Гололобов Ф.А.
ПРОБЛЕМЫ СЕРТИФИКАЦИИ АУДИТОРОВ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В РФ *
Аннотация:
статья обсуждает актуальные проблемы, связанные с процессом сертификации аудиторов в области информационной безопасности (ИБ) в России, описывая основные факторы, влияющие на эффективность сертификации.
Ключевые слова:
информационная безопасность, аудит информационной безопасности, проблемы сертификации аудиторов
Аудит в области информационной безопасности (ИБ) представляет собой систематический процесс оценки и проверки информационных систем, сетей, приложений и процессов с целью выявления уязвимостей, угроз и недостатков в их безопасности. Этот процесс включает в себя анализ текущего состояния безопасности, оценку соответствия установленным стандартам и регулятивным требованиям, а также рекомендации по улучшению безопасности информационных активов.Важность аудита в сфере информационной безопасности заключается в следующем:Выявление уязвимостей: Аудит помогает выявить потенциальные уязвимости и угрозы для информационных систем, что позволяет принять меры по их устранению и снижению рисков.Соответствие стандартам и требованиям: Аудит позволяет проверить соответствие информационных систем установленным стандартам безопасности и регулятивным требованиям, таким как GDPR, HIPAA, PCI DSS и другим.Оценка эффективности защитных мер: Путем проведения аудита можно оценить эффективность существующих защитных мер и политик безопасности, идентифицировать их недостатки и предложить улучшения.Предотвращение инцидентов безопасности: Аудит позволяет выявить потенциальные проблемы и уязвимости до того, как они приведут к реальным инцидентам безопасности, что способствует предотвращению утечек данных, атак и других негативных последствий.Чтобы стать аудитором, человек должен обладать определенными знаниями и получить сертификацию.В совокупности все участники аудиторской группы должны знать:1. Терминология, принципы, практические методики и средства менеджмента информационной безопасностиa) структуру документации СМИБ, иерархию и взаимоотношения в системе,b) инструменты менеджмента информационной безопасности, средства и методику их применения,c) подходы к оценке рисков информационной безопасности и управление рисками,d) процессы, применимые к СМИБ,e) существующие технологии, где информационная безопасность может иметь особое значение или может вызывать проблемы.Каждый аудитор должен быть компетентным по перечислениям a), c) и d)2. Стандарты и нормативные правовые акты системы менеджмента информационной безопасностиa) все требования, содержащиеся в ИСО/МЭК 27001.В совокупности все участники аудиторской группы должны знать:b) все меры обеспечения, содержащиеся в ИСО/МЭК 27002 (а если это определено, при необходимости, также из отраслевых стандартов), и их применение в следующей классификации:1) политики информационной безопасности,2) организация информационной безопасности,3) кадровая безопасность,4) управление активами,5) контроль доступа, включая авторизацию,6) криптография,7) физическая защита и защита от воздействия окружающей среды,8) производственная безопасность, включая услуги ИТ-сервисов,9) безопасность коммуникаций, включая менеджмент безопасности информационных сетей и передачи информации,10) процессы приобретения систем, их развития и технического обслуживания,11) взаимоотношения с поставщиками, включая услуги сторонних организаций,12) управление инцидентами информационной безопасности,13) аспекты информационной безопасности менеджмента устойчивого развития бизнеса, включая резервирование систем,14) соблюдение требований, включая проверку соблюдения информационной безопасности.Сертификацию проводит специальная компания. Орган по сертификации должен иметь критерии с целью оценивания предыдущего опыта, специальной подготовки или проводить инструктажи для участников аудиторской группы, обеспечивающие как минимум следующее:a) знания в области информационной безопасности,b) технические знания о деятельности, подлежащей аудиту,c) знание систем менеджмента,d) знание принципов аудита.e) знание мониторинга, измерения, анализа и оценки СМИБ.Примечание - Указанные выше требования перечислений a)-e) применимы ко всем аудиторам - участникам аудиторских групп, за исключением перечисления b), обязанности по которому аудиторы - участники аудиторской группы могут разделить между собой.В области информационной безопасности существует несколько компаний и организаций, которые проводят сертификацию специалистов и аудиторов. Некоторые из наиболее известных организаций, предлагающих сертификационные программы в этой области, включают:(ISC)?: Это международная организация, которая предлагает сертификационные программы, такие как CISSP (Certified Information Systems Security Professional) и SSCP (Systems Security Certified Practitioner).ISACA: Эта международная ассоциация предоставляет сертификационные программы, такие как CISA (Certified Information Systems Auditor), CISM (Certified Information Security Manager) и CRISC (Certified in Risk and Information Systems Control).EC-Council: Эта организация специализируется на сертификации в области этичного хакинга и информационной безопасности. Известные их программы включают CEH (Certified Ethical Hacker) и CHFI (Computer Hacking Forensic Investigator).Проблемы сертификации аудиторов в РФ состоят в том, что в стране нет отечественных компаний, которые имеют право проводить сертификацию. В связи с этим стоимость аудиторских услуг в нашей стране высока. Многие компании не обладают возможностью или желанием выделять необходимое количество средств на проведение регулярного аудита, что может привести к негативным последствиям, а сертификация собственного отдела информационной безопасности для предоставления аудиторских услуг обладает еще большей стоимостью. Также, по моему мнению, отдел информационной безопасности в компаниях, обладающих какой-либо критически важной информацией, обязательно должны иметь сертификацию.
Номер журнала Вестник науки №3 (72) том 3
Ссылка для цитирования:
Гололобов Ф.А. ПРОБЛЕМЫ СЕРТИФИКАЦИИ АУДИТОРОВ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В РФ // Вестник науки №3 (72) том 3. С. 406 - 410. 2024 г. ISSN 2712-8849 // Электронный ресурс: https://www.вестник-науки.рф/article/13399 (дата обращения: 17.05.2024 г.)
Вестник науки СМИ ЭЛ № ФС 77 - 84401 © 2024. 16+