12.08.2004IT-аудит: понятие, реалии и мифы в журнале "Information Security/Информационная безопасность"
В ближайшем номере журнала "Information Security/Информационная безопасность" будут опубликованы статьи, посвященные IT-аудиту: "Нужна ли регламентация IT-аудита?" (ведущий эксперт компании IBS М.М. Котухов) и материал С. Вихорова, Р. Кобцева "Аудит безопасности – реалии и заблуждения". Статьи направлены на разъяснение читателю понятия "аудит информационной безопасности" и формированию правильного отношения к "аудиту" у заказчиков этой услуги. По словам М.М. Котухова использование термина "аудит" сопровождается отсутствием единства толкования этого понятия, так как до сих пор отсутствуют нормативные и методические документы в этой области, а также единые требования к проведению аудиторских проверок и уровню подготовки проводящих IT-аудит организаций и аудиторов. Данный фактор начинает негативно сказывается на эффективности развития подобного сектора IT-услуг в стране. Кроме того, в ходе проведения аудита всегда встает вопрос об ответственности аудиторских организаций и аудиторов за качество и объективность проведения работ по IT-аудиту. Особенно важным при этом является вопрос гарантий сохранения конфиденциальности сведений, полученных в ходе аудита. Все это предопределяет необходимость регулирования деятельности аудиторских организаций и аудиторов в области информационных технологий и информационной безопасности, в том числе и на государственном уровне. Авторы материала "Аудит безопасности – реалии и заблуждения" рассматривают три главных заблуждения в области аудита: Первое заблуждение: аудит - это стандарт ISO 17799. Однако ISO 17799 дает возможность оценки только состояния управления безопасностью информации, но не дает возможности оценки реального уровня защищенности информационной системы. Остается вопрос о достаточности принятых мер защиты для обеспечения безопасности информации. Второе заблуждение: аудит это стандарт ISO 15408. Однако этот стандарт определяет только методологию формирования требований к безопасности. Остается вопрос об учете всех реальных угроз и возможности их устранения. Третье заблуждение: аудит это сканирование и IDS. Сканирования недостаточно для аудита, поскольку сканеры ищут только заранее известные уязвимости. Остается вопрос: если при сканировании не выявлены уязвимости, то их действительно нет или их не было на момент проверки? Редакция журнала "Information Security/Информационная безопасность" приглашает Вас присылать отзывы и комментарии по проблеме IT-аудита, которые могут быть размещены в журнале с фотографией представителя компании и указанием его должности. Контактный e-mail gudko@groteck.ru. Подписка на журнал, а также бесплатная публикация новостей Вашей компании на сайте http://www.itsec.ru
