Курсовая работа по аудиту информационной безопасности

На первом этапе аудитором совместно с заказчиком разрабатывается документ, регламентирующий процедуру аудита. Это помогает избежать взаимных претензий на следующих этапах проведения аудита. На втором, наиболее сложном и длительном этапе, происходит сбор необходимой информации согласно плану проведения аудита. Третий этап предполагает процесс анализа полученных данных в соответствии с определенным подходом (способом) получения оценки. В зависимости от целей проведения аудита безопасности ИС можно выделить следующие способы получения оценки текущего состояния подсистемы защиты информации: оценка по эталону, риск-ориентированная оценка и оценка по экономическим показателям. По результатам анализа данных формируется отчет (четвертый этап), в котором дается оценка уровня защищенности ИС, возможности противодействия атакам. В отчете также могут быть сформулированы рекомендации по повышению уровня защищенности ИС, эффективности работы ИС в целом.
Особое значение при проведении аудита придается тестированию на проникновение (penetration test), так как его целью является оценка уровня сопротивления организации атаке и выявление любых недостатков в ее среде. Несмотря на пользу данного метода тестирования, перед его проведением необходимо получить официальное разрешение от руководства компании, в котором будут указаны границы обследования. Данный документ поможет в дальнейшем избежать разногласий, а также административной и уголовной ответственности.
Существует несколько официально разрешенных видов тестирования на проникновение [4]:
1.Тестирование слепым методом.
2.Тестирование двойным слепым методом.
3.Тестирование методом серого ящика.
4.Тестирование методом двойного серого ящика.
5.Тестирование тандемным методом.
6.Инверсионный метод.
Все они различаются между собой по объему данных, предоставленных аудитору, а также наличием (отсутствием) возможности у организации подготовиться к предстоящей проверке. Следует отметить особенности проведения аудита в государственных органах исполнительной власти и в частных организациях среднего и крупного бизнеса.
Все виды деятельности, связанные с защищаемой информацией в государственном органе, осуществляются на основании закона или иного нормативно-правового документа, поэтому все процессы, касающиеся обеспечения ИБ, также строго регламентированы и обязательны для выполнения. В связи с этим первой особенностью проведения аудита безопасности в государственных информационных системах является строгое следование нормативным документам ФСТЭК России в области безопасности [5], [6]. В [5] устанавливаются мероприятия по аттестации как главный способ проведения внешнего аудита. При этом основной способ оценки – это оценка по эталону, каковым является приложение к [7]. По результатам проверки выдается аттестат соответствия. Помимо этого, [5] обязывает производить внутренний контроль за соблюдением уровня защищенности информации, установленного в аттестате соответствия. Более детально требования к проведению внутреннего контроля описаны в [6]. Однако, в отличие от аттестации, сроки проведения которой указаны явно (не менее 1 раза в 5 лет), сроки проведения внутреннего контроля не определены и должны быть регламентированы в организационно распорядительных документах на государственную информационную систему.
Обеспечение защиты информации также остро стоит и перед организациями среднего и крупного бизнеса. При построении, модификации или отказе от подсистемы защиты организации частного бизнеса опираются больше на риск-ориентированный способ оценки текущего состояния. Это дает возможность оценить стоимость своих информационных активов и понять, насколько рентабельна система защиты. Как правило, для построения и оценки информационной безопасности организации применяются российские и международные стандарты по защите информации [7].
Несмотря на то, что цели и методы проведения аудита безопасности ИС в государственных органах и на предприятиях среднего и крупного бизнеса могут различаться, существует ряд общих для них проблем:
1)отсутствие понимания важности проведения контроля и аудита подсистемы защиты;
2)нехватка квалицированных кадров в области защиты информации;
3)недостатки кадровой политики внутри организаций с точки зрения информационной безопасности.
2. МЕТОДЫ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Сегодня все большее число медицинских организаций переходят на электронный документооборот, внедряют медицинские информационные системы (далее — МИС), используя централизованное или распределенное хранение персональных данных и медицинских сведений пациентов.
Создаются МИС на основе «облачных технологий», тем самым возрастает количество участников электронного документооборота и, следовательно, потенциальных угроз только увеличивается. Разглашение сведений о состоянии здоровья пациента может привести к серьезным последствиям, как для пациента, так и для медицинской организации.
Аудит информационной безопасности необходим для выявления уязвимостей систем защиты информации и на основании полученных результатов – улучшения их защитных функций.
Существуют три основных метода аудита информационной безопасности информационных систем:
•активный аудит;
•аудит на соответствие стандартам;
•экспертный аудит.
Для проведения анализа методов аудита информационной безопасности МИС воспользуемся механизмом SWOT-анализа.
Используя результаты SWOT-анализа, можно сделать вывод о том, какой из методов аудита является наиболее перспективным на сегодняшний день при проведении аудита информационной безопасности МИС.
Составим SWOT-матрицы для трех видов аудита информационной безопасности и представим их в виде таблиц.