Аудит информационной безопасности предприятия-участника ВЭД

В этих документах содержатся:• принципы, которые необходимо соблюдать при проведения аудита;• этапы, по которым проводится аудит;• взаимоотношения аудиторов, которые возникают с представителями проверяемой организации;• формы документов для представления результатов аудита.Указанные документы в основном ориентированы на оценку финансовой отчетности и не содержат методов для проведения аудита ИБ, но в то же время их основные положения могут вполне быть взяты в качестве основы для проведения аудита ИБ. Требуется только корректировка разделов, которые будут использоваться при организации аудиторской деятельности по оценке соответствия необходимым требованиям в области ИБ.Руководящие указания по проведению внутренних и внешних аудитов систем менеджмента качества и/или экологического менеджмента, определяемые ГОСТ Р ИСО 19011, также могут быть использованы при разработке документов по проведению аудита ИБ. Только существующая модель проведения указанных аудитов должна быть адаптирована для аудита ИБ.В настоящее время, как в Российской Федерации, так и за рубежом отсутствует единый стандарт в области аудита информационной безопасности. Вместе с тем за рубежом используются самые различные как национальные, так и международные стандарты, используемые для проведения аудита ИБ. К таким документам в первую очередь можно отнести следующие:1) ISO/IEC 17799:2000 «Информационная технология — кодекс установившейся практики для менеджмента информационной безопасностью» (ISO/IEC 17799:2000 Information technology — Code of practice for information security management);2) BS 7799-2:2002 Information security management systems — Specification with guidance for use;3) BSI PD 3003:2002 «Are you ready for a BS 7799-2 audit?» (BSI PD 3003:2002 «Готовы ли Вы к аудиту по требованиям BS 7799-2?»);4) BSI PD 3004:2002 «Guide to the implementation and auditing of BS 7799 controls» (BSI PD 3004:2002 «Руководствопореализациииаудитусредствуправления BS 7799»);5) ISO/IEC «Целиуправлениядляинформационнойисмежныхтехнологий» (Control Objectives for Information and related Technology, CobiT).Положения стандартов ИСО/МЭК 17799, BS 77992:2002 и CobiT устанавливают определенные критерии для проведения аудиторской деятельности в отношении СИТ и организаций. Документ «Принципы аудита» стандарта CobiT и руководства серии BSI PD 3000, в том числе BSI PD 3003 и BSI PD 3004, BS 7799-2, в первую очередь, предназначены для проведения внутреннего аудита информационных систем. В то же время положения стандарта Великобритании BS 77992, совместно с рядом процедурных стандартов, такихкак ИСО/МЭК 17799, ИСО 19011, ИСО/МЭК 17025, формируют основу для сертификационного аудита ИБ организаций, результаты которого признаются международным сообществом.Учитывая выше сказанное, возникает необходимость разработки и введения в действие российских национальных стандартов аудита в области ИБ, основанных на признаваемых на международном уровне нормативных документах. При этом конечно должны учитываться особенности аудиторской деятельности в области ИБ в Российской Федерации.Основой для разработки как национальных стандартов аудита в области ИБ, так и ведомственных документов, регламентирующих проведение аудита ИБ в АПХ «Солнечные продукты»мог бы стать ГОСТ Р ИСО/МЭК 17799-2005 г. Информационная технология «Практические правила управления информационной безопасностью». Данный стандарт устанавливает рекомендации по управлению информационной безопасностью, ее планирования, реализацию или поддержку решений в области информационной безопасности в организации. Этот документ мог бы стать общей основой для разработки стандартов информационной безопасности и выбора основных мероприятий по обеспечению информационной безопасности в организациях.В этом документе достаточно подробно рассмотрены как организационные, так и технические методы защиты информации, даются полезные рекомендации по общей организации защиты информации, что является весьма ценным. В качестве источников угроз рассматривается не только антропогенный фактор, но и приводятся методы защиты от воздействий внешней среды, что создает предпосылки реализации комплексного подхода в обеспечении ИБ объектов АПХ «Солнечные продукты». Основным недостатком этого документа является отсутствие в нем научно-обоснованных методик оценки рисков и уровня безопасности защищаемого объекта информатизации. Но решение этого вопроса может быть выделено в отдельный методический документ, как приложение к основной методике проведения аудита ИБ на объектах АПХ «Солнечные продукты».2.3 Внедрение и использование современных технических (программных и аппаратных) средств обработки и защиты информацииНеобходимость защиты информации, содержащейся в информационных системах предприятия участника ВЭД, в частности АПХ «Солнечные продукты», устанавливает Федеральный Закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Данный закон обязывает владельца информации и оператора информационной системы обеспечить защиту информации от несанкционированного доступа, ликвидации, искажения, , предоставления, блокирования,копирования, распространения и иных незаконных действий путем принятия правовых, организационных и технически мер, направленных на соблюдение конфиденциальности информации ограниченного доступа и реализацию права на доступ к общедоступной информации.Одной из таких мер является внедрение и использование современных программных и аппаратных средств обработки и защиты информации на АПХ «Солнечные продукты». (Таблица 1)Таблица 1 Современные программные и аппаратные средства обработки и защиты информации на предприятии-участнике ВЭДНаименование средств защиты информацииСоставляющие средств защиты информацииТехнические средства защиты информацииДля защиты периметра информационной системы создаются:системы охранной и пожарной сигнализации;системы цифрового видео наблюдения;системы контроля и управления доступом (СКУД).Защита информации от ее утечки техническими каналами связи обеспечивается следующими средствами и мероприятиями:использованием экранированного кабеля и прокладка проводов и кабелей в экранированных конструкциях;установкой на линиях связи высокочастотных фильтров;построение экранированных помещений («капсул»);использование экранированного оборудования;установка активных систем зашумления;создание контролируемых зон.Аппаратные средства защиты информацииСпециальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности;Устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации;Схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных.Устройства для шифрования информации (криптографические методы).Системы бесперебойного питания:Источники бесперебойного питания;Резервирование нагрузкиГенераторы напряжения.Программные средства защиты информацииСредства защиты от несанкционированного доступа (НСД):Средства авторизации;Мандатное управление доступом;Избирательное управление доступом;Управление доступом на основе ролей;Журналирование (так же называется Аудит).Системы анализа и моделирования информационных потоков (CASE-системы).Системы мониторинга сетей:Системы обнаружения и предотвращения вторжений (IDS/IPS).Системы предотвращения утечек конфиденциальной информации (DLP-системы).Анализаторы протоколов.Антивирусные средства.Межсетевые экраны.Криптографические средства:Шифрование;Цифровая подпись.Системы резервного копирования.Системы аутентификации:Пароль;Ключ доступа (физический или электронный);Сертификат;БиометрияПродолжение таблицы 1Наименование средств защиты информацииСоставляющие средств защиты информацииАнтивирусные программы Детекторы позволяют обнаруживать файлы, заражённые одним из нескольких известных вирусов. Некоторые программы-детекторы также выполняют эвристический анализ файлов и системных областей дисков, что часто (но отнюдь не всегда) позволяет обнаруживать новые, не известные программе-детектору, вирусы. Фильтры - это резидентные программы, которые оповещают пользователя о всех попытках какой-либо программы записаться на диск, а уж тем более отформатировать его, а также о других подозрительных действиях. Программы-доктора или фаги не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. Ревизоры запоминают сведения о состоянии файлов и системных областей дисков, а при последующих запусках – сравнивают их состояние исходным. При выявлении несоответствий об этом сообщается пользователю. Сторожа или фильтры располагаются резидентно в оперативной памяти компьютера и проверяют на наличие вирусов запускаемые файлы и вставляемые USB-накопители. Программы-вакцины или иммунизаторы модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже заражённымиВажно отметить, что указанные в таблице 1современные технические средстваобработки и защиты информации, выбираемые для внедрения в информационной системе, должны блокировать или минимизировать одну или несколько угроз безопасности информации АПХ «Солнечные продукты».Систематическое использование вышеперечисленных способов средств современной защиты информации повышает надежность системы ИБ и предотвращает распространение конфиденциальной информации.ЗаключениеВ курсовой работе были рассмотрены понятие и цели аудита информационной безопасности предприятия участника ВЭД; выявлены основные задачи аудита информационной безопасности предприятия участника ВЭД; Определены этапы проведения аудита информационной безопасности предприятия участника ВЭД; Проведен анализ информационной безопасности аудита Предприятия участника ВЭД – АПХ «Солнечные продукты» и определены пути совершенствования информационной безопасности.Аудит информационной безопасности предприятия участника ВЭД представляет собой проверку соответствия организации и эффективности защиты информации установленным требованиям и/или нормам. В настоящее время в нашей стране имеется определенный опыт в области проведения аудита информационной безопасности. Однако методика оценки защищенности информации, принятая в Российской Федерации, основанная на базе документов, разработанных еще Гостехкомиссией России при Президенте Российской Федерации, в настоящее время ФСТЭК России, значительно отличается от технологий, применяемых сегодня в международной практике. Соответственно возникает необходимость интеграции принципов оценки защищенности информации с международными подходами в области обеспечения безопасности, а также выработки и принятия единой системы взглядов, которая определила бы перспективные направления в области проведения аудита информационной безопасности (ИБ) в Российской Федерации, включая разработку единой методики проведения аудита ИБ.Уже давно возникла необходимость разработки единой государственной политики в области создания и совершенствования методического и другого обеспечения аудита ИБ. По-прежнему у нас для проведения аудита ИБ используется программное и инструментальное обеспечение, разработанное за рубежом. На данный момент в стране в целом, и в том числе, в Министерстве внутренних дел Российской Федерации практически не осуществляется разработка нормативно-правового обеспечения для проведения аудита ИБ. Следовательно, необходимо формировать подходы по развитию отечественного инструментального обеспечения, а также разрабатывать свои программные и аппаратные средства для проведения аудита ИБ.Список использованных источниковФедеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" Редакция от 23.04.2018;Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ ред. От 27.07.2017Федеральный закон "О коммерческой тайне" от 29.07.2004 N 98-ФЗ ред. От 18.04.2018ISO/IES 27001 - международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссиейАверченков, В.И. Аудит информационной безопасности: учеб. пособие для вузов/ — Брянск: БГТУ, ред. 2015.Бедрань А., Согласованная методика аудита информационной безопасности, Финансовая газета, 2016, №78Глушков И. Е. Аудит на современном предприятии. – Москва – Новосибирск: «КНОРУС – ЭКОР», ред. 2015 г;Дoмбрoвкaя Л. A.1. , Яковлева Н. А. 2. , Стахно Р. Е. 3. Современные подходы к защите информации, методы, средства и инструменты защиты. 2016; Козьминых,С.И. «Аудит информационной безопасности» Журнал Вестник Московского университета МВД России, Экономика и экономические науки, ВАК 2016 с. 181-186Мартынов С.А., Создание системы безопасности бизнеса компании, «Безопасность бизнеса»,2015 №15Петренко С.А. Аудит информационной безопасности корпоративных систем Internet/Intranet"// Системы безопасности. - № 10-11(41). - 2016. - С. 85-87.Сердюк В.А. Аудит информационной безопасности – основа эффективной защиты предприятия // "BYTE/Россия", ред. 2016 №4(92), стр. 32-35 Фабричная А. С. «Основные этапы проведения аудита информационной безопасности» Общие и комплексные проблемы технических и прикладных наук и отраслей народного хозяйства, ВАК 2017 стр. 48-53Официальный сайт компании «Безопасные соединения ПОРТ 22»Официальный сайт холдинга «Солнечные продукты» http://solpro.ru/about/Рейтинг Forbes http://www.forbes.ru/rating/350675-200-krupneyshih-rossiyskih-kompaniy-2017#all_rating