Терминология: Аудит информационной безопасности организации

Терминология: Аудит информационной безопасности организации
В течение последних нескольких лет в рамках собеседований «вчерашних» выпускников кафедр «Информационной безопасности» в большинстве случаев на вопрос: «Чем бы вы хотели заниматься?», я получал один из двух вариантов ответов:
- «пентесты»;
- «аудит».

При продолжении обсуждения данного вопроса я каждый раз получал новое виденье последнего из упомянутых понятий.

В данной заметке я решил поделиться существующей у меня подборкой определений, относящихся непосредственно к термину аудита.

Пойдем в хронологическом порядке и рассмотрим только общедоступные и действующие на сегодняшний день документы:
 
1. Р 50.1.053-2005 "Информационные технологии. Основные термины и определения в области технической защиты информации" (действует с 01.01.2006)

АУДИТ БЕЗОПАСНОСТИ (ИНФОРМАЦИИ): Совокупность действий по независимой проверке и изучению документации автоматизированной информационной системы, а также по испытаниям средств защиты информации, направленная на обеспечение выполнения установленной политики безопасности информации и правил эксплуатации автоматизированной информационной системы, на выявление уязвимостей автоматизированной информационной системы и на выработку рекомендаций по устранению выявленных недостатков в средствах защиты информации, политике безопасности информации и правилах эксплуатации автоматизированной информационной системы.

Примечание - Аудит безопасности может осуществляться независимой организацией (третьей стороной) по договору с проверяемой организацией (внешний аудит), а также подразделением или должностным лицом организации (внутренний аудит).

АУДИТ БЕЗОПАСНОСТИ АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ: Проверка реализованных в автоматизированной информационной системе процедур обеспечения безопасности с целью оценки их эффективности и корректности, а также разработки предложений по их совершенствованию.
 
2. Р 50.1.056-2005 "Техническая защита информации. Основные термины и определения" (действует с 01.06.2006)

Аудиторская проверка информационной безопасности в организации; аудит информационной безопасности в организации: Периодический, независимый и документированный процесс получения свидетельств аудита и объективной их оценки с целью установления степени выполнения в организации установленных требований по обеспечению информационной безопасности.

Примечание - Аудит информационной безопасности в организации может осуществляться независимой организацией (третьей стороной) по договору с проверяемой организацией, а также подразделением или должностным лицом организации (внутренний аудит).

Аудиторская проверка безопасности информации в информационной системе; аудит безопасности информации в информационной системе: проверка реализованных в информационной системе процедур обеспечения безопасности информации с целью оценки их эффективности и корректности, а также разработки предложений по их совершенствованию.
 
3.  Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности СТО БР ИББС-1.1-2007" (действует с 01.05.2007)

Внешний аудит информационной безопасности организации банковской системы Российской Федерации; аудит информационной безопасности: Систематический, независимый и документируемый процесс получения свидетельств аудита деятельности организации БС РФ по обеспечению ИБ и установления степени выполнения в организации БС РФ установленных критериев аудита ИБ, проводимый внешней по отношению к проверяемой независимой проверяющей организацией.
 
4.  ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения" (действует с 01.02.2008)

Аудиторская проверка информационной безопасности в организации ; аудит информационной безопасности в организации: Периодический независимый и документированный процесс получения свидетельств аудита и объективной оценки с целью определить степень выполнения в организации установленных требований по обеспечению информационной безопасности.

Примечание - Аудит информационной безопасности в организации может осуществляться независимой организацией (третьей стороной) по договору с проверяемой организацией, а также подразделением или должностным лицом организации (внутренний аудит).
 
5. ГОСТ Р 53114-2008 "Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения" (действует с 01.10.2009)

аудит информационной безопасности организации; аудит ИБ организации: Систематический, независимый и документируемый процесс получения свидетельств деятельности организации по обеспечению информационной безопасности и установлению степени выполнения в организации критериев информационной безопасности, а также допускающий возможность формирования профессионального аудиторского суждения о состоянии информационной безопасности организации.

6.  International Standard ISO/IEC 27000:2014 "Information technology — Security techniques — Information security management systems — Overview and vocabulary" (действует с 15.01.2014)

AUDIT: Systematic, independent and documented process for obtaining audit evidence and evaluating it objectively to determine the extent to which the audit criteria are fulfilled.
 
Из данной подборки видно, как менялся этот термин со временем, получая требуемый, на мой взгляд, уровень абстракции.

В заключении стоит отметить, что аудит информационной безопасности организации вчера и сегодня, это совсем разные вещи. Например, мой первый аудит состоялся в 2008 году, с тех пор я изменил в его проведении практически все, начиная от методики до представления результатов и, конечно же, самое главное – свое отношение к этому мероприятию.
 
Успехов при проведении ваших аудитов!
Alt text

Александр Кузнецов

Заметки про управление в области информационной безопасности и не только