Центр по проведению судебных экспертиз и исследований
автономная некоммерческая организация
«Судебный Эксперт»
Автономная некоммерческая организация
«Судебный Эксперт»
Ваш регион: Россия
8 (800) 333-24-09

Экспертиза и аудит информационной безопасности

Экспертиза и аудит информационной безопасности осуществляется с целью выявления недостатков и уязвимых мест в системе компьютерной безопасности организации, а также для оценки эффективности ее работы. Понятие аудита по отношению к системам информационной защиты трактуется несколько иначе, нежели классический смысл, вкладываемый в этот термин. Подобная проверка по-другому может именоваться как оценка соответствия, аттестация или сертификация. В любом случае, аудит информационной безопасности представляет собой анализ информационной защиты компании, которая проводится с одной из следующих целей:

  • Оценка соответствия системы существующим нормативным требованиям.
  • Определение уровня обоснованности и правомерности всех принимаемых решений в области безопасности.

Оценка эффективности и правильности работы системы может осуществляться по инициативе организации с целью повышения уровня ее информационной защищенности. В том случае, если компании необходимо установить соответствие систем безопасности нормативным предписаниям, фирма не может отказаться от проведения аудита, он осуществляется в обязательном порядке. Причем, если будут выявлены какие-либо отклонения от предписанных норм, организации грозит приостановление деятельности, штраф или иные санкции, предусмотренные законодательством.

Особенно важным проведение экспертиза и аудита информационной безопасности становится в ситуации, когда компания по роду своей деятельности работает с конфиденциальными данными ее пользователей или клиентов. Защита подобной информации от доступа мошенников и прочих злоумышленников является не просто предосторожностью, по первейшей обязанностью организации.

Основные направления осуществления экспертизы и аудита информационной безопасности

Экспертиза и аудит информационной безопасности представляют собой комплексное, всестороннее исследование всех информационных систем заказчика, включая средства обмена информацией с его контрагентами. Совокупность информационных ресурсов при проведении анализа подразделяется на следующие компоненты:

  • Организация специальных мероприятий по защите информационных ресурсов.
  • Программно-аппаратные средства защиты информационных систем.
  • Физическая безопасность информационной инфраструктуры.

При анализе организации защиты информации эксперт исследует следующие ее аспекты:

  • Алгоритм осуществления бизнес-процессов, а именно методы обработки защищенных данных, механизмы обмена данными между структурными подразделениями организации, способы трансляции данных контрагентам и так далее.
  • Пакет распорядительных документов, регулирующих данную сферу – должностные инструкции, положения, приказы и др.

При экспертизе программно-аппаратных средств защиты информационных систем особое внимание уделяется следующим моментам:

  • Особенности конфигурационной настройки систем информационной защиты.
  • Техническая документация, сопровождающая системы и средства информационной защиты.
  • Обнаружение возможных уязвимых мест системы (производится с использованием специальных технических средств).

Под физической безопасностью информационной инфраструктуры понимают ограничение доступа для посторонних лиц в помещения, в которых находится специальное оборудование, а также в помещения, где обрабатываются конфиденциальные сведения.

Задачи, решаемые специалистами в области экспертизы и аудита информационной безопасности

В ходе проведения экспертных мероприятий специалисты в области экспертизы и аудита информационной безопасности решают множество задач, связанных с компьютерными системами, обеспечивающими защиту предприятия от противоправных действий преступников и конкурентов. Круг проблем, рассматриваемых специалистами, определяется существующими недостатками системы, предполагаемыми пробелами в защите и целями организации, являющейся инициатором исследования. Наиболее часто в ходе осуществления экспертизы решаются следующие задачи:

  • Анализ событий, фактов и обстоятельств, представляющих угрозу информационной безопасности предприятия. Иное название данного комплекса экспертных действий – аудит сферы внешних информационных угроз.
  • Экспертиза действующих на момент проведения исследования нормативных актов с целью оценки соответствия рабочей система данным документам.
  • Поиск потенциально опасных узлов и подсистем действующей системы информационной безопасности.
  • Оценка совокупности прав доступа членов организации и прогноз сохранения целостности информационной защиты предприятия.

Порядок проведения экспертизы и аудита информационной безопасности

Существуют определенные правила относительно последовательности мероприятий, производимых в ходе экспертизы и аудита информационной безопасности. На первом этапе, который называется инициирование процесса аудита, происходит назначение данной проверки – принудительно или по желанию организации. Заключается договор на проведение данных мероприятий. На втором этапе происходит сбор информации. Для этого компания предоставляет все необходимые документы и сведения – по запросу специалиста. Кроме того, эксперт получает доступ к информационным системам организации и исследует их с помощью специальных средств. Следующим шагом является доскональный анализ всех полученных на предыдущем этапе данных. Эксперт исследует полученные данные и формулирует профессиональные выводы о состоянии систем информационной безопасности организации. На четвертом этапе, полагаясь на результаты проведенного анализа, эксперт приступает к формированию рекомендаций по устранению недостатков системы, исправлению уязвимых и слабых мест, подготовке специальных документов и мероприятий и так далее. На пятом, заключительном, этапе специалист, производивший исследование, приступает к составлению экспертного заключения или аудиторского отчета. Данный документ представляет собой основной смысл и результат проведения экспертизы или аудита информационной безопасности. Он содержит описание всех произведенных работ, выводы и рекомендации специалиста, а также ответы на поставленные перед ним вопросы.

Правовые основы проведения экспертизы и аудита информационной безопасности

Требования к организации систем информационной безопасности, а также к проведению мероприятий по информационной защите зафиксированы в государственном стандарте ГОСТ Р ИСО/МЭК 27001-2006. Данный стандарт представляет собой пакет наилучших технологий управления информационной защитой и информационной безопасностью на крупных предприятиях. Российский стандарт является аналогом международного стандарта в данной области – ISO/IEC 27001:2005. Следует отметить, что небольшие фирмы, включая банки и прочие финансовые организации, не имеют возможности полностью выполнить прописанные в стандарте требования.

Вопросы, которые ставятся перед специалистом по проведению экспертизы и аудита информационной безопасности

  • Какова общая политика организации в области информационной безопасности?
  • Обнаружены ли в ходе проведения экспертизы (аудита) слабые места систем информационной защиты?
  • Каковы слабые места системы? Каким образом они могут быть исправлены?
  • Каким образом организован доступ в помещения, в которых находится специальное оборудование?
  • Каким образом устроена физическая безопасность помещений, в которых происходит обработка конфиденциальных данных?
  • Соответствует ли организация информационной безопасности на предприятии требованиям стандарта?
  • Каковы конфигурационные особенности системы защиты безопасности? Заключаются ли в ней какие-либо ошибки или уязвимые места?
  • Какие недостатки или недочеты содержит пакет распорядительных документов?
  • Каким образом налажены бизнес-процессы компании? Являются ли технологии их проведения оптимальными с точки зрения информационной безопасности?
  • Есть ли недостатки в технической документации систем и средств информационной защиты?
  • Безопасна ли передача данных контрагентам организации?
  • Возможно ли нарушение конфиденциальности данных при переправке их между структурными подразделениями организации?
  • Соответствуют ли требованиям стандарта методы обработки защищенных и конфиденциальных данных?

Стоимость и сроки

Чаcтые вопросы

У вас остались вопросы?
Свяжитесь с нами, и мы вам поможем!