Журнал "Information Security/ Информационная безопасность" #3, 2019

Аудит ИБ является пер- воначальным этапом для создания или модернизации системы защиты информа- ции. По сути, основная цель проведения аудита ИБ – определить, какое положе- ние дел в области обеспече- ния ИБ существует сейчас и какие дальнейшие действия необходимо предпринять для создания либо улучше- ния системы защиты инфор- мации. Что такое аудит ИБ и для чего он нужен? Нормативного определения аудита ИБ в настоящее время нет. Действующий в сфере ИБ ГОСТ Р ИСО/МЭК 27007–2014 "Информационная технология. Методы и средства обеспече- ния безопасности. Руковод- ства по аудиту систем менеджмента информацион- ной безопасности" также не содержит определения поня- тия "аудит", однако содержит отсылку к ГОСТ Р ИСО 19011–2012 "Руководящие указания по аудиту систем менеджмента", где под ауди- том понимается систематиче- ский, независимый и доку- ментируемый процесс полу- чения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита. Под свидетельствами аудита понимаются записи, изложение фактов или другая информа- ция, то, что связано с крите- риями аудита и может быть проверено. В свою очередь, критерии аудита – это совокупность поли- тик, процедур или требований, используемых в качестве эта- лона, в соотношении с которым сопоставляют свидетельства аудита, полученные при прове- дении аудита. Таким образом, можно гово- рить о том, что под аудитом ИБ следует понимать форму независимой оценки состояния информационной безопасно- сти объекта аудита (информа- ционная система, автоматизи- рованная система, организа- ция как объект защиты в целом и т.п.) на соответствие заданным критериям (напри- мер, требованиям действую- щего законодательства или принятых корпоративных стан- дартов, отсутствию уязвимо- стей, содержащихся в банке данных угроз безопасности информации и т.п.). Аудит ИБ является перво- начальным этапом для созда- ния или модернизации систе- мы защиты информации. По сути, основная цель проведе- ния аудита ИБ – определить, какое положение дел в обла- сти обеспечения ИБ существу- ет сейчас и какие дальнейшие действия необходимо пред- принять для создания либо улучшения системы защиты информации. Основные этапы проведения аудита ИБ Схематично этапы проведения аудита ИБ можно представить в следующем виде (рис. 1). Данная последовательность действий выработана на основе ГОСТ Р ИСО 19011–2012 и опыта авто- ра. Указанные на рис. 1 этапы характерны для практически любого аудита ИБ, в том числе и аудита объектов КИИ. Особенности проведения аудита ИБ объектов КИИ При проведении аудита ИБ объектов КИИ необходимо обратить внимание на то, что фактически существует два вида объектов КИИ: l значимые – объекты КИИ, которым в процессе категори- рования присвоена категория значимости; l незначимые – объекты КИИ, при категорировании которых принято решение об отсутствии необходимости присвоения им одной из категорий значимости, либо объекты КИИ, не участвую- щие в автоматизации критиче- ских процессов и, соответствен- но, не подлежащие категори- рованию. Понимание описанной выше типологии объектов КИИ необходимо для определения критериев аудита ИБ. Так, 8 • В ФОКУСЕ Особенности проведения аудита информационной безопасности объектов КИИ роблемным для организаций, попавших в сферу действия Федерального закона от 26.07.2017 № 187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации", является вопрос о том, какие из имеющихся мер по защите информации будут достаточными в свете новых требований, а какие требуют дополнения. Первым шагом для ответа на указанный вопрос служит аудит информационной безопасности. Что такое аудит ИБ, какой он бывает и какими особенностями обладает в части объектов критической информационной инфраструктуры (КИИ), рассказывает автор данной статьи. П Константин Саматов , руководитель направления в Аналитическом центре Уральского центра систем безопасности, член Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова. Нормативного определения аудита ИБ в настоящее время нет. Действующий в сфере ИБ ГОСТ Р ИСО/МЭК 27007–2014 "Информационная технология. Методы и средства обеспечения безопасности. Руководства по аудиту систем менеджмента информационной безопасности" также не содержит определения понятия "аудит", однако содержит отсылку к ГОСТ Р ИСО 19011–2012 "Руководящие указания по аудиту систем менеджмента", где под аудитом понимается систематический, независимый и документируемый процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита.