РАЗРАБОТКА ПРОГРАММЫ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ ТРАНСПОРТНОЙ КОМПАНИИ​

Введение

В настоящее время деятельность организаций в значительной степени зависит от качества функционирования информационных ресурсов, обеспечения защиты от утечек, несанкционированного доступа, отказов аппаратной части. корректно проведённая оценка состояния защищенности информационных ресурсов обеспечивает возможности применения эффективных политик в области защиты информации, что обеспечит минимизацию ущерба от инцидентов, связанных с нарушениями требований по защите информации.
Защита сетевых ресурсов обеспечивается как в технической части, что связано с использованием систем защиты оборудования, бесперебойного питания, физической защиты помещений. Одной из основных составляющих системы защиты сетевых ресурсов является защита от угроз программного типа, включающих сетевые атаки, активность вредоносных систем, необходимость обеспечения защиты каналов передачи данных. Таким образом, задачи по обеспечению защиты корпоративных сетей являются актуальными в условиях организаций различного профиля деятельности.
Цель данной работы: разработка программы аудита информационной безопасности для транспортной компании.
Задачи работы:
1. Рассмотреть теоретические основы аудита информационной безопасности.
2. Разработать программу аудита информационной безопасности транспортной компании.
Объект исследования: аудит системы защиты информации.
Предмет исследования: система защиты информации при использовании информационной системы транспортной компании.
 
1 Обзор стандартов и законодательных актов в области защиты информации

Оценивание состояния защищенности информационных ресурсов компаний включают комплекс мероприятий, включающих проведение проверки состояния защищенности информационных ресурсов с применением стандартов, методологий, программного и аппаратного обеспечения. В качестве цели проведения аудита рассматривается поиск уязвимостей, негативно влияющих на состояние защищенности информационных ресурсов компании.
Периодическое проведение проверок состояния защищённости информационных ресурсов является одним из обязательных условий в рамках работы с программными и аппаратными средствами
в соответствии с требованиями стандарта ISO/IEC 27001:2005 [3].
В рамках проведения аудита специалисты осуществляют тестовые испытания, имитирующие состояние системы, выступающей в качестве объекта атаки. По результатам проведенных испытаний анализируются результаты отражения и детектирования атак, оценивается эффективность используемых средств защиты информации. [4]. Имитация тестовых атак должна соответствовать угрозам, характерным для соответствующих информационных ресурсов.
Стадиями проведения оценивания защищенности информационных ресурсов являются [6]:
 создание плана проведения испытаний;
 программная реализация испытаний;
 обработка полученных результатов.
На стадии составления плана осуществляется сбор необходимой информации: определяется перечень тестируемых систем, выбираются угрозы, защита от которых является объектом тестирования, анализируется список применяемых средств защиты информации. Также на стадии планирования определяются подходы к проведению мероприятий по оценке защиты информации.
Основными целями данной стадии являются: выявление уязвимостей и тестирование эффективности принимаемых мер по защите информационных ресурсов. В случае выявления недостаточности принимаемых мер, разрабатываются рекомендации по изменению политик защиты информации в соответствующем сегменте.
На этапе обработки результатов специалистами осуществляется анализ выявленных недостатков в системе защиты информации, анализируются причины их возникновения, разрабатываются предложения по их устранению.
В положении о защите информации компании определяется периодичность проведения оценки состояния защищённости информационной системы, порядок анализа отработки недостатков, выявленных по результатам проведения предыдущего аудита.
Формат проведения оценивания защищенности информационных ресурсов может быть внешним и внутренним.
При проведении внешнего активного аудита составляется модель поведения предполагаемых злоумышленников, которые проводят атаки на систему из-за пределов контролируемой зоны. Внутренний аудит предполагает оценку защищенности от нарушителей, имеющих доступ к информационным ресурсам и находится в периметре контролируемой зоны предприятия.
В рамках проведения внешнего активного аудита тестируются возможности проникновения в систему из внешнего периметра, при проведении внутреннего аудита анализируются параметры конфигурации информационной системы, используются сканеры уязвимостей.
При проведении аудита ИТ-инфраструктуры проводится комплекс мероприятий, направленных на получение и оценку объективных данных о состоянии элементов информационной системы: соответствия потребностям бизнеса, современной конъюнктуре, технологиям, подходам к работе.
Проведение оценивания состояния защищенности ИТ-инфраструктуры проводится при [2]:
 выявлении снижения производительности ИТ-ресурсов;
 при проведении замены аппаратной части;
 при изменениях в бизнес-архитектуре организации;
 при создании новой инфраструктуры;
 при превышении расходов на содержание объектов ИТ-инфраструктуры лимитов, заложенных в бюджете.
В качестве объектов для проведения оценки защищённости выступают [1]:
 компьютерное оборудование и кабельная система;
 используемое программное обеспечение;
 коммуникационные системы;
 средства защиты информации.
В рамках проведения аудита системы защиты информации осуществляется [5]:
 оценка соответствия системы установленным регламентам;
 проверка соответствия изданных регламентов в области защиты информации действующему законодательство и нормативным документам.
В качестве инициаторов проведения оценивания состояния защищённости объектов ИТ-инфраструктуры могут выступать как руководители компан6ий, так и вышестоящие организации, а также государственные контролирующие органы.
Концепция информационной безопасности России содержит официально принятую систему взглядов на проблемы, связанные с обеспечением защиты информации, включает описание типовых методов и средств, обеспечивающих решение задач по защите информации.
Проведём анализ нормативной базы систем информационной безопасности применительно к объектам защиты информации.
Развитие информационных технологий предполагает возможности для утечек больших массивов данных по определенной тематике, включая данные персонифицированного характера. Используемые в настоящее время носители информации малогабаритны, но при этом позволяют сохранять на них значительные объемы информации. Таким образом, при использовании информации конфиденциального характера необходимо учитывать возможность их несанкционированного копирования и принимать превентивные меры.

2. Анализ объекта защиты

В рамках прохождения практики в качестве объекта защиты выбрана информационная система транспортной компании. Информационная система используется для автоматизации учета перевозок, учета состояния автопарка, учета расчетов за услуги транспортного обслуживания.
В системе обеспечиваются возможности автоматизацию технологий ввода, контроля, обработки, хранения и выдачи реестровых данных, содержащих сведения о имущественных объектах, правах и субъектах прав, оформления договоров аренды/субаренды объектов недвижимости, осуществления контроля платежей и др.
Система используется в деятельности сотрудников транспортных отделов, отделов эксплуатации, а также экономистами и бухгалтерскими службами.
К категории конфиденциальной информации в информационной системе транспортной компании относятся:
 данные о состоянии автопарка;
 коммерчески значимая информация по оказанию услуг транспортного обслуживания, персональные данные;
 данные о стоимости объектов и платежных транзакциях.
В качестве объектов защиты в информационной системе транспортных компаний выступают:
 базы данных информационной системы;
 каналы передачи данных;
 серверные ресурсы и программные файлы, которые используются в работе информационной системы.
Таким образом, задачи информационной безопасности в рамках использования ИС транспортной компании связаны с обеспечением защиты от сетевых угроз, угроз, связанных с активностью вредоносного ПО, активностью злоумышленников, несанкционированного копирования.