XI Международная студенческая научная конференция Студенческий научный форум - 2019

В современном мире, когда информационные технологии развиваются очень стремительно, появляются не только новые возможности, но и растут риски утечки информации. Информация является одним из самых важных критических ресурсов и требует максимальной защиты. Необходимо адекватно оценивать уровень рисков как для всей информационной инфраструктуры в целом, так и для отдельных ее частей. Для этого необходимо регулярно проводить аудит информационной безопасности предприятия и поддерживать в актуальном состоянии Политику информационной безопасности. По статистике, проведенной компанией Gemalto, в 2016 году было скомпрометировано около 1,4 млрд. записей данных вследствие хакерских атак, из которых 59% ‒ это хищение персональных данных.

У термина «аудит» существует большое количество определений. Мы будем рассматривать его как способность успешного противостояния угрозам информационной безопасности, а также как независимую экспертизу (контроль) соответствия установленным нормам отдельных областей организации. Существует два вида аудита: внешний и внутренний. Внешний аудит подразумевает под собой разовое мероприятие. Внутренний аудит – это процесс, непрерывная деятельность, осуществляемая в соответствии с планом, утвержденным в организации. Аудит информационной безопасности организации является в настоящее время очень актуальным направлением [3]. На протяжении последних нескольких лет, как в зарубежных странах, так и в России, число информационных атак растет в геометрической прогрессии, и многие из них ведут к крупным потерям. Чтобы организация могла эффективно защититься от многих видов атак, необходимо реально оценить текущий уровень безопасности информационной системы.В этом случае анализ защищенности оценивается с точки зрения потенциального злоумышленника. Аудитор при помощи специализированного программного обеспечения собирает необходимую информацию, например, конфигурацию сетевого оборудования, настройку межсетевых экранов, одним словом все то, что поможет потенциальному хакеру получить доступ к сети предприятия и нанести ущерб.

Большой популярностью пользуются специализированные программные средства для анализа безопасности информационной инфраструктуры. Рассмотрим некоторые из таких продуктов.

1. Программа «КОНДОР+» российского производства представляет анкету из большого количества вопросов, в результате ответа на которые будет сформулирована оценка уровня рисков на основании ISO 17799. 12

2. XSpider производства российской компании «PositiveTechnologies» в результате сканирования позволяет получить достоверную картину защищенности, выполнить проверку на нестандартные DDoS-атаки, провести анализ парольной политики, выявить уязвимость серверов.

3. Программное обеспечение RiskWatch одноименного разработчика ориентировано на конкретные цифры от возможных угроз безопасности системы. Метод анализа рисков с помощью программы RiskWatch включает в себя четыре этапа:

- определение предмета анализа в общих чертах;

- подробное описание характеристик, возникающие угрозы и потери от них;

- расчет рисков и меры обеспечение информационной безопасности в соответствии с этими рисками;

- отчеты.

4. NetRecon – это сетевой сканер от компании Symantec, в его базе данных содержится большое число уязвимостей. NetRecon поможет найти уязвимости в сетевой среде, проанализировать уровень защищенности и устойчивость всех сетевых сервисов с помощью моделирования действий злоумышленника. В основе NetRecon лежит запатентованная технология UltraScan.

В соответствии с Законом «Об аудиторской деятельности» предметом аудиторской деятельности является выражение мнения о мере точности данных бухгалтерской отчетности и мере соответствия законодательству при ведении бухгалтерского учета. Следовательно, качество аудита есть тождественность мнения аудитора о достоверности бухгалтерской (финансовой) отчетности и меры ее фактических искажений. То есть, если аудитор дал заключение, что отчетность достоверна (недостоверна), и никто не доказал иного, значит, аудит проведен качественно. Иначе говоря, качество аудита можно определить, как степень необходимого и достаточного уровня доверия к мнению аудитора со стороны пользователей в отношении достоверности информации в финансовой (бухгалтерской) отчетности клиента. И здесь возникает весьма парадоксальная ситуация, при которой некоторые покупатели аудиторских услуг могут быть даже очень довольны недобросовестным аудитом. Проблема еще и в том, что аудиторы анализируют ту отчетность, которая им представлена, а она часто сфальсифицирована, и это не всегда можно выявить [1].

Очень часто в крупных организациях используется специализированное программное обеспечение, разработанное специально для решения конкретных задач. Так как такое программное обеспечение уникально в своем роде, то и стандартного средства защиты для него не существует, поэтому для оценки уровня защищенности необходимо провести специальное исследование данного программного обеспечения.

По итогам проведения процедуры аудита информационной безопасности организации формируется аудиторский отчет, он содержит в себе следующее[3]:

оценку состояния защищенности информационной инфраструктуры организации;

анализ рисков;

модель угроз и модель нарушителя;

рекомендации по минимизации рисков.

Целью проведения аудита информационной безопасности в компании является анализ соответствия используемых технологий обеспечения безопасности к допустимым уровням риска. Все проверки и оценки, связанные с защитой системы, проводятся ответственными сотрудниками и администратором безопасности.

В ходе проведения аудита могут быть выявлены ряд следующих недостатков в обеспечении безопасности информации [5]:

1. Отсутствие Политики информационной безопасности и документации, регламентирующей порядок обеспечения безопасности персональных данных.

2. Низкая осведомленность персонала в области защиты информации.

3. Ненадлежащая эксплуатация серверного оборудования.

4. Отсутствие источников бесперебойного питания.

5. Слабая парольная защита рабочих станций, а также несоблюдение правил использования паролей.

6. Отсутствие должного контроля за правами учетных записей сотрудников.

7. Отсутствие контроля над устанавливаемым и используемым сотрудниками программными обеспечениями.

8. Возможность сотрудников неконтролируемо распространять конфиденциальную информацию и персональные данные.

Политика информационной безопасности является основополагающим документом организационных мер защиты информации. Во многом успех мероприятий по защите информации зависит от эффективности Политики информационной безопасности. Политика описывает основные принципы обеспечения безопасности важных информационных ресурсов в Компании, регламентирует вопросы обеспечения конфиденциальности, целостности и доступности обрабатываемой информации в автоматизированной системе, описывает возможные действия над системой и ответственность пользователей, имеющих доступ к системе.

Также рекомендацией по обеспечению безопасности является применение базового набора мер, гарантирующих конфиденциальностьперсональных данных в соответствии с приказом № 21, утвержденным Федеральной службой по техническому и экспортному контролю РФ[2].

В ходе проведения аудита могут быть выявлены и классифицированы возможные угрозы информационной безопасности персональных данных в информационной системе персональных данных и потенциальные нарушители в соответствии с «Базовой моделью угроз безопасности персональных данных при их обработке в Информационной системе персональных данных», утвержденнойФедеральная служба по техническому и экспортному контролюРоссийской Федерации.

Таким образом, на основе полученных сведений в результате аудита информационной безопасности любая организация может разработать свою политику информационной безопасности, а также комплекс методических документов, регламентирующих порядок обеспечения безопасности в каждойинформационной системе персональных данных. Также аудит позволит оценить текущую безопасность функционированияинформационной системы компании, оценить и спрогнозировать риски, управлять их влиянием на бизнес-процессы организации, корректно и обоснованно подойти к вопросу обеспечения безопасности её информационных активов, стратегических планов развития, маркетинговых программ, финансовых и бухгалтерских ведомостей, содержимого корпоративных баз данных. В конечном счете, грамотно проведенный аудит безопасности информационной системы позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание системы безопасности организации.

Список используемых источников

1.О персональных данных[Электронный ресурс]: закон РФ от 27.07.2006 № 152 (ред. от 31.12.2017)// СПС Консультант Плюс. – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_61801/

2. Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных[Электронный ресурс]:приказ ФСТЭК РФ от 18.02.2013 N 21(ред. от 23.03.2017)// СПС Консультант Плюс. – Режим доступа:http://www.consultant.ru/document/cons_doc_LAW_146520/

3.Блинов, А.М. Информационная безопасность[Текст]: учеб. Пособие / А.М. Блинов. –Санкт Петербург, 2010. – 96 с.

4. Нестеров, С.А. Основы информационной безопасности[Текст]: учеб. Пособие / С.А. Нестеров. –Москва, 2017. – 324 с.

5. Карзаева,Н. Н.Основы экономической безопасности аудита компании[Текст]: учеб. Пособие / Н.Н. Нестеров. – Москва, 2017 – 279 с.

Код для цитирования: Скопировать