Вторник, 06.12.2016, 05:53
Высшее образование
Приветствую Вас Гость | RSS
Поиск по сайту


Главная » Статьи » Финансы и налоги. Бухгалтерия

Особенности аудита информационной безопасности бизнес-систем

Особенности аудита информационной безопасности бизнес-систем

В предлагаемой статье, по существу, обобщены и систематизированы взгляды на аудит информационной безопасности бизнес-систем, который в современных условиях становится практически незаменимым инструментарием разностороннего исследования и оценки информации, принятия управленческих решений, прогнозирования развития бизнес-систем.

 

Глобальные изменения структуры мировой рыночной системы в XXI в. обусловлены изменением роли высокотехнологического сектора экономики и переходом ее к информационному обществу. Экономические субъекты в этих условиях становятся все более сложными и динамичными бизнес-системами. При этом усложняется как сама структура управления ими, так и обработка и передача надлежащей информации, которая становится существенной частью их бизнес-процессов. Особую роль в этом играют современные информационные технологии.

В настоящее время информационные технологии становятся одним из основных инструментов обеспечения адаптивности и конкурентоспособности бизнес-систем. По мере изменения требований бизнес-среды меняются требования, предъявляемые к программным продуктам и ИТ-сервисам (ИТ-услугам), что приводит к добавлению в их поддерживающую информационную инфраструктуру все новых и новых программно-аппаратных платформ. При этом все возрастающая их сложность и разнородность оказывают влияние на управляемость всей информационной системой (ИС) субъектов, стабильность и эффективность ее работы, а также ее защищенность от перманентных внутренних и в особенности внешних угроз.

В то же время потребность в уверенности относительно полезности, которую дают информационные системы, управление связанными с ними рисками и растущие требования к контролю над информацией и ее безопасностью в настоящее время считаются ключевыми элементами корпоративного управления. Ценность, риск и контроль определяют суть корпоративного управления информационной системой не только в текущем времени, но и долгосрочной перспективе.

В свою очередь, исследования показывают, что наиболее совершенным и многофункциональным инструментарием исследования существующих и вероятных рисков, а также разносторонних проблемных ситуаций является аудит. Аудит в современных условиях становится практически незаменимым инструментарием осуществления разностороннего исследования и оценки информации, принятия управленческих решений, прогнозирования развития всей бизнес-системы и ее информационной системы в частности, а также инструментом поддержки управления этими системами. При этом следует учитывать, что информационная система, являясь по своей сути моделью бизнес-системы, в которой она функционирует, весьма сложное и многофункциональное образование, требующее особого, кропотливого и комплексного подхода к ее исследованию. Поэтому аудит в этих условиях должен быть не аудитом в традиционном смысле (аудитом бухгалтерской (финансовой) отчетности), а аудитом бизнеса и, в частности, его информационной системы [1, 5]. Аудиту должны подвергаться не только вся совокупность бизнес-процессов экономического субъекта, но и ИТ-процессов, а также та информация, которая подготовлена с помощью современных информационных технологий [6].

Расширение использования информационных технологий, объединяемых в единую информационную систему для получения, обработки, хранения и передачи информации всем заинтересованным в ней пользователям, во главу угла ставит проблемы ее защиты, особенно в условиях глобального роста числа информационных угроз, приводящих в случае их реализации к значительным материальным и финансовым потерям. Поэтому для эффективной защиты от указанных как потенциальных, так и существующих угроз бизнес-системам необходима объективная оценка уровня безопасности их информационных систем, которую может предоставить современный аудит, реализуемый как отдельное направление аудита бизнеса, т.е. непосредственно аудит информационной безопасности.

Под информационной безопасностью обычно понимается защищенность информации и поддерживающей ее информационной системы от случайных и преднамеренных воздействий естественного или искусственного характера, наносящих ущерб владельцам или пользователям этой информации и самой поддерживающей ее информационной системе [6].

В свою очередь, под аудитом информационной безопасности в данном контексте следует понимать исследование информации об информационной системе экономического субъекта с целью оценки уровня ее защищенности от перманентных внутренних и внешних угроз и разработки управленческих рекомендаций по их минимизации.

Независимо от размера экономического субъекта и специфики его информационной инфраструктуры, работы по обеспечению информационной безопасности обычно включают следующие этапы:

- формирование политики информационной безопасности;

- определение границ (масштаба) системы управления информационной безопасностью и постановка конкретных целевых установок ее создания;

- оценка и управление рисками;

- выбор контрмер, обеспечивающих надлежащий режим информационной безопасности;

- аудит системы управления информационной безопасностью.

В свою очередь, каждый из перечисленных этапов имеет свой алгоритм реализации. Так, например, при формировании политики информационной безопасности необходимо:

- определить используемые нормативно-правовые документы, руководства и стандарты в области информационной безопасности, а также основные положения политики;

- определить подходы к управлению рисками;

- структурировать контрмеры по уровням и др.

При определении границ (масштаба) системы управления информационной безопасностью и постановке целевых установок ее создания руководящее звено системы управления экономическим субъектом должно сформировать документ, отражающий границы системы информационной безопасности, ресурсы, подлежащие защите, и систему критериев оценки их ценности.

На этапе оценки и управления рисками необходимо прежде всего поставить конкретные задачи их оценки и обосновать требования к самой методике этой оценки. При этом выбор той или иной методики зависит от уровня требований, предъявляемых в бизнес-системе к режиму информационной безопасности, характера принимаемых во внимание угроз и эффективности контрмер. Кроме того, необходимо разработать основополагающую стратегию управления рисками различных классов. При этом обычно используют несколько подходов:

- уменьшение риска посредством простейших контрмер (смены паролей, снижающей несанкционированный доступ к информации);

- уклонение от риска, например, посредством вынесения Web-сервера экономического субъекта за пределы локальной сети;

- изменение характера риска, например, путем страхования оборудования от стихийных бедствий и др.;

- принятие риска, который остается после принятия контрмер.

В соответствии с выбранной стратегией управления рисками необходимо определить комплекс контрмер, структурированных по уровням (организационному, аппаратно-программному и др.), а также отдельным аспектам информационной безопасности.

И наконец, аудит системы управления информационной безопасностью осуществляется с целью проверки соответствия выбранных контрмер декларированным в политике безопасности целям.

Однако применение аудита только при исследовании контрмер сужает его возможности. Следует отметить, что надлежащий эффект может дать только комплексный и системный подход к аудиту информационной системы. При этом аудит информационной безопасности может являться лишь элементом системы аудита любой бизнес-системы. Основными целевыми установками указанного направления аудита являются:

- исследование и анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов информационных технологий;

- оценка текущего уровня защищенности информационной инфраструктуры экономического субъекта;

- локализация "узких мест" в системе защиты;

- оценка соответствия информационной инфраструктуры существующим требованиям стандартов в области информационной безопасности;

- выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов информационной безопасности.

Как и при аудите состояния информационных систем, аудиторский цикл исследования информационной безопасности предполагает прохождение пяти основополагающих этапов (рис. 1).

 

Цикл аудита информационной безопасности (ИБ)

Цикл аудита информационной безопасности (ИБ)

 

Рис. 1

 

Отличительной особенностью выполнения аудита информационной безопасности является несколько иная точка зрения на сбор и обработку сведений об информационной инфраструктуре экономического субъекта, чем при аудите состояния информационных систем. Так, например, при определении границ (масштаба) предстоящего аудита аудитору необходимо учесть:

- перечень обследуемых физических, программных и информационных ресурсов;

- помещения, попадающие в границы обследования;

- организационные (нормативно-правовые, административные и процедурные), физические, аппаратно-программные и прочие аспекты обеспечения информационной безопасности и их приоритеты.

Принимая задание на проведение аудита информационной безопасности, аудитор должен обозначить именно те проблемы, которые имеют наибольшее значение для данного конкретного экономического субъекта (его потенциального клиента). С этой целью важно осуществить подготовительный этап, то есть определить и согласовать с руководством этого субъекта конкретные цели и направления предстоящего аудиторского процесса. При этом основная роль руководства экономического субъекта как заинтересованного в результатах аудита лица состоит в том, чтобы оказывать всестороннюю поддержку аудитору в уточнении формулировок наиболее значимых для него проблем, а также в подготовке достаточного и надлежащего информационного обеспечения для предстоящего детального аудиторского исследования.

Исходя из этого указанный этап должен завершиться наиболее точной формулировкой основных проблем, стоящих перед экономическим субъектом и требующих обязательного решения, а также заключением договора (контракта) на проведение аудита информационной безопасности согласно принимаемому аудитором заданию. Таким образом, цель этого этапа - обеспечение единства в понимании предстоящего процесса аудита как аудитором, так и клиентом (рис. 2).

 

Подготовительный этап аудита информационных технологий

Подготовительный этап аудита информационных технологий

 

Рис. 2

 

Осуществляя сбор сведений об информационной системе экономического субъекта, аудитору следует помнить, что компетентные выводы относительно положения дел в субъекте с информационной безопасностью, а тем более адекватные рекомендации по ее оптимизации могут быть осуществлены только при условии наличия всего массива надлежащих исходных данных для анализа (рис. 2).

Так как обеспечение информационной безопасности - это комплексный процесс, требующий четкой организации и дисциплины, он должен начинаться с определения ролей и распределения ответственности среди должностных лиц, занимающихся безопасностью. Поэтому аудитору прежде всего необходимо получить знания об организационных структурах пользователей информационных технологий и обслуживающих их подразделений.

Осуществляя в ходе сбора исходной информации интервьюирование ответственных и наделенных руководящими полномочиями лиц экономического субъекта, аудитор должен получить следующие сведения:

- о владельцах информации;

- о пользователях (потребителях) информации;

- о провайдерах услуг;

- о характере и путях предоставления услуг конечным потребителям;

- об основных видах функционирующих приложений;

- о количестве и видах пользователей, использующих те или иные приложения;

- о существующих компонентах (элементах) информационной инфраструктуры;

- о функциональности отдельных компонентов;

- о масштабе и границе информационной инфраструктуры;

- о входах в информационную систему (ИТ-процессов);

- о взаимодействии с другими системами (в частности, с системой внутреннего контроля);

- о каналах связи при взаимодействии с другими системами экономического субъекта;

- о каналах связи между компонентами информационной инфраструктуры;

- о протоколах взаимодействия;

- об аппаратно-программных платформах, используемых в информационной инфраструктуре.

Кроме перечисленных сведений аудитору необходимо получить от экономического субъекта:

- структурные и функциональные схемы;

- схемы информационных потоков;

- описание комплекса аппаратных средств информационной инфраструктуры;

- описание автоматизированных функций;

- описание основных технических решений;

- проектную и рабочую документацию на информационную инфраструктуру;

- описание структуры программного обеспечения.

Получение данных по указанным выше аспектам не должно заканчиваться и при проведении аудита по существу проблем информационной безопасности.

После подготовки информационной базы для исследования аудиторы переходят к анализу собранных сведений.

Подготовительный этап следует завершить письмом согласования задания, подробно раскрывающим все аспекты предстоящего аудита информационной безопасности. При этом следует учитывать, что если аудитор принимает задание от руководства экономического субъекта впервые, то указанное письмо должно быть особенно подробным. Если между субъектами уже существуют долгосрочные отношения по решению тех или иных проблем и реализации тех или иных заданий, то достаточно составить короткое письмо, охватывающее лишь только ключевые аспекты, которые будут решены в процессе предстоящего конкретного аудиторского исследования.

В общем виде письмо согласования задания может иметь произвольный характер. Однако в нем необходимо отразить:

- понимание аудитором проблем информационной безопасности экономического субъекта;

- цель и содержание аудита;

- предметные области и объекты предстоящего исследования;

- общие методические подходы к предстоящему аудиту;

- форму отчетных документов;

- ответственность сторон;

- требования свободного доступа к любой информации, необходимой для проведения аудита;

- требуемые ресурсы;

- краткое изложение ожидаемых результатов от выполнения задания.

Кроме того, в письмо согласования задания допустимо включать стратегические установки и проект общего плана предстоящего аудита информационной безопасности.

Так как указанное письмо является основой договора (контракта) между аудитором и экономическим субъектом, то, кроме указанных аспектов, в нем необходимо в краткой форме дополнительно раскрыть следующие не менее важные вопросы:

- ресурсы, которые обеспечивает экономический субъект (в том числе выделение специалистов по тем или иным предметным областям);

- приблизительный график выполнения работ и ориентировочная продолжительность аудиторского цикла в целом, а также по отдельным этапам;

- общие принципы оплаты выполненных работ.

В то же время следует учитывать, что некоторые из указанных аспектов могут пересматриваться и корректироваться в ходе планирования, а также в ходе аудита по существу. При этом любые корректировки и иные изменения необходимо оформлять документально по мере их возникновения, например в информационном письме руководству экономического субъекта, подтверждающем внесенные изменения.

Этап заключения договора (контракта) на проведение аудита информационной безопасности, в свою очередь, требует достижения понимания сторонами предстоящего детального аудиторского исследования таких аспектов, как:

- сроки аудиторского исследования (в целом и по этапам);

- предметные области и объекты аудиторского исследования;

- условия конфиденциальности;

- количественный состав аудиторской группы с правом доступа к любой релевантной информации;

- количественный состав группы специалистов-экспертов;

- преемственность аудита (при выполнении работ не впервые);

- состав, сроки и порядок представления экономическому субъекту информации;

- состав, сроки, порядок и форма представления экономическому субъекту как промежуточной аудиторской информации, так и результатов аудита;

- сроки внедрения управленческих рекомендаций, полученных по результатам аудиторского исследования;

- условия мониторинга результатов реализации управленческих решений, выработанных на основе аудиторских рекомендаций;

- условия оплаты работ (в целом и по этапам);

- условия пересмотра договорной цены в ходе проведения аудита (в случаях непредвиденных обстоятельств и дополнительно выявленных аспектов);

- условия расторжения договора (контракта) по желанию одной из сторон;

- прочие вопросы, включая дополнительные пожелания руководства экономического субъекта.

На этапе подготовки проекта договора (контракта) необходимо установить трудоемкость работ, а также график их выполнения на долгосрочную перспективу.

Проект договора (контракта), подготовленный аудитором, направляется руководству экономического субъекта и оформляется аналогично договору (контракту) на проведение аудита бухгалтерской (финансовой) отчетности и оказание сопутствующих аудиту услуг.

После подписания указанного документа, перед тем как будут выдвинуты начальные гипотезы и стратегические установки, а исследуемая проблема будет подвергнута декомпозиции на отдельные компоненты, аудитор должен расширить свои знания о бизнес-системе и ее внешнем окружении (рис. 3).

 

Предварительное планирование аудита информационной безопасности

 Предварительное планирование аудита информационной безопасности

 

Рис. 3

 

После подготовки информационной базы для исследования по существу аудиторского задания аудитору необходимо провести анализ собранных сведений. При этом международная практика и многолетний опыт свидетельствуют о трех подходах, которые некоторым образом отличаются друг от друга.

Первый подход основан на использовании существующих стандартов информационной безопасности, которые определяют некий базовый набор требований для широкого класса информационных технологий и которые разрабатываются на основе передового мирового опыта в указанной области знаний, в частности ISO 17799, OCTAVE, Cobit, BS 7799-2 и др. Аудитор, опираясь на регламент указанных Стандартов и полученные сведения о субъекте, должен надлежащим образом определить адекватный набор требований, соответствие которым необходимо обеспечить для конкретной информационной системы. Указанный подход позволяет при минимальных затратах вырабатывать адекватные управленческие рекомендации по совершенствованию информационной безопасности в каждом конкретном случае. Однако основным недостатком этого подхода является отсутствие параметров, характеризующих режим информационной безопасности. При таком подходе можно упустить из поля зрения специфические для конкретной информационной системы классы потенциальных и даже существующих угроз.

Второй подход основан на использовании в аудиторском исследовании существующих методов анализа рисков, учитывающих индивидуальность каждого экономического субъекта, его информационной инфраструктуры, среды ее функционирования и существующие, а также потенциальные угрозы безопасности. Данный подход является наиболее трудоемким и требует от аудитора привлечения к исследованию наиболее компетентных в этой области аудиторов и экспертов.

И наконец, третий подход - комбинированный, предполагающий использование базового набора требований безопасности, определяемого вышеуказанными стандартами и дополняемого требованиями, учитываемыми при использовании метода анализа рисков. Указанный подход хотя и намного проще второго, так как основой его являются требования безопасности, определенные стандартами, но в то же время он лишен недостатка первого подхода, связанного с тем, что требования стандартов практически не учитывают индивидуальность систем конкретного экономического субъекта.

В том случае, когда существуют повышенные требования к информационной безопасности, наиболее приемлемым является третий подход к аудиторскому исследованию. В данном случае аудитору наряду с базовыми требованиями стандартов необходимо надлежащим образом исследовать:

- бизнес- и ИТ-процессы с позиции информационной безопасности;

- ресурсы экономического субъекта и их ценность;

- существующие и потенциальные угрозы информационной безопасности;

- уязвимости, т.е. слабые места в существующей у субъекта защите информации.

При этом все ресурсы необходимо исследовать с позиции оценки угроз, то есть воздействия вероятных или спланированных действий внутренних или внешних злоумышленников, а также различных нежелательных событий естественного происхождения.

В свою очередь, ценность (важность) ресурса, как правило, определяется величиной ущерба, наносимого в случае нарушения информационной безопасности. На практике обычно рассматривают следующие виды ущерба:

- данные были изменены, удалены или стали недоступны;

- аппаратно-программные средства были разрушены или повреждены;

- нарушена целостность программного обеспечения и др.

Осуществляя аудиторское исследование информационной безопасности, аудитору необходимо выяснить, может ли быть нанесен ущерб бизнес-системе в целом и ее информационной системе в частности в результате следующих видов угроз:

- удаленных или локальных атак на ИТ-ресурсы;

- стихийных бедствий;

- ошибок, искажений или преднамеренных действий ИТ-персонала;

- сбоев в работе информационных технологий, выявленных в программном обеспечении или обусловленных неисправностями аппаратных средств.

Сама оценка рисков может быть осуществлена с использованием как качественных, так и количественных шкал. В этом случае аудитору необходимо правильно их идентифицировать и проранжировать в соответствии со степенью их критичности для конкретного экономического субъекта. На основе проведенного исследования и оценки рисков вырабатываются адекватные им мероприятия (контрмеры) по их снижению до приемлемого уровня. В каждом конкретном случае рекомендации должны быть конкретными и применимыми к исследуемой информационной системе. Кроме того, указанные рекомендации необходимо обосновать экономически. Следует помнить, что контрмеры по защите организационного уровня должны иметь приоритет над аппаратно-программными методами защиты. В то же время обязательной составляющей цикла аудита информационной безопасности является периодическая проверка соответствия реализованного по результатам аудита режима безопасности политике безопасности и на соответствие установленным критериям.

Логическим завершением любого цикла аудиторского исследования информационной безопасности являются подготовка и предоставление заинтересованным пользователям отчета о проделанной работе и соответствующих надлежащим образом обоснованных рекомендаций. С этой целью аудитор должен всесторонне изучить и оценить выводы, сделанные на основе проведенного исследования. Структура отчета, как правило, не регламентирована, однако определенные разделы должны в нем обязательно присутствовать. Так, например, в отчете обязательно должны быть раскрыты цель и задачи аудиторского исследования, описаны элементы информационной инфраструктуры, которые подвергались аудиторскому исследованию. В частности, здесь следует раскрыть:

- назначение и основные функции как информационной инфраструктуры в целом, так и ее отдельных элементов;

- группы задач, решаемых информационной системой;

- классификацию ИТ-пользователей;

- организационную структуру обслуживающего персонала;

- структуру и состав комплекса аппаратно-программных средств;

- виды информационных ресурсов;

- структуру информационных потоков;

- характеристику каналов взаимодействия с иными системами (в частности, с системой внутреннего контроля и др.), а также входов и выходов.

Кроме того, в отчете необходимо указать то, что аудит осуществлялся на основе требований стандартов или соответствующих норм. Здесь также отражаются сведения:

- о местах размещения аппаратно-программных средств экономического субъекта;

- об основных классах (группах) угроз информационной безопасности, рассмотренных в ходе аудита.

Раскрывая характер аудиторского исследования, в отчете необходимо отразить и саму примененную методику аудиторского исследования, а также критерии оценки величины вероятного ущерба, оценки критичности ИТ-ресурсов и анализа и оценки рисков.

В заключении отчета четко и аргументированно формулируются основные выводы, полученные на основании аудита, а также раскрываются рекомендуемые предложения (контрмеры) как по организационным аспектам деятельности экономического субъекта и, в частности информационной безопасности, так и аппаратно-программным средствам.

Подводя итог вышеизложенному, следует подчеркнуть то, что аудит информационной безопасности в современных условиях является одним из наиболее эффективных инструментов получения независимой и объективной оценки текущего уровня защищенности любой бизнес-системы как от существующих, так и от потенциальных угроз. Результаты аудита информационной безопасности позволяют сформировать стратегические установки развития отвечающей современным вызовам системы обеспечения информационной безопасности для любого экономического субъекта. Однако следует понимать, что применение на практике аудита информационной безопасности должно быть не эпизодическим, а регулярным, позволяющим не только выявить уже свершившиеся факты, но и предугадать потенциальные угрозы.

 

Список литературы

1. Булыга Р.П., Мельник М.В. Аудит бизнеса. Практика и проблемы развития: Монография / Под ред. Р.П. Булыги. М.: ЮНИТИ-ДАНА, 2013. 263 с.

2. Ситнов А.А. Особенности аудита информационных инфраструктур // Аудитор. 2011. N 11 (201). С. 26 - 38.

3. Ситнов А.А. Стандарт Cobit: новые возможности российского аудита // Аудиторские ведомости. 2012. N 6. С. 44 - 56.

4. Ситнов А.А. Аудит состояния информационной инфраструктуры // Аудитор. 2012. N 12 (214). С. 16 - 21.

5. Ситнов А.А. Операционный аудит: теория и организация: Учебное пособие. М.: ФОРУМ, 2011.

6. Ситнов А.А., Уринцов А.И. Аудит информационных систем: Монография для магистров. М.: ЮНИТИ-ДАНА, 2014.

Ситнов А.А.
"Аудитор", 2015, N 9

Категория: Финансы и налоги. Бухгалтерия | Добавил: x5443x (03.12.2015)
Просмотров: 337 | Теги: информациооная безопасность, Аудит, бизнес-система | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
...




Copyright MyCorp © 2016