Смекни!
smekni.com

Интеллектуальные компьютерные технологии защиты информации (стр. 16 из 23)

• оценка текущего уровня защищенности КИС;

• локализация узких мест в системе защиты КИС;

• оценка соответствия КИС существующим стандартам в области информационной безопасности;

• выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности КИС.

3.2.1 Определение и задачи аудита

Под термином «аудит» КИС понимается системный процесс получения и оценки объективных данных о текущем состоянии КИС, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенному критерию и предоставляющий результаты заказчику.

В настоящее время актуальность аудита резко возросла, это связано с увеличением зависимости организаций от информации и КИС. Рынок насыщен аппаратно-программным обеспечением, многие организации в силу ряда причин (наиболее нейтральная из которых - это моральное старение оборудования и программного обеспечения) видят неадекватность ранее вложенных средств в информационные системы и ищут пути решения этой проблемы. Их может быть два: с одной стороны - это полная замена КИС, что влечет за собой большие капиталовложения, с другой - модернизация КИС. Последний вариант решения этой проблемы - менее дорогостоящий, но открывающий новые проблемы, например, что оставить из имеющихся аппаратно-программных средств, как обеспечить совместимость старых и новых элементов КИС.

Более существенная причина проведения аудита состоит в том, что при модернизации и внедрении новых технологий их потенциал полностью не реализуется. Аудит КИС позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание КИС.

Кроме того, возросла уязвимость КИС за счет повышения сложности их элементов, увеличения объемов программного обеспечения, появления новых технологий передачи и хранения данных.

Спектр угроз расширился. Это обусловлено следующими причинами:

• передача информации по сетям общего пользования;

• «информационные войны» конкурирующих организаций;

• высокая текучесть кадров с низким уровнем порядочности.

По данным некоторых западных аналитических агентств до 95% попыток несанкционированного доступа к конфиденциальной информации происходит по инициативе бывших сотрудников организации.

Аудит ИБ в информационной системе это процесс сбора сведений, позволяющих установить:

• обеспечивается ли безопасность ресурсов организации (включая данные);

• обеспечиваются ли необходимые параметры целостности и доступности данных;

• достигаются ли цели организации в части эффективности информационных технологий.

Проведение аудита позволит оценить текущую безопасность функционирования КИС, оценить риски, прогнозировать и управлять их влиянием на бизнес процессы организации, корректно и обоснованно подойти к вопросу обеспечения безопасности информационных активов организации, основные из которых:

• идеи;

• знания;

• проекты;

• результаты внутренних обследований.

В настоящее время многие системные интеграторы на телекоммуникационном рынке декларируют поставку полного, законченного решения. К сожалению, в лучшем случае все сводится к проектированию и поставке оборудования и программного обеспечения. Построение информационной инфраструктуры «остается за кадром» и к решению не прилагается. Оговоримся, что в данном случае под информационной инфраструктурой понимается отлаженная система, выполняющая функции обслуживания, контроля, учета, анализа, документирования всех процессов, происходящих в информационной системе.

Все чаще и чаще у клиентов возникают к системным интеграторам, проектным организациям, поставщикам оборудования вопросы следующего содержания:

• Что дальше? (Наличие стратегического плана развития организации, место и роль КИС в этом плане, прогнозирование проблемных ситуаций).

• Соответствует ли наша КИС целям и задачам бизнеса? Не превратился ли бизнес в придаток информационной системы?

• Как оптимизировать инвестиции в КИС?

• Что происходит внутри этого «черного ящика» - КИС организации? Сбои в работе КИС, как выявить и локализовать проблемы?

• Как решаются вопросы безопасности и контроля доступа?

• Подрядные организации провели поставку, монтаж, пусконаладку. Как оценить их работу? Есть ли недостатки, если есть, то какие?

• Когда необходимо провести модернизацию оборудования и ПО? Как обосновать необходимость модернизации?

• Как установить единую систему управления и мониторинга КИС? Какие выгоды она предоставит?

• Руководитель организации, руководитель IT подразделения должны иметь возможность получать достоверную информацию о текущем состоянии КИС в кратчайшие сроки. Возможно ли это?

• Почему все время производится закупка дополнительного оборудования?

• Сотрудники IT подразделения постоянно чему-либо учатся, есть ли в этом необходимость?

• Какие действия предпринимать в случае возникновения внештатной ситуации?

• Какие возникают риски при размещении конфиденциальной информации в КИС организации? Как минимизировать эти риски?

• Как снизить стоимость владения КИС?

• Как оптимально использовать сложившуюся КИС при развитии бизнеса?

На эти и другие подобные вопросы нельзя мгновенно дать однозначный ответ. Только рассматривая все проблемы в целом, взаимосвязи между ними, учитывая нюансы и недостатки, можно получить достоверную, обоснованную информацию. Для этого в консалтинговых компаниях во всем мире существует определенная специфическая услуга - аудит компьютерной информационной системы (КИС).

Подход к проведению аудита КИС, как отдельной самостоятельной услуги, с течением времени упорядочился и стандартизировался. Крупные и средние аудиторские компании образовали ассоциации -союзы профессионалов в области аудита КИС, которые занимаются созданием и сопровождением стандартов аудиторской деятельности в сфере ИТ. Как правило, это закрытые стандарты, тщательно охраняемое ноу-хау.

Однако существует ассоциация - TheInformationSystemsAuditandControlAssociation & Foundation (ISACA), занимающаяся открытой стандартизацией аудита КИС.

3.2.2 ISACA

Она основана в 1969 году и по состоянию на 2002 год объединяла более 23000 членов из более чем 100 стран. Ассоциация ISACA координирует деятельность более чем 26000 аудиторов информационных систем (CISA - CertifiedInformationSystemAuditor и CISM - CertifiedInformationSecurityManager), имеет свою систему стандартов в этой области, ведет исследовательские работы, занимается подготовкой кадров, проводит конференции.

Основная декларируемая цель ассоциации - это исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами информационных систем.

В помощь профессиональным аудиторам, руководителям IT подразделений, администраторам и заинтересованным пользователям ассоциацией ISACA и привлеченными специалистами из ведущих мировых консалтинговых компаний был разработан стандарт CoBiT (ControlObjectivesforInformationandRelatedTechnology).

3.2.3 CoBiT

CoBiT- открытый стандарт, первое издание которого в 1996 году было продано в 98 странах по всему миру и облегчило работу профессиональных аудиторов в сфере информационных технологий. Стандарт связывает информационные технологии и действия аудиторов, объединяет и согласовывает многие другие стандарты в единый ресурс, позволяющий авторитетно, на современном уровне получить представление и управлять целями и задачами, решаемыми КИС. CoBiT учитывает все особенности информационных систем любого масштаба и сложности.

Главное правило, положенное в основу CoBiT, следующее: ресурсы КИС должны управляться набором естественно сгруппированных процессов для обеспечения организации необходимой и надежной информацией (рис. 3.1).

Рис. 3.1. Структура стандарта CoBIT


Теперь немного разъяснений по поводу того, какие ресурсы и критерии их оценки используются в стандарте CoBiT:

Трудовые ресурсы— под трудовыми ресурсами понимаются не только сотрудники организации, но также руководство организации и контрактный персонал. Рассматриваются навыки штата, понимание задач и производительность работы.

Приложения - прикладное программное обеспечение, используемое в работе организации. Технологии - операционные системы, базы данных, системы управления и т.д. Оборудование - все аппаратные средства КИС организации, с учетом их обслуживания.

Данные - данные в самом широком смысле - внешние и внутренние, структурированные и неструктурированные, графические, звуковые, мультимедиа и т.д.

Все эти ресурсы оцениваются CoBiT на каждом из этапов построения или аудита КИС по следующим критериям:

Эффективность - критерий, определяющий уместность и соответствие информации задачам бизнеса.

Технический уровень - критерий соответствия стандартам и инструкциям.

Безопасность - защита информации.

Целостность - точность и законченность информации.

Пригодность - доступность информации требуемым бизнес-процессам в настоящем и будущем. А также защита необходимых и сопутствующих ресурсов.

Согласованность - исполнение законов, инструкций и договоренностей, влияющих на бизнес-процесс, то есть внешние требования к бизнесу.

Надежность - соответствие информации, предоставляемой руководству организации, осуществление соответствующего управления финансированием и согласованность должностных обязанностей.

CoBiT базируется на стандартах аудита ISA и ISACF, но включает и другие международные стандарты, в том числе принимает во внимание утвержденные ранее стандарты и нормативные документы:

• технические стандарты;

• кодексы;

• критерии КИС и описание процессов;