АУДИТ КАК ОСНОВА УСПЕШНОЙ СТРАТЕГИИ

Для того, чтобы разобраться с такими определениями, как «информационная безопасность», «защита сетевого трафика», «доверительный доступ в Интернет», или прочими терминами в среде информационной безопасности, потребуется не один десяток времени. Вместе с тем, число технологий, продуктов и компаний-производителей с каждым годом растет, а одновременно обновляется и прогрессирует внутренняя инфраструктура компаний. Но при этом, в современном мире, для нас не является новизной тот факт, что стратегия безопасности должна быть реализована исчерпывающе всесторонне. Анализ потребностей клиентов организации является одной из важных звеньев на пути к успеху. Система безопасности должна быть настолько эффективной, что для обеспечения этой характеристикой необходим полноценный аудит информационных систем, который позволит определить что и как нужно защищать. Проведение такого аудита — гораздо более сложная задача.

Сейчас, практически у каждого предприятия имеются соответствующие компоненты системы безопасности, которые обеспечивают защиту только конкретно выделенных структурных единиц, без всяких гарантий на партнерство с другими компаниями и филиалами. Качественное управление системой безопасности приводит к максимальной надежности и эффективности информационной среды.

Разработка комплексной системы сопровождается множеством организационных вопросов, которую требует особого внимания. Что же из себя представляют организационные вопросы? Элементарным примером может служить нехватка средств или недостаточная квалификация персонала, которые играют немаловажную роль в судьбе организации. На сегодняшний день корпоративные сети отводят для пользователей большой комплекс услуг.

Бытует мнение, что главной причиной нарушений в сфере защиты информации являются хакерские проникновения в информационную среду. Однако, согласно статистике, финансовые потери обусловлены, прежде всего, нарушениями в сфере ИТ, чаще всего по нештатным ситуациям, которым следует уделить особое внимание.

Исходя из всего, для снижения рисков несанкционированного изменения или утери информации, требуется четко выявить все возможные угрозы, и определить причины и вероятности их возникновения, а также выделить объекты защиты и инвентаризовать результаты нарушений. Таким образом, эффективнее создать таблицу системы приоритетов защиты информации, с целью наглядного контроля и избежания организационных погрешностей, что позволит выработать продуктивный механизм регуляции деятельности и обеспечит безопасность информации с технической и организационной стороны.

Когда мы говорим о безопасности, под аудитом понимается наличие работающей системы, которая требует дальнейшего улучшения по мере усмотрения организации. В конечном итоге аудит должен привести к приближению системы к нуждам организации и пользователей, в частности. То есть в целом он интегрирует комплекс существующих программно-аппаратных средств в новое решение.

Процесс аудита состоит из двух основных стадий:

На первой проводится планирование и оценка аналогии системы предъявляемым требованиям и стандартам, во второй — формулируются рекомендации и предложения, в том числе по поводу мер для увеличения надежности информации в рамках конкретной системы. Рассматривая более подробно стадии аудита, можно выделить такие базовые этапы, как планирование, анализ, разработку и контроль.

На этапе планирования устанавливаются цели, проводится анализ задач, определяются критерии оценки результатов проверки, а также происходит первоначальный сбор данных.

Анализ включает проверку, отбор, сортировку и непосредственный анализ данных, полученных на первом этапе, для последующего представления результатов в формализованном виде. Проводится также определение и ранжирование проблем, выявленных в ходе исследования.

На этапе разработки обеспечивается применение ряда методик, которые позволяют определить пути решения найденных проблем, оптимизировать данные решения и выдать практические рекомендации по совершенствованию системы информационной безопасности.

И наконец, контроль предполагает оперативное управление изменениями, с внесением необходимых корректировок. Кроме того, определение задач и сроков проведения следующего аудита с целью поддержания требуемого уровня безопасности, также входит в ряд операций данного этапа.

После выполнения этих процедур результаты должны быть точными и полными, без малейшей доли погрешностей. Вместе с тем, немаловажно, чтобы аудит носил комплексный характер.

Соответственно, анализ текущего состояния и последующая выработка рекомендаций должны учитывать следующие аспекты:

• особенности организационной структуры и деятельности организации;
• особенности действующей политики безопасности;
• соответствие системы стандартам, законам и другим нормативным актам;
• требования, предъявляемые к системе безопасности;
• возможные нештатные ситуации;
• возможные риски.

В процедуру аудита должны быть привлечены высококвалифицированные специалисты, разбирающиеся как в вопросах применения информационных технологий и обеспечения безопасности, так и в проблемах управления организацией.

Исходя из интенсивности развития организации и ее информационной системы частота проведения аудита может меняться в течении каждого года. Периодичность при этом задается многими факторами, но все они в итоге сводятся к степени критичности хранимой информации и рискам, основанном на несанкционированном доступе к ней. Разумеется, вопрос финансирования особую роль в процедуре принятии решений в сфере аудита. Затраты на аудит системы безопасности не должны превосходить стоимость охраняемых информационных ресурсов.

Оптимальная схема проведения аудита может предусматривать цикличность и обеспечивать необходимый уровень безопасности информации. Эффект от разнородных мероприятий, включенных в проверку ИС, иногда достигает максимума в разные промежутки времени, в зависимости от инертности совершенствуемого объекта. Следовательно, высокая мобильность и простота управления объектом при активном изменении информационной структуры, синхронизируются со скоростью возобновления данных аудита.

Таким образом, процедура полного исследования информационной системы должна стать неотделимой частью последовательной политики в области информационной безопасности на предприятиях и в организациях. Организации, которые являются лидерами в различных отраслях на мировом рынке, уже поняли необходимость проведения аудита. По прогнозам аналитиков, в следующие годы интерес зарубежных компаний к данной услуге возрастет более чем в 3 раза по сравнению с 1997 годами. Это дает право нам говорить о том, что мировой рынок консалтинговых услуг в сфере защиты информации будет интенсивно развиваться. В России спрос на услуги аудита пока невелик, и находится только на стадии своего развития, но и здесь большинство крупных отечественных предприятий и учреждений уже достигли той фазы, когда управление информационной средой становится одной из стратегически важных задач. Это значит, что вопросы аудита систем информационной безопасности в будущем, также не останутся без внимания, и только будут расти, а это, в свою очередь, вскоре обеспечит российским системным интеграторам поле деятельности.

Список литературы:

1. Аудит и аудиторская деятельность // GRANDARS - [электронный ресурс] – Режим доступа. – URL: http://www.grandars.ru/student/buhgalterskiy-uchet/audit.html (дата обращения 25.06.16).
2. Ау…Аудит! // IntelligentEnterprise - [электронный ресурс] – Режим доступа. – URL: http://www.iemag.ru/analitics/detail.php?ID=15895 (дата обращения 25.06.16).
3. Бурцев В.В. Внутренний аудит компании - [электронный ресурс] – Режим доступа. – URL: http://www.finman.ru/articles/2003/4/697.html (дата обращения 25.06.16).
4. Павел Рудаков. Прогноз финансовых рисков - [электронный ресурс] – Режим доступа. – URL: http://bre.ru/security/10073.html (дата обращения 25.06.16).