Экспертиза и аудит информационной безопасности

Что исследует эксперт в области экспертизы и аудита информационной безопасности

Основным объектом исследования и аудита являются электронно-вычислительные машины различного вида, а также информационные сети, в которые объединены они. В упрощенном варианте – это стационарные компьютеры, ноутбуки, серверы, периферийные устройства, а также сети, в которые они объединены. В ходе экспертизы и аудита информационной безопасности исследованию подвергаются три составляющие:

• состояние безопасности физической информационной инфраструктуры. Сюда относятся: процедура выполнения бизнес процессов, способы обработки конфиденциальной информации, передача ее как внутри сети, так и внешним устройствам, документация, регулирующая порядок пользования информационными системами;
• программно-аппаратная составляющая систем безопасности. Включает в себя программное обеспечение, его настройки, а также аппаратную часть компьютеров и сетей.
• порядок проводимых мероприятий по обеспечению физической безопасности. Речь идет о контроле доступа в помещения, с расположенными рабочими местами, на которых происходит обработка информации ограниченного доступа.

Таким образом, изучению эксперта подвергаются не только сами устройства и сети между ними, но и порядок их использования, проводимые мероприятия по обеспечению их безопасности.

В каких ситуациях необходимо проведение экспертизы и аудита информационной безопасности

Проведение экспертизы и аудита информационной безопасности необходимо проводить во всех случаях, если организацией осуществляется обработка информации конфиденциального характера, имеющий ограниченный доступ. В некоторых случаях необходимость проведения исследований подобного рода закреплено на законодательном уровне и получило нормативно-правовое регулирование. Исследование и аудит проводят при пуске в эксплуатацию новых систем, в случаях «утечки информации», а также при периодических проверках.

Какие вопросы ставятся перед экспертом

Основное требование к вопросам – это их правильность, корректность, соответствие конкретным целям. В связи со специфичностью проводимого исследования перед постановкой вопросов необходимо получить соответствующие консультации у специалиста. Для примера можно привести следующий перечень вопросов.

1. Каков порядок использования, обработки информации, носящий ограниченный доступ на предприятии? Обеспечивает ли он необходимый уровень безопасности?
2. Имеются ли пробелы, «слабые места» в системах информационной защиты?
3. Каков способ исправления недостатков?
4. Какое программное обеспечение используется в системе? Обеспечивает ли оно требуемый уровень безопасности? Требуется ли его модернизация, либо замена?
5. Обеспечивает ли распорядительная документация, регламентирующая порядок обработки информации, необходимый уровень безопасности?
6. Соответствуют ли нормативным требованиям и стандартам методы обработки информации ограниченного доступа?
7. Правильные ли настройки и конфигурация используется в системах обработки?
8. Какие нарушения привели к «утечке» данных?
9. Возможно ли было избежать «утечки» данных при имеющихся правилах обработки данных?

Важно

Это не исчерпывающий перечень вопросов, он может быть изменен, но главное, чтобы экспертиза и аудит информационной безопасности помогли повысить уровень защищенности.

Процедура проведения экспертизы и аудита информационной безопасности

Процедура проведения стандартна и состоит из 3-х этапов.

Подготовительный этап
На первоначальном этапе эксперт после получения задания на проведение знакомится с поставленными вопросами, предоставленной документацией, проводит первоначальный осмотр систем обработки информации, определяет сроки и порядок проведения.

Исследовательский этап
Это основной этап, на котором проводится исследовательская работа, проверочные мероприятия, анализ документации. В ходе исследования применяются специальные методы и методики, используется специальное программное обеспечение. Все полученные данные анализируются, после чего специалист формирует свои выводы о состоянии безопасности.

Заключительный этап
Происходит формирование заключения либо аудиторского отчета. Данные документы содержат в себе исчерпывающую информацию о проведенной работе. Это объемный документ, в конце которого указаны выводы специалиста, а именно ответы на поставленные вопросы.

Правовая база

1. Гражданский кодекс РФ.
2. Уголовный кодекс РФ.
3. Административный кодекс РФ
4. ФЗ от 31.05.2001 г. N73 ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации».
5. ФЗ от 04.05.2011 N99 ФЗ «О лицензировании отдельных видов деятельности».
6. ФЗ от 27.07.2006 г. No149 ФЗ «Об информации, информационных технологиях и о защите информации».
7. Закон РФ от 21.07.1993 N 5485-1 «О государственной тайне».
8. Различные методики и рекомендации, не являющиеся нормативно-правовыми актами.