Подход к выбору метода внутреннего аудита информационной безопасности на предприятии
Разработка и обоснование эффективности подхода к выбору наиболее рационального метода проведения аудита информационной безопасности, учитывающего специфику и требования конкретного предприятия. Его автоматизация и представление в виде программы.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | статья |
| Язык | русский |
| Дата добавления | 10.01.2016 |
| Размер файла | 258,4 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Размещено на http://www.allbest.ru/
Подход к выбору метода внутреннего аудита информационной безопасности на предприятии
В настоящее время основу работы любого современного предприятия, вне зависимости от формы собственности, составляет информация, представленная как в электронном виде, так и на бумажных носителях. При этом информация может быть как открытого доступа, так и ограниченного, включая различные формы конфиденциальной информации (коммерческая тайна, персональные данные и т.п.) и государственной тайны. Поэтому в соответствии с ФЗ №149 [1] различные категории информации ограниченного доступа подлежат защите. Кроме того для каждого типа информации существуют свои классы защищенности и наборы минимальных средств и механизмов которые необходимо применять в рамках своего класса. А эффективность и соответствие применяемых средств и механизмов защиты возможно оценить только посредством регулярного контроля за состоянием информационной безопасности на предприятии. Данный контроль осуществляется в рамках аудита информационной безопасности на предприятии, который, в соответствии с [2] определяется как: "…периодический и документированный процесс получения свидетельств аудита и объективной их оценки с целью установления степени выполнения в организациях установленных требований по обеспечению информационной безопасности».
В практике проведения аудита информационной безопасности (ИБ) различают внешний и внутренний аудит. Внешний аудит, как правило, разовое мероприятие, проводимое по инициативе руководства предприятия. В качестве внешних аудиторов выступают организации, аккредитованные ФСТЭК России для проведения таких работ. Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется подразделениями службы безопасности и защиты информации предприятия или другим подразделением по указанию руководителя организации. При проведении аудита ИБ на предприятии необходимо учитывать тип предприятия, виды обрабатываемой информации, актуальные для предприятия угрозы, используемые средства защиты и требования регулирующих органов.
Анализ методов и средств проведения аудита ИБ на предприятии [3] позволил выделить следующие основные виды аудита: экспертный аудит безопасности; активный аудит; оценка соответствия рекомендациям международного стандарта ISO 17799, а также требованиям руководящих документов ФСТЭК; инструментальный анализ защищённости; комплексный аудит. Каждый из вышеперечисленных видов аудита может проводиться по отдельности или в комплексе в зависимости от тех задач, которые необходимо решить предприятию. В качестве объекта аудита может выступать как ИС предприятия в целом, так и её отдельные сегменты, в которых проводится обработка информации, подлежащей защите. Следовательно, актуальным является решение задачи выбора наиболее рационального для предприятия метода проведения внутреннего аудита ИБ.
Анализ показывает, что в общем случае аудит ИБ вне зависимости от формы его проведения состоит из четырёх основных последовательных этапов:
1. Разработка регламента проведения аудита.
2. Сбор исходных данных необходимых для проведения аудита ИБ.
3. Анализ полученных данных аудитором, в ручном режиме или с помощью специализированных инструментальных средств.
4. Разработка рекомендаций по повышению уровня защищеннности информации, обрабатываемой на предприятии.
На первом этапе аудита ИБ должен быть разработан и согласован регламент, который определяет состав и порядок проведения аудиторских работ. Основная задача регламента заключается в определении границ, в рамках которых будет проведено обследование состояния безопасности предприятия. Регламент должен быть тем документом, который позволяет избежать взаимных претензий по завершении аудита, поскольку чётко определяет обязанности сторон, что особенно важно при проведении внешнего аудита, когда предприятие выступает в качестве заказчика, а исполнителем является сторонняя организация.
На втором этапе аудита ИБ, на основании утвержденного и согласованного всеми сторонами регламента, осуществляется сбор исходной информации. Данные необходимые для аудита собираются несколькими способами, включая анкетирование и интервьюирование сотрудников предприятия, заполнение опросных листов, анализа политики безопасности и другой организационной и технической документации, мониторинга состояния различных компонентов и информационных процессов в ИС и т.п.
Третий этап работ по аудиту ИБ заключается в проведении анализа собранной информации с целью оценки текущего уровня защищённости ИС предприятия, с учетом типа обрабатываемой на предприятии информации и требований регуляторов.
На четвёртом этапе проводится разработка рекомендаций по повышению уровня защищённости ИС от актуальных для предприятия угроз ИБ.
Таким образом для того чтобы выбрать наиболее подходящий для конкретного предприятия метод проведения аудита, нужно решить следующие задачи:
1) выделить критерии оценки метода аудита, которые бы позволили отразить требования и специфику предприятия;
2) разработать и формализовать процедуру выбора рационального метода аудита, учитывающего специфику конкретного предприятия;
3) автоматизировать процедуру выбора метода аудита.
В рамках первой задачи авторами для оценки методов аудита и формирования требований предприятия предлагается использовать следующие качественно - количественные группы критериев, представленные в таблице 1.
аудит программа информационный безопасность
Таблица 1. Критерии оценки методов аудита
|
Название критерия |
Частные показатели критерия |
Численное значение |
|
|
Тип обрабатываемой информации (K1) |
- Информация открытого доступа (K11) - ДСП (K12) - Коммерческая тайна (K13) - Персональные данные (K14) - Государственная тайна (K15) |
0,1 0,15 0,2 0,2 0,35 |
|
|
Тип предприятия (K2) |
- Частное (K21) - Государственное (K22) |
0,4 0,6 |
|
|
Учет актуальных угроз (K3) |
- Учитывает (K31) - Не учитывает (K32) |
1 0 |
|
|
Вид проводимого аудита (K4) |
- Внутренний (K41) - Внешний (K42) |
0,5 0,5 |
|
|
Учет используемых средств и методов защиты (K5) |
- Учитывает (K51) - Не учитывает (K52) |
1 0 |
|
|
Периодический аудит (K6) |
- Да (K61) - Нет (K62) |
1 0 |
|
|
Аудит в режиме реального времени (K7) |
- Да (K71) - Нет (K72) |
1 0 |
Формализовано процедуру выбора методов проведения аудита ИБ на предприятии можно представить в виде следующего картежа:
PEA={MA, TO, KO} (1)
где МА - множество методов аудита; РЕА - процедура выбора; ТО - требования организации; КО - критерии оценки.
Множество критериев оценки (формула 2) состоит из множеств групп критериев, то есть
KO={Ki}, i=1..7 (2)
где Ki - это количество групп критериев, Ki [0,1], где «1» - критерий выполняется, «0» - критерий не выполняется.
Чтобы выбрать наиболее рациональный метод аудита ИБ необходимо построить матрицу отношений между критериями оценки и методами аудита, представленную в виде таблицы 2
Таблица 2. Матрица отношений
|
V |
MA1 |
MA2 |
… |
MA5 |
|
|
K1 |
V11 |
V12 |
… |
V15 |
|
|
… |
… |
… |
… |
… |
|
|
K7 |
V71 |
V72 |
… |
V75 |
где V11, …, V57 - экспертная оценка выполнения критерия для каждого метода аудита.
На основании требований организации составляется эталонный вектор предпочтений (формула 3)
TOP={TOi}, i=1..7. (3)
Наиболее рациональный метод аудита выбирается на основании сопоставления эталонного вектора предпочтений TOP с векторами оценки методов аудита MAj, сформированных на основании матрицы отношений. Вектор метода аудита, вектор оценки которого имеет наименьшее отклонение от эталонного вектора предпочтений, считается наиболее рациональным для данного предприятия (формула 4).
в качестве метрики оценки близости векторов используется Евклидовое расстояние (формула 5)
(5)
Таким образом, процедура выбора метода аудита выглядит следующим образом:
1. Определение требований организации к методу аудита;
2. Формирование вектора предпочтений предприятия на основании множества требований;
3. Выставление экспертных оценок для каждого метода по всем частным критериям из каждой группы;
4. Формирование матрицы оценки;
5. Расчет близости между векторами оценок каждого метода аудита и вектором предпочтений;
6. Выбор метода аудита c наименьшим отклонением от вектора предпочтений.
Данная процедура для удобства работы и возможно применения ее на практике была автоматизирована в виде программы с графическим пользовательским интерфейсом, архитектура представлена на рисунке 1.
Рисунок 1. Архитектура программы выбора методов аудита
Пользовательский интерфейс, в соответствии с разработанной архитектурой, имеет следующую форму (рисунок 2):
1) Надстройку для формирования требований организации.
2) Надстройку для формирования матрицы отношений на основе экспертных оценок.
3) Вывод выбранного метода аудита.
Рисунок 2. Пользовательский интерфейс
Разработанная программа позволяет автоматизировать процедуру выбора наиболее рационального метода аудита ИБ для предприятия, выполняет следующие функции:
1. Формирование списка требований организации к методу аудита;
2. Расчет эталонного вектора предпочтений к методам аудита;
3. Выставление экспертных оценок по показателям для каждого из пяти доступных методов аудита: экспертного, активного, оценки соответствия с рекомендациями, инструментального анализа защищённости АС и комплексного аудитов;
4. Формирование векторов оценок для каждого из векторов методов аудита;
5. Сопоставление эталонного вектора с вектором оценок каждого из методов аудита, построение гистограммы отклонений;
6. Нахождение вектора оценки метода аудита с минимальным отклонением;
7. Нахождение наиболее подходящего для данной организации метода аудита на основе анализа отклонения.
Может использоваться в рамках учебного процесса при подготовки студентов в области информационной безопасности в рамках лабораторного практикума и на практике предприятием с целью выбора метода внутреннего аудита ИБ.
Библиографический список
1. ФЗ РФ «Об информации, информационных технологиях и о защите информации» от 27.07.2006 г. №149-ФЗ [Электронный ресурс]/ Консультант Плюс - Режим доступа:
http://www.consultant.ru/document/cons_doc_LAW_165971/ (дата обращения 15.12.2014)
2. Макаренко И.С. Информационная безопасность: учеб. пособие. С. [Текст]: СФ МГГУ им. М.А. Шолохова, 2009. - 368 с. (стр. 62-109)
3. Виды аудита информационной безопасности [Электронный ресурс] / ISO27000.ru
Размещено на Allbest.ru
...Подобные документы
Стратегия информационной безопасности предприятия в виде системы эффективных политик, которые определяли бы эффективный и достаточный набор требований безопасности. Выявление угроз информационной безопасности. Внутренний контроль и управление рисками.
курсовая работа [351,0 K], добавлен 14.06.2015Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.
курсовая работа [28,2 K], добавлен 17.05.2016Структурная и пространственная модели банка. Условные цены единицы информации. Моделирование угроз безопасности. Система рангов наиболее опасных технических каналов утечки информации. Требования к организации информационной безопасности на предприятии.
контрольная работа [48,6 K], добавлен 24.04.2014Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
реферат [30,0 K], добавлен 15.11.2011Анализ инфраструктуры ООО магазин "Стиль". Создание системы информационной безопасности отдела бухгалтерии предприятия на основе ее предпроектного обследования. Разработка концепции, политики информационной безопасности и выбор решений по ее обеспечению.
курсовая работа [2,2 M], добавлен 17.09.2010Общие сведения о деятельности предприятия. Объекты информационной безопасности на предприятии. Меры и средства защиты информации. Копирование данных на сменный носитель. Установка внутреннего Backup-сервера. Эффективность совершенствования системы ИБ.
контрольная работа [34,1 K], добавлен 29.08.2013Сущность и основное предназначение Доктрины информационной безопасности Российской Федерации (РФ). Виды и источники угроз информационной безопасности РФ. Основные положения государственной политики обеспечения информационной безопасности России.
статья [15,9 K], добавлен 24.09.2010Критерии определения безопасности компьютерных систем и механизмы их реализации. Содержание международного стандарта управления информационной безопасностью ISO 17799. Критерии оценки защищенности информационных систем и практика прохождения аудита.
реферат [336,8 K], добавлен 03.11.2010Постоянный рост темпов развития и распространения информационных технологий. Концепции информационной безопасности. Объектами защиты на предприятии. Структура, состав и принципы обеспечения информационной безопасности. Постоянный визуальный мониторинг.
реферат [78,4 K], добавлен 23.07.2013Сущность информации, ее классификации и виды. Анализ информационной безопасности в эпоху постиндустриального общества. Исследование проблем и угроз обеспечения информационной безопасности современного предприятия. Задачи обеспечения защиты от вирусов.
курсовая работа [269,0 K], добавлен 24.04.2015Программа проведения обследования предприятия. Технические и программные средства ЭИВТ предприятия. Организация доступа к мировым информационным сетям. Обеспечение информационной безопасности. Создание программы установки информационной подсистемы "Post".
дипломная работа [6,5 M], добавлен 24.06.2011Создание Windows-приложения для проведения обучения и тестирования студентов по информационной безопасности. Алгоритм решения задачи, блок-схема работы программы, выбор языка программирования Delphi. Охрана труда программиста, обязанности пользователя.
дипломная работа [4,8 M], добавлен 04.06.2013Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.
дипломная работа [4,5 M], добавлен 19.12.2012Характеристика информационных ресурсов агрохолдинга "Ашатли". Угрозы информационной безопасности, характерные для предприятия. Меры, методы и средства защиты информации. Анализ недостатков существующей и преимущества обновленной системы безопасности.
курсовая работа [30,4 K], добавлен 03.02.2011Категории действий, способных нанести вред информационной безопасности, методы её обеспечения. Сфера деятельности фирмы и анализ финансовых показателей. Система информационной безопасности фирмы и разработка комплекса мероприятий по её модернизации.
дипломная работа [1,1 M], добавлен 15.09.2012Структурная схема ЛВС. Информационные ресурсы (классификация объектов). Пользователи ИС (классификация субъектов). Класс безопасности. Управление рисками. Экономический аспект. Процедуры информационной безопасности. Поддержка работоспособности системы.
курсовая работа [1,3 M], добавлен 28.11.2008Классы информационных объектов, а также производственные системы и процессы на предприятии, подлежащих защите. Предполагаемые угрозы и нарушители информационной безопасности, внешние и внутренние. Защита от несанкционированного доступа в организации.
курсовая работа [36,0 K], добавлен 14.02.2016Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.
дипломная работа [2,6 M], добавлен 17.11.2012Цель, критерии и ограничения создания автоматизированной системы. Разработка элементов информационного обеспечения информационной системы общежития. Рекомендации по выбору комплекса технических средств для автоматизации задачи учета реализации товара.
курсовая работа [920,8 K], добавлен 11.11.2022Обеспечение информационной безопасности в современной России. Анализ методов защиты информации от случайного или преднамеренного вмешательства, наносящего ущерб ее владельцам или пользователям. Изучение правового обеспечения информационной безопасности.
контрольная работа [27,8 K], добавлен 26.02.2016
