Интеллектуальные компьютерные технологии защиты информации

• анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов КИС;

• оценка текущего уровня защищенности КИС;

• локализация узких мест в системе защиты КИС;

• оценка соответствия КИС существующим стандартам в области информационной безопасности;

• выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопас

ности КИС.

3.2.1 Определение и задачи аудита

Под термином «аудит» КИС понимается системный процесс получения и оценки объективных данных о текущем состоянии КИС, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенному критерию и предоставляющий результаты заказчику.

В настоящее время актуальность аудита резко возросла, это связано с увеличением зависимости организаций от информации и КИС. Рынок насыщен аппаратно-программным обеспечением, многие организации в силу ряда причин (наиболее нейтральная из которых - это моральное старение оборудования и программного обеспечения) видят неадекватность ранее вложенных средств в информационные системы и ищут пути решения этой проблемы. Их может быть два: с одной стороны - это полная замена КИС, что влечет за собой большие капиталовложения, с другой - модернизация КИС. Последний вариант решения этой проблемы - менее дорогостоящий, но открывающий новые проблемы, например, что оставить из имеющихся аппаратно-программных средств, как обеспечить совместимость старых и новых элементов КИС.

Более существенная причина проведения аудита состоит в том, что при модернизации и внедрении новых технологий их потенциал полностью не реализуется. Аудит КИС позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание КИС.

Кроме того, возросла уязвимость КИС за счет повышения сложности их элементов, увеличения объемов программного обеспечения, появления новых технологий передачи и хранения данных.

Спектр угроз расширился. Это обусловлено следующими причинами:

• передача информации по сетям общего пользования;

• «информационные войны» конкурирующих организаций;

• высокая текучесть кадров с низким уровнем порядочности.

По данным некоторых западных аналитических агентств до 95% попыток несанкционированного доступа к конфиденциальной информации происходит по инициативе бывших сотрудников организации.

Аудит ИБ в информационной системе это процесс сбора сведений, позволяющих установить:

• обеспечивается ли безопасность ресурсов организации (включая данные);

• обеспечиваются ли необходимые параметры целостности и доступности данных;

• достигаются ли цели организации в части эффективности информационных технологий.

Проведение аудита позволит оценить текущую безопасность функционирования КИС, оценить риски, прогнозировать и управлять их влиянием на бизнес процессы организации, корректно и обоснованно подойти к вопросу обеспечения безопасности информационных активов организации, основные из которых:

• идеи;

• знания;

• проекты;

• результаты внутренних обследований.

В настоящее время многие системные интеграторы на телекоммуникационном рынке декларируют поставку полного, законченного решения. К сожалению, в лучшем случае все сводится к проектированию и поставке оборудования и программного обеспечения. Построение информационной инфраструктуры «остается за кадром» и к решению не прилагается. Оговоримся, что в данном случае под информационной инфраструктурой понимается отлаженная система, выполняющая функции обслуживания, контроля, учета, анализа, документирования всех процессов, происходящих в информационной системе.

Все чаще и чаще у клиентов возникают к системным интеграторам, проектным организациям, поставщикам оборудования вопросы следующего содержания:

• Что дальше? (Наличие стратегического плана развития организации, место и роль КИС в этом плане, прогнозирование проблемных ситуаций).

• Соответствует ли наша КИС целям и задачам бизнеса? Не превратился ли бизнес в придаток информационной системы?

• Как оптимизировать инвестиции в КИС?

• Что происходит внутри этого «черного ящика» - КИС организации? Сбои в работе КИС, как выявить и локализовать проблемы?

• Как решаются вопросы безопасности и контроля доступа?

• Подрядные организации провели поставку, монтаж, пусконаладку. Как оценить их работу? Есть ли недостатки, если есть, то какие?

• Когда необходимо провести модернизацию оборудования и ПО? Как обосновать необходимость модернизации?

• Как установить единую систему управления и мониторинга КИС? Какие выгоды она предоставит?

• Руководитель организации, руководитель IT подразделения должны иметь возможность получать достоверную информацию о текущем состоянии КИС в кратчайшие сроки. Возможно ли это?

• Почему все время производится закупка дополнительного оборудования?

• Сотрудники IT подразделения постоянно чему-либо учатся, есть ли в этом необходимость?

• Какие действия предпринимать в случае возникновения внештатной ситуации?

• Какие возникают риски при размещении конфиденциальной информации в КИС организации? Как минимизировать эти риски?

• Как снизить стоимость владения КИС?

• Как оптимально использовать сложившуюся КИС при развитии бизнеса?

На эти и другие подобные вопросы нельзя мгновенно дать однозначный ответ. Только рассматривая все проблемы в целом, взаимосвязи между ними, учитывая нюансы и недостатки, можно получить достоверную, обоснованную информацию. Для этого в консалтинговых компаниях во всем мире существует определенная специфическая услуга - аудит компьютерной информационной системы (КИС).

Подход к проведению аудита КИС, как отдельной самостоятельной услуги, с течением времени упорядочился и стандартизировался. Крупные и средние аудиторские компании образовали ассоциации -союзы профессионалов в области аудита КИС, которые занимаются созданием и сопровождением стандартов аудиторской деятельности в сфере ИТ. Как правило, это закрытые стандарты, тщательно охраняемое ноу-хау.

Однако существует ассоциация - The Information Systems Audit and Control Association & Foundation (ISACA), занимающаяся открытой стандартизацией аудита КИС.

3.2.2 ISACA

Она основана в 1969 году и по состоянию на 2002 год объединяла более 23000 членов из более чем 100 стран. Ассоциация ISACA координирует деятельность более чем 26000 аудиторов информационных систем (CISA - Certified Information System Auditor и CISM - Certified Information Security Manager), имеет свою систему стандартов в этой области, ведет исследовательские работы, занимается подготовкой кадров, проводит конференции.

Основная декларируемая цель ассоциации - это исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами информационных систем.

В помощь профессиональным аудиторам, руководителям IT подразделений, администраторам и заинтересованным пользователям ассоциацией ISACA и привлеченными специалистами из ведущих мировых консалтинговых компаний был разработан стандарт CoBiT (Control Objectives for Information and Related Technology).

 Скачать реферат