УДК 004.056  Cовременные информационные технологии. Информационная безопасность.

Андреев А. С.

Киевский национальный университет технологий и дизайна, Украина

 Система аудита безопасности информационных ресурсов в специализированных компьютерных системах

Специализированная компьютерная система (СКС) предназначена  для выполнения ограниченного количества функций, например банкоматы, платежные терминалы [3]. Для современных СКС актуальны вопросы информационной безопасности, а именно обеспечение защиты от несанкционированного доступа. Для обеспечения необходимого уровня защиты информационных ресурсов (ИР) возникает необходимость в проведении аудита безопасности.

Целью работы является разработка системы проведения аудита ИР СКС, что позволит повысить уровень защищенности СКС, снизить риски ИБ и подготовить рекомендации  по повышению уровня защищенности ИР СКС.

Основными задачами проведения аудита являются исследование объекта защиты, анализ угроз и уязвимостей ИР СКС, оценка средств защиты и рисков ИР СКС, формирование аудиторского отчета, разработка рекомендаций по повышению уровня защищенности ИР СКС.

Аудит ИР позволяет получить полную и объективную оценку защищенности СКС, локализировать угрозы и разработать эффективную стратегию построения системы обеспечения безопасности ИР СКС. Система аудита ИР представляет собой экспертную оценку текущего состояния защищенности ИР СКС, устанавливает уровень ее соответствия определенным критериям, и предоставляет результаты в виде рекомендаций [1].

Проведение аудита безопасности ИР включает  этапы (Рис.1).

1.     Инициирование процедуры аудита. Аудит проводится по инициативе заинтересованной стороны. На этом этапе определяются границы проведения аудита.

2.     Сбор информации для проведения аудита. Самый трудоемкий этап на котором необходимо получить информацию об организационной структуре пользователей СКС и обслуживающих подразделений, а также технической документации программного обеспечения и технических характеристик объекта защиты.

3.     Анализ данных аудита. На этом этапе проводят  анализ угроз, уязвимостей, оценку средств защиты,  рисков.

4.     Разработка рекомендаций. Разрабатываются  организационные меры по обеспечения безопасности, что включает в себя также разработку предложения по развитию программно-технических средств обеспечения безопасности.

5.     Подготовка аудиторского отчета. Итогом аудиторской проверки является аудиторский отчет, который содержит:

1)    Описание целей аудита.

2)    Характеристика объекта обследования.

3)    Границы проведения аудита.

4)    Результаты анализ данных аудита.

5)    Оценка уровня защищенности СКС.

6)    Рекомендации по повышению уровня защищенности ИР СКС.

На основании результатов, полученных в ходе обследования ИР СКС, анализе угроз, уязвимостей и рисков разрабатываются рекомендации по усовершенствованию защиты информации до необходимого уровня.

После завершения аудита формируется итоговый отчет, содержащий оценку текущего уровня безопасности ИР, информацию об обнаруженных проблемах, анализ соответствующих рисков и рекомендации по их устранению. На основании результатов, полученных в ходе исследования ИР СКС, анализе угроз, уязвимостей и рисков разрабатываются рекомендации по усовершенствованию защиты информации до необходимого уровня[2].

 

 

 

 

 

 

 

 

 

 

 

 

Рис.1 - Этапы проведения аудита безопасности СКС

 

Таким образом, для построения системы аудита ИР СКС необходимо провести этапы инициирования процедуры аудита заинтересованной стороной, с определение границ проведения аудита; сбор  информации  об объекте аудита; провести анализ данных, который включает в себя анализ угроз и уязвимостей, а также провести оценку средств защиты и оценку рисков; разработать рекомендации для организационных мер обеспечения безопасности и рекомендации по развитию программно-технических средств обеспечения безопасности. Последним этапом является подготовка аудиторского отчета, который содержит оценку и рекомендации по повышению уровня защищенности ИР СКС. Предложенный подход построения системы аудита  позволяет повысить уровень защищенности СКС.

Литература:

1.     А. П. Курило. Аудит информационной безопасности. - БДЦ- пресс. 2006. - 304 с.

2.     www.iso27000.ru . А. Астахов. - Аудит безопасности информационных систем. - CISA. 2002.

3.     www.display-expo.ru. - Встроенная система - специализированная компьютерная система или вычислительное устройство.