Разработка методики проведения аудита системы менеджмента информационной безопасности

Адрианов А.В.
Выпускник группы ITM-20
Школа IT-менеджмента
РАНХиГС при Президенте РФ

В настоящее время усиливается зависимость успешной деятельности компании от корпоративной системы защиты информации. Это объясняется увеличением объема жизненно важных данных, обрабатываемых в корпоративной информационной системе. Информационные системы усложняются, растет и число уязвимостей, обнаруживаемых в них.

Система менеджмента информационной безопасности обеспечивает эффективное управление обеспечением информационной безопасности: отсутствие неприемлемых рисков со стороны информационных систем для организации, и поддержание баланса между рисками и затратами на обеспечение информационной безопасности.

Аудит системы менеджмента информационной безопасности позволяет оценить текущее состояние безопасности функционирования корпоративной информационной системы, оценить и прогнозировать риски, управлять их влиянием на бизнес-процессы компании. 

В настоящий момент услуга аудита системы менеджмента информационной  системы предлагается многими отечественными и международными компаниями. В некоторых компаниях сформировалась следующая практика: все специалисты делятся на две группы: группу аудита и группу технических специалистов. В ходе проведения работ у клиента, группа аудита проверяет  соответствие системы менеджмента информационной безопасности стандарту ISO 27001, а технические специалисты, используя сетевые сканеры уязвимостей и специально подготовленные скрипты, ищут уязвимости в операционных системах, системах управления базами данных и настройках сетевого оборудования.  В результате отчет с рекомендациями состоит из двух отдельных частей – требований ISO 27001 и рекомендаций по устранению технических уязвимостей.

Страны Евросоюза и США давно занимаются решением проблемы управления рисками, связанными с информационной безопасностью. В России процесс создания законодательной базы по построению систем менеджмента информационной безопасности находится в начальной стадии развития. В настоящий момент в России адаптированы только два международных стандарта, а эффективные методики проведения аудита систем менеджмента информационной безопасности  в России отсутствуют.

Основными задачами дипломного проектирования являются:

• детальный анализ требований законов, нормативных правовых актов, регламентирующих проведение аудита системы менеджмента информационной безопасности;
• рассмотрение основных этапов создания системы менеджмента информационной безопасности на основании требований стандарта ISO 27001
• анализ процесса проведения аудита информационной безопасности;
• разработка методики проведения аудита системы менеджмента информационной безопасности;
• разработку опросного листа для определения соответствия систем менеджмента информационной безопасности требованиям стандарта ISO 27001 при проведении предварительного аудита организации.