Повышение достоверности результатов проведения аудита информационной безопасности посредством методов инсайда

Портнов С.Н.
выпускник группы CISO-01
Школы IT менеджмента
РАНХиГС при Президенте РФ

В настоящее время аудит информационной безопасности является одним из преобладающих и активно развивающихся направлений менеджмента компании в области информационной безопасности. Его основная задача – получение независимой оценки состояния информационной безопасности (ИБ) компании, а также ее соответствие поставленным целям и задачам бизнеса с целью выработки оптимального направления развития системы обеспечения информационной безопасности с учетом специфики существующей модели управления компании и актуальных угроз информационной безопасности. На основе результатов квалифицированно выполненного аудита ИБ компания может разработать и внедрить наиболее соответствующую целям и задачам эффективную по затратам корпоративную систему обеспечения информационной безопасности (СОИБ).

Сейчас наблюдается повсеместное усиление зависимости успешности деятельности компании от внедрения новых информационных технологий. При совершенствовании и внедрении новых информационных технологий задача обеспечения информационной безопасности становится одной из ключевых. Комплексный аудит ИБ обеспечивает возможность проанализировать состояние информационной безопасности компании, проводить оценку и прогнозирование рисков, обеспечивать контроль их влияния на бизнес-процессы компании, обоснованно и в соответствии с требованиями подойти к проблеме обеспечения безопасности ее информационных активов, таких как:

• управленческая информация,
• планы развития,
• коммерческая тайна,
• персональные данные,
• и других видов.

Аудит информационной безопасности, выполненный специалистами, обладающими необходимой компетенцией как в области защиты информации и ИТ-технологий, так и в сфере деятельности компании, позволяет получить более полные результаты от вложения средств в создание, обновление и поддержание в рабочем состоянии СОИБ.

Проведение комплексного аудита информационной безопасности помогает образованию единого взгляда на проблемы информационной безопасности компании как среди специалистов по ИТ-технологиям, ИБ, риск-менеджмента, так и в руководстве компании.
В этой связи тема аудита информационной безопасности и повышение его достоверности, совершенствование методики проведения аудита информационной безопасности является актуальной.

Целью исследования является разработка рекомендаций по возможным направлениям развития существующих методик проведения аудита информационной безопасности в компании путем анализа уже разработанных методик и результатов их применения при проведении аудитов информационной безопасности, нормативной документации и теоретических изысканий по данному вопросу.

В процессе проведения исследования был проведен анализ и исследование российской и международной нормативно-методической базы по информационной безопасности. По результатам его можно сделать выводы о том, что большинство разработанных и применяемых стандартов отражают лишь требования к информационной безопасности корпоративных систем и не дают оценки для решения проблем достоверности получаемых данных при проведении аудита информационной безопасности.  

Проведенный анализ и исследование распространенных практических приемов при проведении аудитов информационной безопасности корпоративных систем позволил сделать следующие основные выводы:

• В качестве критериев оценки защищенности корпоративной системы используются или оценка и анализ рисков, или требования стандартов, при этом используемые инструментальные средства принимают во внимание не всех возможных нарушителей информационной безопасности и производят оценку на данный момент времени.
• Достоверность результатов аудита ИБ целиком и полностью зависят от аудитора и не существует четких  методик по улучшению достоверности по тем или иным критериям.
• Вопрос достоверности результата аудита информационной безопасности стоит достаточно остро. Был предложен метод повышения достоверности результата аудита информационной безопасности посредством внедрения инсайдера. В рамках предложенного метода были рассмотрены варианты внедрения инсайдера, их плюсы и минусы, а также правовые аспекты указанной деятельности.

Таким образом, в результате исследования были сформулированы возможные направления развития методик проведения аудита информационной безопасности, а предложенный метод повышения достоверности полученной при аудите информации позволяет с одной стороны увидеть реальную картину, происходящую на предприятии, а с другой стороны наблюдение и оценка проводится в течение некоторого промежутка времени, что также позволяет улучшить достоверность получаемых данных.