Различают внешний и внутренний аудит.

Внешний аудит -- это, как правило, разовое мероприятие, проводимое по инициативе руководства организации или акционеров. Внешний аудит рекомендуется (а для ряда финансовых учреждений и акционерных обществ требуется) проводить регулярно.

Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании документа, обычно носящего название “Положение о внутреннем аудите“, и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации. Аудит безопасности информационных систем является одной из составляющих ИТ--аудита.

Возможны два варианта аудита информационной безопасности: аудит компании в целом и аудит только информационной системы.

В первом случае компания должна подготовить для проверки:

-документы, подтверждающие внедрение в организации выработанной политики информационной безопасности и, в частности, наличие документированного подхода к оцениванию рисков и управлению ими в рамках всей компании;

-описание организационной инфраструктуры информационной безопасности на местах - распределение обязанностей сотрудников по обеспечению безопасности;

-обоснование выбора средств защиты для рассматриваемой системы;

-документацию на процессы обслуживания и администрирования информационной системы;

-документацию с описанием подходов к оцениванию рисков и управлению ими;

-документацию по подготовке периодических проверок, касающихся оценивания рисков, и управлению ими;

-описание процедуры принятия уровня остаточного риска с документированным выводом о реализации необходимых средств обеспечения информационной безопасности, степени их тестирования и корректности работы с ними;

-документацию по системе управления информационной безопасностью и реестр средств управления безопасностью в ведомости соответствия;

-результаты оценивания рисков по информационной системе;

-описание мер для противодействия выявленным рискам.

Все перечисленные проверки выполняются в соответствии с принятыми в компании подходами к оценке рисков и управлению ими.

В случае аудита только информационной системы компания должна подготовить для проверки:

-описание политики информационной безопасности, документацию по системе управления информационной безопасностью и ведомость соответствия, отражающую реальное состояние оцениваемой системы;

-документацию по проведенному оцениванию рисков;

-документацию по средствам управления информационной безопасностью;

-доказательства эффективности принятых контрмер и результаты их тестирования.

1. Планирование и организация работы.

Назначаются ответственные лица со стороны предприятия и аудиторской компании устанавливаются рамки проведения аудита.

2. Сбор информации о системе.

3. Выработка рекомендаций. Полученные в результате проведенного анализа рекомендации после предварительного согласования с руководством компании следует обязательно проверить на выполнимость и актуальность с учетом рисков внедрения.

4. Контроль за выполнением рекомендаций. Подразумевает постоянное отслеживание аудиторской фирмой выполнения компанией рекомендаций.

Прежде, чем определить угрозы ИС и какие нарушители ИБ могут быть, необходимо получить сведения о системе.

О системе необходимо собрать следующую информацию:

-архитектура ИС;

-используемое аппаратное обеспечение;

-используемое программное обеспечение;

-системные интерфейсы (внутренняя и внешняя связность);

-топология сети;

-присутствующие в системе данные и информация;

-поддерживающий персонал и пользователи;

-миссия системы (то есть процессы, выполняемые ИС);

-критичность системы и данных;

-чувствительность (то есть требуемый уровень защищенности) системы и данных.

Требуется также собрать информацию об эксплуатационном окружении системы:

-функциональные требования к ИС;

-политики безопасности, положения которых затрагивают ИС;

-меры защиты доступности, конфиденциальности и целостности хранимых данных;

-потоки данных, принадлежащих системе, входные и выходные данные;

-существующие программно-технические регуляторы безопасности (то есть встроенные или дополнительные защитные средства, поддерживающие идентификацию и аутентификацию, управление доступом, протоколирование и аудит, защиту остаточной информации, криптографические функции и т.д.);

-существующие регуляторы безопасности административного уровня (политика и программы безопасности, меры планирования безопасности, правила поведения и т.п.);

-существующие регуляторы безопасности процедурного уровня (кадровая безопасность, процедуры управления пользователями, управление разделением обязанностей пользователей, обеспечение бесперебойной работы, резервное копирование, хранение данных вне производственных площадей, восстановление после аварий, сопровождение системы);

-меры физической защиты ИС (физическая защита производственных площадей, контроль доступа в центр обработки данных и т.п.);

-защита ИС от угроз со стороны окружающей среды (средства контроля температуры, влажности, загрязнения, электропитание, водоснабжение и т.д.).

В роли внешних злоумышленников могут выступать хакеры, преступники, террористы и шпионы. У каждой из выделенных категорий свой уровень мотивации (нарастающий от хакеров к шпионам) и вооруженности ресурсами. Внутренними злоумышленниками могут быть как плохо подготовленные, так и обиженные или уволенные сотрудники. Внешний злоумышленник может стать внутренним, если ему удастся взломать систему и начать действовать от имени легального пользователя.

Угрозы первоначально разделить на 2 больших класса: со стороны внешних нарушителей и со стороны внутренних. В то же время угрозы подразделяются на угрозы конфиденциальности, доступности и целостности информации. Данный аудит рассматривает АС для процедуры аутентификации пользователей в системе онлайн банкинга. По этой причине угрозы могут быть направлены на сервер, клиент и среду передачи информации от клиента к серверу. Угрозы необходимо выделить из приложения к германскому стандарту BSI.

Содержит следующие группы угроз:

Т1. Угрозы в связи с форс-мажорными обстоятельствами.

Т2. Угрозы на организационном уровне.

Т3. Угрозы, связанные с ошибками людей.

Т4. Угрозы, связанные с техникой.

Т5. Угрозы, возникающие на предпроектном этапе.

T 1. Угрозы в связи с форс-мажорными обстоятельствами

Т1.2. Отказ информационной системы.

Т1.3. Молния.

Т1.4. Пожар.

Т1.6. Возгорание кабеля.

Т1.7. Недопустимая температура и влажность.

Т1.8. Пыль, загрязнение.

Т1.9. Потеря данных из-за воздействия интенсивных магнитных полей.

Т1.10. Отказ сети на большой территории.

Т1.11. Катастрофы в окружающей среде.

Т1.12. Проблемы, вызванные неординарными общественными событиями.

Т2. Угрозы на организационном уровне

Т2.1. Отсутствие или недостатки регламентирующих документов.

Т2.2. Недостаточное знание требований регламентирующих документов.

Т2.4. Недостатки контроля и измерения уровня безопасности в информационной технологии.

Т2.5. Недостатки в обслуживании.

Т2.6. Несоответствие помещений требованиям в области безопасности.

Т2.7. Превышение полномочий.

Т2.8. Нерегламентированное использование ресурсов.

Т2.9. Недостатки в процедурах отслеживания изменений в информационной технологии.

Т2.10. Несоответствие среды передачи данных предъявляемым требованиям.

Т2.12. Недостатки в документировании коммуникаций.

Т2.13. Недостаточная защищенность от действий дистрибьюторов.

Т2.14. Ухудшение использования информационных технологий из-за плохих условий на рабочих местах.

Т2.16. Несанкционированное (недокументированное) изменение пользователей портативной ЭВМ.

Т2.19. Некорректная система управления криптографическими ключами.

Т2.21. Ненадлежащая организация изменения пользователей.

Т2.22. Отсутствие должной оценки результатов аудита данных.

Т2.24. Несанкционированный доступ к конфиденциальным данным в сети.

Т2.25. Уменьшение скорости обмена, вызванное вспомогательными функциями взаимодействия одноуровневых объектов.

Т2.26. Недостаточное тестирование ПО.

Т2.27. Неправильная документация.

Т2.29. Несанкционированное тестирование программ на этапе эксплуатации ИС.

Т2.31. Некорректная защита систем под управлением ОС Windows NT.

Т2.32. Неподходящая пропускная способность телекоммуникационных линий.

Т2.34. Отсутствие или некорректная настройка механизмов безопасности Novell Netware.

Т2.36. Неправильные ограничения пользовательской среды.

Т2.37. Неконтролируемое использование коммуникационных линий.

Т2.38. Недостаточное или неправильное использование штатных механизмов защиты базы данных.

Т2.40. Сложность доступа к базам данных.

Т2.41. Неверная организация обмена данных пользователей с базой данных.

Т2.44. Несовместимые активные и пассивные сетевые компоненты.

Т2.45. Концептуальные ошибки проектирования сети.

Т2.46. Превышение максимально допустимой длины кабеля.

Т2.47. Передача данных по коммуникациям, не соответствующим требованиям безопасности.

Т2.48. Неадекватное использование информации и документов при работе в домашних условиях.

Т2.49. Недостаточное или неверное обучение телеобработке.

Т2.50. Задержки, вызванные временными сбоями при удаленной работе.

Т2.51. Плохая интеграция удаленных рабочих мест в информационную технологию.

Т2.52. Более длинные временные периоды реакции системы в случае неверного выбора архитектуры системы.

Т2.53. Неполные инструкции относительно замены аппаратно-программных средств на удаленных рабочих местах.

Т2.55. Неконтролируемое использование электронной почты.

Т2.57. Неправильное хранение носителей информации в случае аварий.

Т2.59. Работа с незарегистрированными компонентами.

Т2.60. Недостаточная детализация стратегии сети и системы управления сетевыми ресурсами.

Т2.61. Неразрешенная совокупность личных данных.

Т2.62. Неподходящая обработка инцидентов в области безопасности.

Т2.66. Недостатки или неадекватность системы управления в области безопасности.

Т2.67. Недостатки администрирования прав доступа.

Т3. Угрозы, связанные с ошибками людей

Т3.1. Нарушение конфиденциальности/целостности данных в результате ошибок пользователей.

Т3.2. Разрушение оборудования или данных в результате небрежности.

Т3.3. Несоблюдение правил поддержания режима ИБ.

Т3.4. Несанкционированные подключения кабелей.

Т3.5. Повреждения кабелей из-за небрежности.

Т3.6. Опасности, связанные с увольнением или выведением персонала за штат.

Т3.8. Запрещенные действия в информационной системе.

Т3.9. Запрещенные действия системного администратора.

Т3.12. Потери носителей с данных при их перевозке (перемещении).

Т3.13. Передача неправильных или нежелательных данных.

Т3.15. Неправильное использование автоответчиков.

Т3.16. Неправильное администрирование сайта и прав доступа.

Т3.17. Смена пользователей ПК, не соответствующая внутренним правилам.

Т3.18. Совместное использование информационных ресурсов и оборудования.

Т3.20. Неумышленное предоставление доступа для чтения.

Т3.21. Использование ключей с нарушениями правил.

Т3.22. Модификация системного реестра.

Т3.24. Небрежность манипуляций с данными.

Т3.25. Небрежность при стирании (уничтожении) информации.

Т3.26. Небрежность при совместном использовании файловой системы.

Т3.28. Неправильные конфигурации активных сетевых компонентов.

Т3.29. Недостатки системы сегментации.

Т3.30. Использование удаленных рабочих станций для личных нужд.

Т3.31. Хаотичность в организации данных.

Т3.32. Нарушение законодательства в использовании криптографии.

Т3.33. Неправильное использование криптомодулей.

Т3.34. Неудачная конфигурация системы управления.

Т3.35. Отключение сервера во время работы.

Т3.37. Непродуктивные исследования.

Т3.38. Ошибки в конфигурации и операциях.

Т3.40. Несоответствие используемых процедур аутентификации требованиям, предъявляемым к удаленным рабочим местам.

Т3.41. Неправильное использование сервисов удаленного доступа.

Т3.43. Нарушение инструкций использования паролей.

Т3.44. Небрежности в обработке информации.

Т3.45. Некорректно работающая система идентификации партнеров.

Т4. Угрозы, связанные с техникой

Т4.1. Разрушения системы электроснабжения.

Т4.2. Отказы внутренних сетей электроснабжения.

Т4.3. Недействительность имеющихся гарантий.

Т4.4. Ухудшение состояния линий из-за воздействия окружающей среды.

Т4.5. Перекрестные подключения.

Т4.6. Броски напряжения в системе электроснабжения.

Т4.7. Дефекты кабелей информационных сетей.

Т4.8. Обнаруженные уязвимости ПО.

Т4.9. Разрушение внутренних источников электропитания.

Т4.10. Сложности доступа к сетевым ресурсам.

Т4.12. Недостатки аутентификации между серверами и клиентами.

Т4.13. Потеря хранимых данных.

Т4.14. Отсутствие специальной бумаги для факсов.

Т4.15. Отправка сообщения по факсу неправильному получателю из-за неверной коммутации.

Т4.16. Неполучение сообщения, отправленного по факсу, из-за ошибки передачи.

Т4.17. Дефект факсимильного аппарата.

Т4.18. Разрядка аккумулятора или неправильное электропитание в автоответчиках.

Т4.19. Потери информации из-за старения (ухудшения качества) носителя данных.

Т4.20. Потери данных из-за старения (ухудшения качества) носителя данных.

Т4.21. Неправильное экранирование от транзитных потоков.

Т4.22. Уязвимости ПО или ошибки.

Т4.25. Все еще активные подключения.

Т4.26. Отказ базы данных.

Т4.28. Потери данных в базе данных.

Т4.29. Потери данных в базе данных, вызванные недостатком емкости диска.

Т4.30. Потеря целостности базы данных.

Т4.31. Отказ или сбой компонентов сети.

Т4.32. Отказ при отправке сообщений.

Т4.33. Отсутствие процедуры идентификации или ненадлежащее ее качество.

Т4.34. Отказ криптомодулей.

Т4.35. Некорректность криптоалгоритма.

Т4.36. Ошибки при кодировании данных.

Т4.37. Неполучение (несвоевременная доставка) электронной почты или квитанций.

Т4.38. Отказы компонентов системы управления сетью или информационной системой.

Т4.39. Концептуальные ошибки ПО.

Т4.43. Недокументированные возможности.

Т5. Угрозы, возникающие на предпроектном этапе

Т5.1. Разрушение оборудования или вспомогательной инфраструктуры информационной системы.

Т5.2. Манипуляция данными или ПО.

Т5.3. Нарушения системы контроля доступа в помещениях.

Т5.4. Воровство.

Т5.5. Вандализм.

Т5.6. Нападения.

Т5.7. Перехват в линиях связи.

Т5.8. Манипуляции линиями связи.

Т5.9. Неавторизованное использование информационной системы.

Т5.10. Злоупотребления, связанные с удаленным доступом.

Т5.17. Угрозы, исходящие от посторонних специалистов, привлекаемых для обслуживания элементов информационной системы.

Т5.18. Подбор паролей.

Т5.19. Злоупотребления правами пользователей.

Т5.20. Злоупотребления правами администратора.

Т5.21. Вредоносное ПО. «Троянские» кони.

Т5.22. Воровство мобильных элементов информационной системы.

Т5.23. Враждебные апплеты и вирусы.

Т5.24. Закладки.

Т5.26. Подслушивание и перехват сообщений.

Т5.28. Недоступность сервисов.

Т5.29. Несанкционированное копирование носителей данных.

Т5.31. Несанкционированный просмотр поступающих по факсу сообщений.

Т5.38. Неправильные употребления отдаленного запроса.

Т5.39. Проникновение в информационную систему через системы связи.

Т5.40. Ненадлежащий контроль помещений, в которых установлены компьютеры, оборудованные микрофонами.

Т5.42. Враждебное использование методов социальной инженерии.

Т5.43. Макровирусы.

Т5.44. Злоупотребление доступом к отдаленным портам для получения чужих данных.

Т5.45. Подбор пароля в ОС Windows.

Т5.49. Злоупотребления с маршрутизацией данных.

Т5.50. Злоупотребления с протоколом ICMP.

Т5.51. Злоупотребления с протоколом маршрутизации.

Т5.52. Злоупотребления правами администратора в системах под Windows NT.

Т5.53. Неправильное использование защитных кабинетов.

Т5.54. Преднамеренные действия, приводящие к аварийному завершению.

Т5.55. Вход в обход системы аутентификации.

Т5.56. Ненадлежащий учет пользователей, имеющих свободный доступ к сетевым ресурсам.

Т5.57. Несанкционированный запуск сканеров сети.

Т5.61. Злоупотребления, связанные с удаленным управлением маршрутизатором.

Т5.62. Злоупотребления, связанные с удаленным управлением ресурсами информационной системы.

Т5.64. Манипуляции данными или программным обеспечением базы данных.

Т5.65. Отказ в обслуживании базы данных.

Т5.66. Неразрешенные подключения в ЛВС информационной системы.

Т5.67. Несанкционированное управление сетевыми ресурсами.

Т5.68. Несанкционированный доступ к активному сетевому оборудованию.

Т5.69. Риск воровства на домашнем рабочем месте.

Т5.70. Манипуляции, выполняемые родственниками или посетителями.

Т5.71. Несанкционированный доступ к конфиденциальной информации определенных категорий пользователей.

Т5.75. Перегрузка при получении письма по электронной почте.

Т5.76. Вредоносное ПО в почте.

Т, 5.77. Несанкционированное ознакомление с электронной почтой.

Т5.78. Атака DNS spoofing.

Т5.79. Несанкционированное приобретение прав администратора под Windows NT.

Т5.81. Неразрешенное использование криптомодулей.

Т5.82. Манипуляции криптомодулями.

Т5.83. Компрометация криптографических ключей.

Т5.84. Подделка удостоверений.

Т5.85. Потеря целостности информации, которая должна быть защищена.

Т5.86. Манипуляции параметрами управления.

Т5.87. Атака Web spoofing.

Т5.88. Неправильное использование активного контента.

Т5.89. Захват сетевых подключений.

Т5.90. Манипуляции списками рассылки и адресными книгами.

Т5.94. Неправильное употребление компонентов оборудования.

Данный этап состоит из следующих подэтапов:

1. Идентификация рисков

2. Оценивание рисков

3. Измерение рисков

4. Выбор допустимого уровня риска

5. Выбор контрмер и оценка их эффективности

В любой методике необходимо идентифицировать риски, как вариант - их составляющие (угрозы и уязвимости).

При оценивании рисков рекомендуется рассматривать следующие аспекты:

-шкалы и критерии, по которым можно измерять риски;

-оценку вероятностей событий;

-технологии измерения рисков.

«Методика оценки рисков нарушения информационной безопасности» приведена в таблице 1.

Таблица 1- Рекомендуемая шкала соответствия СВР угроз ИБ (РС БР ИББС-2.2-2009)

Модель оценки риска с тремя факторами: угроза, уязвимость, цена потери. В этих методиках под понятиями «угроза» и «уязвимость» понимается следующее.

Угроза - совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации.

Уязвимость - слабость в системе защиты, которая делает возможным реализацию угрозы.

Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей:

Pпроисшествия = Ругрозы ? Руязвимости

Соответственно, риск рассчитывается следующим образом:

РИСК = Ругрозы х Руязвимости ? ЦЕНА ПОТЕРИ

Существует два подхода к выбору допустимого уровня рисков.

Первый подход типичен для базового уровня безопасности. Уровень остаточных рисков не принимается во внимание. Затраты на программно-технические средства защиты и организационные мероприятия, необходимые для соответствия информационной системы спецификациям базового уровня (антивирусное ПО, МЭ, системы резервного копирования, системы контроля доступа), являются обязательными, их целесообразность не обсуждается. Дополнительные затраты (если такой вопрос будет поставлен по результатам проведения аудита ИБ либо по инициативе службы безопасности) должны находиться в разумных пределах и не превышать 5-15% средств, которые тратятся на поддержание работы информационной системы.

Второй подход применяется при обеспечении повышенного уровня безопасности. Собственник информационных ресурсов должен сам выбирать допустимый уровень остаточных рисков и нести ответственность за свой выбор. В зависимости от уровня зрелости организации и характера основной деятельности обоснование выбора допустимого уровня риска может проводиться разными способами. Наиболее распространенным является анализ по критерию «стоимость-эффективность» различных вариантов защиты.

Приведем примеры постановки задач:

1) стоимость подсистемы безопасности должна составлять не более 20% от стоимости информационной системы. Найти вариант контрмер, максимально снижающих уровень интегральных рисков.

2) риски по всем классам не должны превышать очень низкий уровень. Найти вариант контрмер с минимальной стоимостью.

Если ставятся оптимизационные задачи, важно правильно выбрать комплекс контрмер (перечислить возможные варианты) и оценить его эффективность.

Заключительным этапом оценки рисков является выбор контрмер и оценка остаточного риска.

2.3 Порядок выбора средств защиты

1. объем обрабатываемых данных;

2. характеристики безопасности ПДн;

3. структуре ИС;

4. наличии подключений ИС к сетям связи общего пользования и/или сетям международного информационного обмена;

5. режиме управления правами доступа пользователей ИС;

Выбор средств защиты основывается на следующих их функциональных качествах:

ь вход в автоматизированную систему пользователей только при предъявлении ими специального идентификатора;

ь избирательное разграничение доступа пользователей к защищаемым ресурсам;

ь разграничение доступа пользователей к информации различных уровней конфиденциальности в соответствии с имеющимися у них допусками;

ь возможность изменения наименований меток конфиденциальности;

ь управление запуском и поддержка мандатного принципа контроля доступа для приложений;

ь управление и настройка механизмов защиты как локально, так и удаленно;

ь упрощенная схема настройки программных средств для работы с защищаемыми ресурсами;

ь регистрация событий безопасности, ведение дополнительных журналов аудита;

ь создание замкнутой программной среды пользователя, позволяющей ему запуск только разрешенных приложений;

ь контроль целостности защищаемых ресурсов, обеспечивающий защиту от несанкционированного внесения изменений в программную среду автоматизированной системы;

ь гарантированная очистка содержимого защищаемых файлов на локальных жестких дисках после их удаления;

ь создание и удаление пользователей, удаление и добавление их в групп;

ь наличие средств тестирования работоспособности СЗИ.

Средства защиты отвечают многоуровневой сетевой структуре:

ь связь между сервером и рабочими станциями операторов

ь связь между контроллерами и терминалом

ь связь между контроллерами и считывателями

ь связь извещателей и цепей управления

Механизмы защиты проверяются по порядкам:

ь выполнения идентификации и аутентификации с гарантированной защитой от НСД;

ь контроля целостность программно-аппаратной среды;

ь контроля чтение данных;

ь контроля доступа ко всем объектам файловой системы;

ь контроля запуска задач;

ь поддержки изолированной среды;

ь безопасности в применении и эксплуатации на отсутствие случайного ввода команд

2.4 Порядок анализа организационной составляющей ИС

1. Анализ ресурсов ИС, включая информационные ресурсы, программные и технические средства, а также людские ресурсы.

2. Анализ групп задач, решаемых системой, и бизнес процессов.

3. Анализ модели ресурсов ИС, определяющей взаимосвязи между информационными, программными, техническими и людскими ресурсами, их взаимное расположение и способы взаимодействия.

4. Оценка критичности информационных ресурсов.

5. Анализ наиболее вероятных угроз безопасности в отношении ресурсов ИС и уязвимостей защиты, делающих возможным осуществление этих угроз.

6. Оценка вероятности осуществления угроз, величины уязвимостей и ущерба, наносимого организации в случае успешного осуществления угроз.

7. Анализ наличия, полноты и актуальности организационно-регламентных и нормативно-технических документов;

8. Разделение зон ответственности ролей персонала по обеспечению информационной безопасности и его корректность;

9. Наличие документированных списков, описывающих полномочия сотрудников по доступу к сетевым устройствам и серверам;

10. Наличие планов по поддержке квалификации персонала, ответственного за обеспечение информационной безопасности;

11. Анализ осведомленности пользователей и персонала, поддерживающего функционирование ИС, о требованиях по обеспечению информационной безопасности;

12. Анализ корректности процедур управления изменениями и установления обновлений;

13. Порядок предоставления доступа к внутренним ресурсам информационных систем.

14. Оценка текущего уровня защищенности информационной системы:

15. Описание и оценка текущего уровня защищенности информационной системы;

16. Анализ конфигурации конфигурационной информации, найденные уязвимости;

17. Анализ рисков, связанных с возможностью осуществления внутренних и внешних угроз в отношении ресурсов информационной системы.

Анализ рисков проводится для оценки реальных угроз нарушения информационной безопасности и разработки рекомендаций, выполнение которых позволит минимизировать эти угрозы.

Исходной информацией для анализа рисков является согласованный с заказчиком отчет о проведенном обследовании. Анализ рисков дает возможность:

* адекватно оценить существующие угрозы;

* идентифицировать критичные ресурсы ИС;

* выработать адекватные требования по защите информации;

* сформировать перечень наиболее опасных уязвимых мест, угроз и потенциальных злоумышленников;

* получить определенный уровень гарантий, основанный на объективном экспертном заключении.

При анализе рисков осуществляется:

* классификация информационных ресурсов;

* анализ уязвимостей;

* составление модели потенциального злоумышленника;

* оценка рисков нарушения информационной безопасности.

В процессе анализа рисков проводится оценка критичности идентифицированных уязвимых мест и возможности их использования потенциальным злоумышленником для осуществления несанкционированных действий.

2.5 Порядок подготовки отчетных документов

Общая структура отчета:

* Оценка текущего уровня защищенности информационной системы;

* Описание и оценка текущего уровня защищенности информационной системы;

* Анализ конфигурации конфигурационной информации, найденные уязвимости;

* Анализ рисков, связанных с возможностью осуществления внутренних и внешних угроз в отношении ресурсов информационной системы.

Рекомендации по технической составляющей ИБ:

* по изменению конфигурации существующих сетевых устройств и серверов; * по изменению конфигурации существующих средств защиты;

* по активации дополнительных штатных механизмов безопасности на уровне системного программного обеспечения;

* по использованию дополнительных средств защиты; Рекомендации по организационной составляющей ИБ:* по разработке политики информационной безопасности;

* по организации службы ИБ;

* по разработке организационно-распорядительных и нормативно-технических документов;

* по пересмотру ролевых функций персонала и зон ответственности;

* по разработке программы осведомленности сотрудников в части информационной безопасности;

* по поддержке и повышению квалификации персонала.

Деятельность любого предприятия, начало нового бизнеса неразрывно связаны с понятием «риск». Под риском понимается потенциальная возможность потери. Понятием риска характеризуется неопределенность, связанная с возможностью возникновения в ходе реализации проекта неблагоприятных ситуаций и последствий.

Несмотря на то, что риск несет в себе возможные потери, он также выполняет различные функции:

Инновационная функция проявляется в стимулировании поиска нетрадиционных решений проблем, стоящих перед предпринимателем;

- Защитная функция риска проявляется в том, что предприниматель старается заранее защитить от риска;

- Аналитическая функция риска связана с тем, что наличие риска предполагает необходимость выбора одного из возможных вариантов решений. В связи с этим предприниматель в процессе принятия решения анализирует все возможные альтернативы, выбирая наиболее рентабельные и наименее рисковые.

Сложность классификации рисков заключается в их многообразии. Существуют определенные виды рисков, действию которых подвержены все без исключения организации. Наряду с общими рисками, есть специфические виды риска, характерные для определенных видов деятельности

Выделим некоторые классификации рисков:

По сфере возникновения риски можно подразделить на внешние и внутренние риски.

Внешние риски - риски, возникающие во внешней среде организации. Предприниматель не может оказывать на них влияние, он может только предвидеть и учитывать их в своей деятельности.

Внутренние риски - риски, возникающие во внутриорганизационной среде. Источником внутренних рисков является сама организация. Эти риски возникают в случае неэффективного менеджмента, ошибочной маркетинговой политики

Среди внешних рисков выделяют:

- политические риски: связаны с политической обстановкой в стране и деятельностью органов государственной власти (революция, военные действия и др.);

- законодательные риски: изменение действующих норм с выходом новых законодательных и нормативных актов, например, ухудшающих положение компании (введение новых налогов, отмена налоговых льгот, повышение налоговых ставок и др.);

- природные риски: связаны с возможными стихийными бедствиями и загрязнением окружающей среды (наводнения, пожары, землетрясения и т. п.);

- региональные риски: обусловлены состоянием отдельных регионов, их законодательством и т. д.;

- отраслевые риски: зависят от тенденций развития отрасли;

- макроэкономические риски: обусловлены развитием экономических процессов в стране и в мире в целом. В свою очередь, макроэкономические риски включают инфляционные, валютные, процентные и структурные риски.

Внутренние риски подразделяются на три вида: