Московский экономический журнал 10/2019

image_pdfimage_print

ПОНЯТИЕ И СУЩНОСТЬ АУДИТА БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ

CONCEPT AND ESSENCE OF INFORMATION SYSTEMS SECURITY AUDIT

Двойнишников Н.Э., Пермский национальный исследовательский политехнический университет, г. Пермь, Россия, почта: rerfrerf00@gmail.com

Исламутдинова Д.Ф., кандидат сельскохозяйственных наук, доцент, Федеральное государственное бюджетное образовательное учреждение высшего образования «Югорский государственный университет», Институт цифровой экономики, г.Ханты-Мансийск, Россия

Dvoinishnikov N.E., Perm National Research Polytechnic University, Perm, Russia, master, post: rerfrerf00@gmail.com

Islamutdinova D.F., candidate of agricultural science; Associate Professor, Federal state-funded educational institution of higher education «Yugra state university», Institute of Digital Economics, Khanty-Mansiysk, Russia

Аннотация: Развитие информационных систем и технологий играет очень важную роль в жизненном цикле организации. А также, это предполагает существование таких проблем, как хакеры, вредоносные программы, вирусы, кибер-преступлений и т.д.

Цель данного исследования – охарактеризовать понятие и сущность аудита безопасности информационных систем.

Задачами исследования в работе автор ставит следующее: раскрыть понятия информационных систем и их механизмов, дать определения аудиту безопасности  и информационным системам в целом.

Проводить аудит безопасности информационных систем необходимо регулярно. К тому же в качестве основных препятствий на пути к успеху часто возникает такая проблема как нехватка специалистов и отсутствие хорошо подготовленных структур в этой области.

Summary: The development of information systems and technologies plays a very important role in the life cycle of the organization. And, it assumes the existence of problems such as hackers, malware, viruses, cyber crimes, etc.

The purpose of this study is to characterize the concept and essence of information systems security audit.

The objectives of the study in the author puts the following: to reveal the concept of information systems and their mechanisms, to define the security audit and information systems in General.

It is necessary to conduct security audits of information systems on a regular basis. In addition, the lack of specialists and the lack of well-trained structures in this field are often the main obstacles to success.

Ключевые слова: информационные технологии, ИТ-аудит, аудит информационных систем, аудит информационной безопасности, информационная безопасность.

Keywords: information technologies, it audit, information systems audit, information security audit, information security

Существует насущная необходимость разработки простой системы аудита информационной безопасности для поддержки стабильности и безопасности, с целью минимизации требований к специалистам [4].

Механизм аудита должен регистрировать всю деятельность системы, которую можно рассматривать как потенциально относящуюся к умышленным атакам.

Так как аудиторы изначально настраивают механизм аудита, путем выбора события в системе, которые надо зафиксировать, а также аудиторы выполняют анализ событий проверки. Этот механизм аудита должен быть защищен от использования его без разрешения высшей инстанции — руководства. При этом нужно контролировать доступ к настройке механизма аудита, предоставляя выполнять ее только аудиторам системы.

Аудит безопасности информационных систем — это независимый обзор и экспертиза системных записей, мероприятий и связанных с ними документов. Данные проверки призваны повысить уровень информационной безопасности, избежать ненадлежащих конструкций информационной безопасности, а также оптимизировать эффективность защитных мер и процессов безопасности.

Термин «структура безопасности» использовался в литературе по безопасности различными способами на протяжении многих лет, а в дальнейшем он стал использоваться в качестве агрегированного термина для различных документов, некоторых частей программного обеспечения и различных источников, которые дают рекомендации по темам, связанным с безопасностью информационных систем, в частности, в отношении планирования, управления или аудита общей практики информационной безопасности для данного учреждения.

По аудитом понимается анализ накопленной информации, выполняемый оперативно, на настоящий момент или периодически. Сбор и накопление информации о событиях, происходящих в информационной системе означает протоколированием. И у каждого сервиса есть свой набор возможных событий: внешние (вызванные действиями других сервисов), внутренние (вызванные действиями самого сервиса) и клиентские (вызванные действиями пользователей и администраторов).

В конечном счёте, можно выделять следующие события:

1. Вход в систему, он может быть успешным или нет;

2. Выход из системы;

3. Переход к удаленной системе;

4. Операции с файлами, которые включают в себя такие функции как открыть, закрыть, переименовать, удалить и т.д.;

5. Смена преимущественного права или иных атрибутов безопасности таких как режима доступа, уровня благонадежности пользователя и т. п.

При протоколировании события следует записывать необходимую информацию:

1. Дата и время события;

2. Уникальный идентификатор пользователя – инициатора действия;

3. Тип события;

4. Результат действия;

5. Источник запроса;

6. Имена затронутых объектов, например, открываемых или удаляемых файлов;

7. Описание изменений, внесенных в базы данных защиты, например, новая метка безопасности объекта.

Для терминов «протоколирования» и «аудита» характерна необходимая зависимость от других средств и технологий информационной безопасности. К тому же идентификация и аутентификация служат отправной точкой подотчетности пользователей, логическое управление доступом защищает конфиденциальность и целостность регистрационной информации [5]. Хотелось бы заметить, для защиты так же привлекаются и криптографические методы [6].

Одной из главных задач аудита является выявление подозрительной активности и предоставлять информацию для автоматического или ручного реагирования на нее [1].

Под подозрительной активностью понимается поведение пользователя или компонента информационной системы, являющееся злоумышленным, в соответствии с заранее определенной политикой безопасности организации, или нетипичным согласно принятым критериям.

При подозрениях аудитора или иного пользователя в совершении атаки на информационную систему есть техническая возможность регистрировать все его действия, вплоть до нажатия клавиши и передвижения мыши. При этом обеспечивается возможность не только расследования случаев нарушения режима безопасности, но и отката некорректных изменений [7].

Реконструкция последовательности событий позволяет выявить участи уязвимости в защите сервисов организации, найти виновника вторжения в систему, оценить масштабы причиненного ущерба и вернуться к нормальной и стабильной работе [8].

Безопасность – это нескончаемый процесс, который требует постоянного контроля. Кроме того, аудит безопасности является все еще неизведанной областью и требует простой структуры для руководства процессом.

Таким образом, необходимо провести исследование, за которым последует предложенная типовая рамочная основа, в которой излагается основная информация о задачах и обязанностях аудиторов в области безопасности с самого начала.

В ходе исследования нами было выявлено, что для достижения требуемых целей обеспечения безопасности информации и активов организации рекомендуется предпринять следующие действия.

1. Предварительный аудит по оценке.

На первом этапе процесса аудита, аудитор несет ответственность за оценку текущей технологической развитости компании. Данный этап используется для оценки текущего состояния компании и помогает определить необходимое время, стоимость и объем аудита. По оценке компании уровень зрелости, необходимо определить состояние минимальных требований безопасности:

1. Политика и стандарты безопасности;

2. Организационная безопасность;

3. Кадровая безопасность;

4. Управление связью и эксплуатацией;

5. Управление активами;

6. Физическая и экологическая безопасность;

7. Контроль доступа;

8. Разработка и обслуживание ИТ-систем;

9. Управление инцидентами в сфере ИТ-безопасности;

10. Послеаварийное восстановление и обеспечение бесперебойного функционирования систем;

11. Соответствие;

12. Управление рисками этой конкретной организации.

2. Планирование.

После правильной оценки уровня развитости организации, аудитор должен спланировать проверку на основе информации, найденной на первом этапе. Есть три основных преимущества планирования аудита:

  • Это помогает аудитору получить достаточные и надлежащие доказательства для данных обстоятельств.
  • Это помогает прогнозировать затраты на аудит на разумном уровне.
  • Это помогает назначить надлежащую рабочую силу и линию времени.
  • Это помогает избежать недоразумений с клиентами.

3. Определить эффективность аудита безопасности, его инструменты и методы.

Проверка процессов поддерживаются несколькими автоматизированными аудиторскими средствами и методами. Общая цель идентификации инструмента аудита это разработать эффективное реагирование на возможный риск. Можно определить, как любое использование технологии в эффективном реагирование на возможный риск помогает в завершение аудита.

 Это понятие включает в себя использование базового программного обеспечения для повышения производительности организации, такие как электронные таблицы, программы редактирования текста, традиционные приложения для обработки текстов, автоматизированные рабочие документы и более продвинутые пакеты программного обеспечения, которые могут использоваться аудитором для проведения проверок и достижения целей аудита.

4. Оценка угроз, уязвимости и рисков.

На данном этапе проверки аудитор отвечает за всестороннюю оценку угрозы, уязвимости информации и актива организации, а также принятие определенной конкретной меры, которая показывает позицию организации в отношении подверженности риску.

Управление рискам является одним из основных требований современных ИТ-систем; его можно определить, как процесс выявления риска, оценки риска и принятия мер по снижению риска до приемлемого уровня, где риск является чистым негативным воздействием использования уязвимости, учитывая, как вероятность, так и последствия возникновения [9].

5. Выявить технические задачи ревизии и проверок.

Выявление технических и нетехнических проверок задачи помогает назначить соответствующую экспертизу в конкретном случае. Выездная экспертиза это оценка деятельности организации и состояния ее имущества путем изучения защищаемых ИТ-активов и инфраструктуры на основании заключенных контрактов.

Технический аудит на месте исследования должны включать в себя выполнение сканирования с различными статическими инструментами аудита. Эти инструменты собирают огромное количество информации, основанной на их запрограммированной функциональности.

6. Определить существующие меры контроля и пробелы из необходимых элементов.

На данном этапе аудитор оценивает существующие элементы управления для каждого актива и проверок отставание от текущего состояния до максимально возможного обеспечения реализации этапа. Это раскрывает оставшиеся возможные действия по минимизации выявленного риска компании.

7. Обсуждение с руководителем организации и подготовка аудиторских отчетов.

После завершения аудиторской проверки результаты аудита и предложения по корректирующим действиям могут быть доведены до сведения ответственных заинтересованных сторон. Это обеспечивает лучшее понимание и поддержку рекомендаций ревизоров. Рекомендации также предоставляют проверяемой организации возможность улучшить свое предыдущее состояние.

8. Показать улучшения.

Это последний и самый важный этап аудита. Он рекомендует возможные улучшения или обновления контрольной деятельности организации и последующие меры, необходимые для проверки того, правильно ли реализованы эти улучшения.

Аудит – это систематическая независимая экспертиза информационных систем в непрерывном поиске соответствия. Поэтому она требует простой и применимой структуры для использования профессионалами. На основе исследования предлагаем применимую структуру для аудита безопасности информационных систем организаций, чтобы помочь управляющим, аудиторам и заинтересованным сторонам управлять процессом аудита безопасности от начала до конца.

В настоящее время, когда специалистов, обладающих соответствующим знаниями и опытом, к сожалению, недостаточно, важно найти подходы, которые минимизируют их усилия и при этом максимизируют результаты. Предложенная унифицированная структура помогает обеспечить эффективное управление полным процессом аудита безопасности.

СПИСОК ЛИТЕРАТУРЫ

1. Ахметшин Э.М. Применение современных стандартов, процедур, информационных технологий для повышения эффективности систем внутреннего контроля промышленных предприятий // Экономика и менеджмент систем управления. 2017. Т. 26. № 4. С. 4-10.

2. Байбакова И.Р., Майский Р.А. Особенности обеспечения информационной безопасности на различных стадиях жизненного цикла автоматизированных банковских систем // Современные информационные технологии. Теория и практика. Материалы III Всероссийской научно-практической конференции. Под редакцией Т.О. Петровой. 2017. С. 251-254.

3. Мухаметзянов И.З., Майский Р.А., Янтудин М.Н. Исследование потоковых данных на самоподобие и масштабную инвариантность // Техника машиностроения. 2016. № 4 (100). С. 5-7.

4. Павлова З.Х., Краснов А.Н., Балтин Р.Р., Майский Р.А. Повышение стабильности передачи данных в беспроводных информационно-измерительных системах // Проблемы сбора, подготовки и транспорта нефти и нефтепродуктов. 2018. № 1 (111). С. 97-104.

5. Попов К.Г., Майский Р. А. К вопросу об определении экономической эффективности обеспечения информационной безопасности предприятия в условиях инновационной экономики // Проблемы и тенденции развития инновационной экономики: международный опыт и российская практика: материалы IV Междунар. науч.-практ. конф.- Уфа: УГНТУ, 2016. С. 175-179.

6. Савельева Т.С., Майский Р.А. Проблемы безопасности интернета вещей и решения по обеспечению информационной защиты при использовании IoT устройств // Инновационное развитие. 2017. № 11 (16). С. 35-36.

7. Филиппова А.Г., Белозёров Е.С., Филиппов В.Н. Анализ особенностей проектирования информационных систем // Нефтегазовое дело. 2018. Т.10. № 3.С.125-129.

8. Хайретдинов Э.И., Майский Р.А. Защита информации на предприятии методами квантовой криптографии // Актуальные проблемы науки и техники-2017. 2017. С. 265-268.

9. Akhmetshin E., Ilyina I., Kulibanova V., Teor T. Special aspects of master data-based integrated management of region reputation in modern IT environment // Paper presented at the IOP Conference Series: Materials Science and Engineering. 2019. Т. 497. № 1.

LIST OF REFERENCES

1. Akhmetshin E.M. The use of modern standards, procedures, information technology to improve the efficiency of internal control systems of industrial enterprises // Economics and Management Systems Management. 2017. Vol. 26. No. 4. P. 4-10.

2. Baibakova I. R., Maisky R. A. Features of information security at different stages of the life cycle of automated banking systems / / Modern information technologies. Theory and practice. Materials of the III all-Russian scientific-practical conference. Edited by T. O. Petrova. 2017. S. 251-254.

3. Mukhametzyanov I. Z., May, R. A., Antolin M. N. The study of streaming data on self-similarity and scale invariance // Equipment of mechanical engineering. 2016.  No. 4 (100). S. 5-7.

4. Pavlova Z. H., Krasnov A. N., Baltin R. R., Maysky R. A. improving the stability of data transmission in wireless information and measurement systems / / Problems of collection, preparation and transport of oil and petroleum products. 2018.  No. 1 (111). S. 97-104.

5. Popov K. G., Maisky R. A. on the question of determining the economic efficiency of information security enterprises in an innovative economy / / Problems and trends of innovation economy: international experience and Russian practice: materials IV international. scientific.scient. Conf.- Ufa: USPTU, 2016. P. 175 to 179.

6. Savelyeva T. S., Maisky R. A. Internet of things security Problems and solutions for information security when using IoT devices / / Innovative development. 2017.  No. 11 (16). P. 35-36.

7. Filippova A. G., Belozerov E. S., Filippov V. N. Analysis of design features of information systems / / oil and Gas business. 2018. T. 10.  No. 3.Pp. 125-129.

8. Khayretdinov E. I., Maisky R. A. information Protection at the enterprise by methods of quantum cryptography // Actual problems of science and technology-2017. 2017. P. 265-268.

9. Akhmetshin E., Ilyina I., Kulibanova V., Teor T. Special aspects of master data-based integrated management of region reputation in modern IT environment // Paper presented at the IOP Conference Series: Materials Science and Engineering. 2019. Т. 497. № 1.