройства) и использующих его для изымания и перевода злоумышленнику информации, хранимой на устройстве или передаваемой с его помощью.

В таких условиях особенно возрастает необходимость в совершенствовании защитной программно-аппаратной среды организаций, а также в разработке эффективных организационных мер контроля сотрудников в условиях распространения и процветания использования злоумышленниками различных фишинговых схем. Именно для удовлетворения такой потребности и существует такой инструмент исправления и совершенствования информационной защищенности организации, как аудит информационной безопасности.

Аудит информационной безопасности -- это «системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности организации в соответствии с определёнными критериями и показателями безопасности» [4] с целью формирования рекомендаций по повышению уровня защищенности объекта информатизации.

Есть несколько классификаций аудита. К примеру, в зависимости от источника, который занимается его проведением, выделяют внешний и внутренний аудит информационной безопасности.

В зависимости от направленности аудита информационной безопасности на разные стороны информационной инфраструктуры выделяют аудит системы информационных технологий и аудит организации [5].

Рассмотрим, в каких же случаях обычно аудит информационной безопасности целесообразно проводить.

Во-первых, у руководства организации может возникнуть потребность в проверке степени защищенности информации и информационных каналов, а также отказоустойчивости информационных систем. Как правило, такая потребность имеет под собой определенную основу, которая может выражаться, к примеру, в недавних серьезных изменениях в организационной структуре, политике или информационной инфраструктуре компании [6].

Так, при слиянии с другой компанией или ее поглощении проведение аудита особенно важно, ведь не всегда ясно, какие уязвимости могли быть случайно или намеренно оставлены в ее информационной системе предыдущим руководством, особенно в условиях начинающегося вскоре процесса реорганизации новообретенных частей компании [6]. То же актуально и для смены стратегии организации -- в ней может большее внимание уделяться информационной безопасности. Кроме того, необходимость проведения аудита может чувствоваться также в случае внесения значительных изменений в информационную инфраструктуру или в перечень бизнес-процессов компании.

Другой основой для заинтересованности организации в проведении аудита может послужить возникновение сомнений в эффективности режима информационной безопасности предприятия, с утратой доверия к установленному в информационной инфраструктуре оборудованию и программному обеспечению. Это может произойти вследствие крупной утечки информации или финансовых ресурсов (в случае, если был нарушен режим защиты финансово-кредитной организации), произошедшей по вине требующей аудита организации, либо даже при отсутствии крупных утечек, но при резком повышении количества инцидентов информационной безопасности (появлений нежелательных или неожиданных событий информационной безопасности, которые порождают значительную вероятность компрометации бизнес-операций [7]), которые могли к таким утечкам привести.

Во-вторых, проведение аудита может быть продиктовано нормативными актами различных уровней. В этом случае проверки могут носить плановый характер и проводиться с установленной периодичностью (обычно для случаев, когда инициатива проведения проверок принадлежит самой проверяемой организации, ее внутренним документам и нормативным актам), либо иметь несистемный или даже однократный характер (в случаях, когда в качестве главного приоритета выбирается соответствие каким-либо стандартам, например, ради благополучного прохождения сертификации).

В-третьих, причиной проведения аудита может быть поддержание устойчивого взаимодействия с компаниями, являющимися партнерами проверяемой организации, либо с заказчиками (потребителями) ее товаров и услуг, так как аудит позволяет соответствовать высоким требованиям к защищенности объекта информатизации и в случае отсутствия серьезных нарушений обеспечивает положительную репутацию проверяемому предприятию.

Наконец, аудит может проводиться в целях определения возможностей по корректировке и улучшению собственной информационной инфраструктуры проверяемой организации, в частности, для проверки эффективности выбранных программно-технических средств обеспечения конфиденциальности, целостности и доступности информации и подготовке вывода о необходимости поддержания деловых контактов с их поставщиками, либо о смене поставщиков. То же верно и для управленческих решений руководства организации и отдела, занимающегося поддержанием безопасности информации, а также для организационной структуры предприятия -- на основе результатов аудита можно будет сделать вывод о возможности сохранения или необходимости внесения изменений в них [8].

В общем случае в проведении аудита информационной безопасности выделяют четыре этапа: подготовка к проведению аудита, непосредственно проведение аудита, анализ полученных данных и формирование предложений по улучшению режима защищенности на объекте информатизации. Иногда также выделяют предварительный этап «организация проведения аудита». Каких-либо специальных мероприятий, связанных с информационной безопасностью, этот этап не включает, однако сам по себе он имеет ключевое значения для качества проводимой проверки, ведь именно на нем происходит выбор перечня специалистов, входящих в аудиторскую группу, а также формирование набора их полномочий, постановка их целей и задач.

Рассмотрим причины объективной необходимости проведения аудита информационной безопасности.

Во-первых, очевидно, что на основе предполагаемых целей и задач проведения аудита будет зависеть и конечный вывод по итогам работы. Неправильно выбранный курс неизбежно приведет к бесполезным результатам.

Во-вторых, компетентность выбранных специалистов, участвующих в проведении аудита, напрямую будет сказываться на качестве получаемых результатов. Особенно актуально это замечание при выборе сторонней организации для проведения аудита. В таком случае проверяемая компания должна руководствоваться наличием опыта и положительной репутации у участвующих специалистов. Это требование объясняется несколькими аспектами аудиторской деятельности. Во-первых, процесс проведения полного аудита является довольно сложным, и правильно провести его могут только компетентные специализированные организации. Во-вторых, во многих сферах деятельности, в том числе и в финансово¬кредитной, за соблюдением регламента верного проведения процедуры аудита ведется надзор со стороны как государственных организаций, так и компаний-партнеров. Нарушения регламента могут послужить основанием к приостановлению действия лицензии или деловых отношений между организациями. В-третьих, данные, получаемые сторонней организацией при проведении аудита, уже сами по себе составляют конфиденциальную информацию. Даже если аудитор не получает доступ к хранимым организацией в базах данных сведениям, он все же узнает о состоянии защищенности компании, ее уязвимостях. В некоторых случаях он может даже повлиять неблагоприятным образом на это состояние, оставив в информационной инфраструктуре дополнительные способы получить доступ к данным извне. По последней причине может иметь смысл не просто обращать внимание на опыт и репутацию специалистов и компаний-аудиторов, но нанимать одних и тех же проверенных поставщиков аудиторских услуг [9].

В завершение предварительного этапа аудиторской группе предстоит сделать вывод о возможности проведения аудита при поставленных сроках, обозначенных полномочиях, выдвинутых целях и задачах, а также наборе предполагаемых мероприятий. При этом группа специалистов может самостоятельно выдвигать предложения по корректировке в случае, если будет сделан предварительный вывод о невозможности проведения мероприятия. Теперь перейдем к рассмотрению основных этапов проведения аудита.

Этап подготовки к проведению аудита включает в себя в первую очередь анализ документов проверяемой организации. При этом группа аудиторов, в роли которой обычно выступает команда специалистов в области менеджмента или безопасности корпоративных систем [10], знакомится с политикой безопасности компании, со схемами передачи информации во внутренней среде организации, с аналитическими отчетами и результатами прошедших аудитов информационной безопасности, если таковые проводились, с сертификатами и технической документацией программно-аппаратной составляющей информационной инфраструктуры организации и со многими другими документами, имеющими отношение к хранению, обработке и передаче защищаемой информации. При этом, изучая указанные электронные файлы и бумаги, аудиторы должны сделать вывод не только о соответствии их содержимого основам нормального функционирования предприятия, но также проверить полноту приведенных в них сведений, а на последующих этапах -- еще и определить степень соответствия содержимого большинства документов действительности.

Другой составляющей подготовительного этапа является подготовка к проведению аудита информационной безопасности в пределах самой проверяемой организации. В качестве самой важной составной части здесь можно упомянуть разработку плана проведения аудиторских мероприятий, утверждаемого высшим руководством компании [10]. Заблаговременное планирование мероприятий в большинстве случаев делает выполнение будущих обязанностей гораздо более удобным и решает сразу несколько важнейших задач контроля деятельности. Руководство проверяемой компании, равно как и начальство аудитора в случае выбора для данного мероприятия сторонней организации, может понять, насколько качественно будет проводиться аудиторская деятельность, какие системы будут затронуты, какие дополнительные сведения и отчеты о программной и аппаратной составляющих организации может понадобиться подготовить, насколько проводимые с ними действия будут соответствовать существующей регламентирующей документации, какие границы доступа к информации необходимо установить для самих сотрудников, проводящих аудиторскую деятельность. Помимо составления плана на данном этапе происходит распределение обязанностей и ответственности входящих в аудиторскую группу сотрудников. Это позволяет мотивировать участников аудиторской деятельности корректно и эффективно исполнять свои обязанности, а также вовремя определять возможные пробелы в компетенции сотрудников. На этом же этапе происходит подготовка к заполнению и различных вспомогательных документов, а также форм для отчета по результатам как всего аудита в целом, так и его контрольных участков. Именно эти данные с большой вероятностью будут представлены в будущем следующим специалистам, которые будут проводить в организации аудит информационной безопасности.

Второй этап является основным и самым протяженным по времени. Он включает весь основной комплекс практических мер по проведению аудита информационной безопасности, таких как изучение документации установленных в организации информационных систем; проверка наличия необходимых и отсутствия недопустимых элементов оборудования и программного обеспечения, к примеру посредством выявления приборов слежения, не принадлежащих организации, по электромагнитному излучению [11]; проверка возможности установки и эффективности работы потенциально опасных аппаратных средств, а также возможностей по решению задач обеспечения конфиденциальности, целостности и доступности хранимых данных (то есть проверка наличия проблемы обеспечения безопасности автоматизированных информационных систем предприятия) [11]; беседа с сотрудниками самых различных должностей с целью выявления эффективности проводимых в компании организационных мер контроля за соблюдением режима информационной безопасности и противодействия инсайдерам, как злонамеренным, так и тем, кто может нарушить режим из-за собственной ошибки [11]; а также ряд других мероприятий.

На третьем этапе наиболее активно проводится теоретическая обработка полученных в результате проведения аудита сведений -- анализируется эффективность применяемых на предприятии мер по противодействию утечкам и повреждению информации, выявляются слабые места информационной инфраструктуры, моделируется воздействие потенциального нарушителя на информационную систему компании.

Действия, проводимые на третьем этапе работы, служат основой для заключительной и главной части деятельности аудитора -- разработки рекомендаций по совершенствованию режима информационной безопасности компании. Обычно перечень рекомендаций принимает форму отчета о проделанной работе, в которой раскрываются выводы аудитора и причины принятых им решений.

Кроме рассмотренных этапов отметим еще одну связанную с аудитом информационной безопасности деятельностью, которую часто рассматривается как самостоятельный набор мероприятий, но иногда считают и начальной составной частью проведения аудита. Речь идет о так называемом предварительном аудите («предаудите») информационной безопасности.

Предварительный аудит отличается от аудита в первую очередь целью проведения. Обе названные формы совершенствования защищенности информационной инфраструктуры организации предполагают анализ текущего состояния информационной среды, потоков данных, форм их хранения и обработки с последующим выделением слабых мест и составлением рекомендаций по закрытию найденных уязвимостей. Однако по итогам аудита предприятие может получить или временно утратить возможность получения сертификата соответствия стандарту, по которому проводился аудит информационной безопасности. Предварительный аудит же не требует строгости оценивания информационных систем и этапа сбора свидетельств аудита (так называемых «артефактов»), доказывающих факт проведения аудита информационной безопасности и подтверждающих правильность его проведения. По итогам предварительного аудита будут составлены рекомендации по исправлению несоответствий стандартам информационной безопасности с целью создания временного интервала, в который компания успеет закрыть большую часть обнаруженных уязвимостей, резко повысив шансы на успешное прохождение сертификации в ближайшем будущем.

Выводы

Российским организациям кредитно-финансовой сферы необходимо периодическое проведение аудита на фоне регулярно появляющихся новых или модифицированных версий известных угроз. Компании, проводящие его, на российском рынке аудиторских услуг также присутствуют, однако имеют ряд особенностей, из-за которых считать однозначно доверенными можно лишь самых крупных и опытных игроков отрасли.

С одной стороны, сам по себе аудит в России проводится в различных организациях и существует целый ряд компаний, принимающих заказы на проведение аудита информационной безопасности. В настоящее время можно уверенно утверждать, что представление о том, что такое аудит, чем нужно руководствоваться при его проведении, как должны выглядеть и что обязаны содержать предварительные и итоговые документы, у сотрудников из сферы информационной безопасности присутствует.

С другой стороны, фактически каждая организация самостоятельно при проведении внутреннего аудита или при консультациях с аудиторской группой в случае выбора в пользу внешней формы его проведения заново вырабатывает собственные методики. В кредитно¬финансовой сфере особенно чувствуется необходимость введения некого предварительного алгоритма, упрощающего подбор и форму необходимых аудиторских мероприятий. Далее смоделируем финансовую организацию и опробуем на ней некоторые из изученных этапов аудита.

ЛИТЕРАТУРА

1. Николаева, М.О. Информационная безопасность: современная картина проблемы информационной безопасности и защиты информации / М.О. Николаева // Мониторинг. Образование. Безопасность. -- 2023. -- Т. 1, № 1. -- С. 51-57. -- EDNIOIQDI.

2. Дубень, А.К. Информационная безопасность в системе национальной безопасности: актуальные проблемы информационного права / А.К. Дубень // Вопросы безопасности. -- 2023. -- № 1. -- С. 51-57. -- DOI 10.25136/2409¬7543.2023.1.40078. -- EDN AOZZYF.

3. Наскидашвили, К.А. Информационная безопасность. Виды угроз информационной безопасности / К.А. Наскидашвили // Вестник студенческого научного общества ГОУ ВПО "Донецкий национальный университет". -- 2020. -- Т. 1, № 12. -- С. 187-189. -- EDN FYHGXP.

4. Сизоненко, А.Б. Параметрическая модель процесса расследования инцидентов информационной безопасности в системах управления инцидентами информационной безопасности / А.Б. Сизоненко, В.И. Карамышев // Охрана, безопасность, связь. -- 2023. -- № 8-2. -- С. 144-150. -- EDN HGTCJH.

5. Ходжамаммедова, О. Информационная безопасность цифровой системы и пути обеспечения информационной безопасности в цифровой экономике /

О. Ходжамаммедова, М. Оразгулыев, Я. Йелтеров // Интернаука. -- 2023. -- № 45-1(315). -- С. 39-40. -- EDN NHSTHT.

6. Левшин, М.А. Информационные технологии в российских банках и безопасность данных / М.А. Левшин // Вектор экономики. -- 2020. -- № 12(54). -- С. 65. -- EDN GXMAYA.

7. Куркин, А.В. Оценка рисков информационной безопасности с применением нечеткого моделирования / А.В. Куркин, Я.С. Шевченко // Неделя науки Санкт- Петербургского государственного морского технического университета. -- 2020. -- Т. 2, № 4. -- С. 45. -- DOI 10.52899/9785883036063_613. -- EDN FDOXHJ.

8. Добродеев, А.Ю. Показатели информационной безопасности как характеристика (мера) соответствия сетей и организаций связи требованиям информационной безопасности / А.Ю. Добродеев // Труды ЦНИИС. Санкт-Петербургский филиал. -- 2020. -- Т. 2, № 10. -- С. 50-78. -- EDN NRYSZL.

9. Альтовский, Е.В. Информационная безопасность сайтов российских госорганов, или Культура отмены информационной безопасности / Е.В. Альтовский // Защита информации. Инсайд. -- 2023. -- № 5(113). -- С. 36-44. -- EDN IKGFNO.

10. Кабаков, В.В. Обеспечение информационной безопасности предприятия на основе риск-ориентированного подхода к проведению аудита информационной безопасности / В.В. Кабаков // Вопросы защиты информации. -- 2023. -- № 3(142). -- С. 46-50. -- DOI 10.52190/2073-2600_2023_3_46. -- EDN SLQJDO.

11. Гильманова, Э.А. Роль аудита информационной безопасности в жизненном цикле системы обеспечения информационной безопасности объектов критической информационной инфраструктуры / Э.А. Гильманова, Р.И. Ахметшина // Форум молодых ученых. -- 2022. -- № 2(66). -- С. 34-37. -- DOI 10.46566/2500¬4050 2022 66 34. -- EDN LACJED.

Размещено на Allbest.ru