Разработка методических рекомендаций по проведению аудита информационной безопасности информационной системы организации

Рисунок 2 – Линейная организационная структура

 

1.1.2 Структура  и руководство ЗАО «Стилсофт»

Руководство ЗАО «Стилсофт» представлено следующими штатными единицами [5]:

• генеральный директор;
• финансовый директор;
• технический директор;
• главный инженер;
• главный бухгалтер.

ЗАО «Стилсофт» состоит  из следующих департаментов и  отделов:

• департамент по работе с заказчиками. Задачи: работа с заказчиками, которым требуются услуги по проектированию и установке систем безопасности, работа с силовыми структурами – пограничной службой ФСБ РФ, МВД;
• департамент разработки систем видеонаблюдения. Текущие проекты: цифровая система видеонаблюдения и аудиорегистрации «Видеолокатор», комплексная система безопасности «Синергет»;
• департамент разработки систем контроля и управления доступом. Текущие проекты: система контроля и управления доступом «СтилПост»;
• конструкторское бюро. Задачи: разработка новых технических средств обеспечения безопасности;
• производственный департамент. Задачи: производство продукции, разрабатываемой компанией;
• департамент дилерских продаж. Задачи: работа с партнерами – торговыми домами и монтажными организациями по поставкам продуктов, разрабатываемых компанией;
• отдел технического контроля. Задачи: контроль качества выпускаемой продукции;
• департамент технической поддержки;
• департамент материально - технического снабжения и поставок. Задачи: закупка комплектующих и оборудования, поставка готовой продукции по заключенным договорам;
• департамент по производству строительно-монтажных и пуско-наладочных работ;
• учебно-методический центр. Производит обучение специалистов компаний-партнеров и пользователей систем, производимых компанией;
• бухгалтерия.

Таким образом, обладателями конфиденциального ресурса компании являются руководство компании на верхнем уровне и руководство департаментами и отделами. Руководитель ЗАО «Стилсофт» может делегировать часть своих полномочий распоряжения коммерческой тайной данной организации замам, а те в свою очередь руководителям департаментов и отделов.

Актуальной является проработка вопросов, связанных с разработкой аудиторских процедур системы информационной безопасности ЗАО «Стилсофт», где обрабатывается информация, являющаяся конфиденциальным ресурсом данной компании. Для этого необходимо проанализировать финансовые возможности компании и провести анализ рисков, угроз и уязвимостей информационной безопасности ЗАО «Стилсофт». На рисунке 3 представлена общая организационная структура компании.

 

 

 

Рисунок 3 – Общая организационная  структура ЗАО «Стилсофт»

 

1.1.3 Преимущества  и недостатки закрытого акционерного  общества

В соответствии с Законом, закрытое акционерное общество – форма организации компании – акционерное общество, акции которого распределяются только среди учредителей или заранее определенного круга лиц (в противоположность открытому).

Акционеры такого общества имеют преимущественное право на приобретение акций, продаваемых другими акционерами. Число участников закрытого акционерного общества ограничено законом. Как правило, закрытое акционерное общество не обязано публиковать отчётность для всеобщего сведения, если иное не установлено законом. Деятельность ЗАО регламентируется основными документами, определяющими порядок деловой деятельности акционерных обществ в России:

• Гражданский кодекс Российской Федерации (Часть I ) статьи 96-106;
• Федеральный закон №208–ФЗ от 26.12.96 Об акционерных обществах;
• Арбитражный кодекс Российской Федерации;
• Федеральный закон О банках и банковской деятельности, другие законодательные документы Российской Федерации, определяющие особенности создания акционерных обществ и их правового положения в предпринимательской деятельности на финансовом рынке (на рынке банковских, страховых, инвестиционных услуг);
• Федеральный закон О приватизации государственного имущества и об основах приватизации муниципального имущества в Российской Федерации, а также Государственная программа приватизации, определяющие особенности создания акционерных обществ в России и их правового положения в процессе приватизации государственных и муниципальных унитарных предприятий.

На рисунке 4 представлена иллюстрация [6].

Рисунок 4 – Законодательные акты, с помощью которых регламентируется предпринимательский бизнес в России

Преимущества организационно-правовой формы собственности – закрытое акционерное общество [7]:

• акционеры ЗАО имеют преимущественное право на выкуп акций у акционера, выходящего из общества;
• подписка на акции в случае их дополнительного выхода закрытая, т.е. только среди его акционеров и иного, заранее определенного круга лиц.

Организационные особенности:

• максимальное количество участников ЗАО – 50 физических и юридических лиц;
• минимальный уставный капитал – 100 МРОТ.

1.1.4 Исследование  подходов к анализу финансовой  отчетности закрытого акционерного  общества 

Классическое закрытое акционерное общество представляет собой объединение капиталов  участников (акционеров), состав которых формируется в результате свободного выбора каждого из них. Любой гражданин или юридическое лицо, которые приобрели хотя бы одну акцию ЗАО, становятся профессиональными совладельцами данной акционерной предпринимательской фирмы, которая обладает следующими важными предпринимательскими особенностями:

• акционеры не несут субсидиарной ответственности по обязательствам общества перед его кредиторами;
• имущество ЗАО полностью обособлено от имущества отдельных акционеров, и в случае несостоятельности акционерного общества его акционеры несут лишь риск возможного обесценивания принадлежащих им акций;
• акционеры ЗАО обладают имущественными и личными правами; имущественным является право на получение объявленного дивиденда, а также части стоимости имущества акционерной предпринимательской фирмы в случае ее ликвидации; личным является право на участие в голосовании на общих собраниях акционеров, а также право на выход из состава участников данного акционерного общества.

В таблице 1 представлен  пример величины активов закрытого акционерного общества.

Таблица 1 – Пример величины активов общества с ограниченной ответственностью

Показатели баланса	Данные баланса
Актив баланса
1. Внеоборотные активы (разд. I):
- остаточная стоимость  основных средств (стр. 120)	1 500 000 руб.
- капитальные вложения  в незавершенное строительство  (стр. 130)	1 000 000 руб.
- долгосрочные финансовые  вложения (стр. 140–	500 000 руб.
2. Оборотные активы (разд. II):
- запасы	100 000 руб.
- дебиторская задолженность,	600 000 руб.
в том числе задолженность  учредителей по взносам в уставный капитал	30 000 руб.
- денежные средства–	500 000 руб.
Пассив баланса
3. Капитал и резервы  (разд. III):
- уставный капитал–	100 000 руб.
- нераспределенная прибыль	1 400 000 руб.
4. Долгосрочные обязательства  (разд. IV):
- долгосрочные займы	800 000 руб.
5. Краткосрочные обязательства  (разд. V):
- краткосрочные кредиты	300 000 руб.
- задолженность перед  бюджетом	100 000 руб.
- прочие краткосрочные  обязательства	1 500 000 руб.

 

ЗАО «Стилсофт» является небольшой компанией с численностью сотрудников до 200 человек. Система защиты информации для подобных организаций должна быть рентабельной и не превышать согласованной с руководством данной организации суммы затрат на информационную безопасность. Затраты на защиту информации не должны превышать 10% от совокупной стоимости владения информационными ресурсами ЗАО «Стилсофт». В стоимость защиты информации войдут меры, методы и средства защиты, основанные на результатах анализа рисков и угроз информационной безопасности компании. Аудиторские процедуры «настраиваются» исходя из данных рассуждений.

1.2 Анализ рисков  и угроз системы защиты информации  ЗАО «Стилсофт»

 

Аудит информационной безопасности основывается на результатах анализа  рисков и угроз информационной безопасности. Предложения аудитора по модификации системы защиты информации основываются на выявлении угроз и выборе контрмер угрозам информационной безопасности компании [8, 9, 10, 11].

Для анализа угроз  информационной безопасности необходимо составить максимально полный перечень угроз компании и выявить из этого  перечня наиболее опасные для  бизнес-процессов ЗАО «Стилсофт». Далее анализируются риски, под которыми будем понимать степень негативного воздействия на информационную систему компании той или иной угрозы информационной безопасности. Риск связан с ущербом, который может понести компания.

1.2.1 Перечень угроз информационной безопасности ЗАО «Стилсофт», составленный на основе германского стандарта IT Baseline Protection Manual

Перечень угроз информационной безопасности ЗАО «Стилсофт» содержит следующие группы угроз [8]:

• Т1. Угрозы в связи с форс-мажорными обстоятельствами.
• Угрозы на организационном уровне.
• Угрозы, связанные с ошибками людей.
• Угрозы, связанные с техникой.
• Угрозы, возникающие на предпроектном этапе.

Ниже перечислены угрозы, входящие в каждую из групп.

T 1. Угрозы в связи  с форс-мажорными обстоятельствами:

• Т1.1. Потеря персонала.
• Т1.2. Отказ информационной системы.
• Т1.3. Молния.
• Т1.4. Пожар.
• Т1.5. Затопление.
• Т1.6. Возгорание кабеля.
• Т1.7. Недопустимая температура и влажность.
• Т1.8. Пыль, загрязнение.
• Т1.9. Потеря данных из-за воздействия интенсивных магнитных полей.
• Т1.10. Отказ сети на большой территории.
• Т1.11. Катастрофы в окружающей среде.
• Т1.12. Проблемы, вызванные неординарными общественными событиями.
• Т1.13. Шторм.

Т2. Угрозы на организационном  уровне:

• Т2.1. Отсутствие или недостатки регламентирующих документов.
• Т2.2. Недостаточное знание требований регламентирующих документов.
• Т2.3. Недостаточно совместимые или неподходящие ресурсы.
• Т2.4. Недостатки контроля и измерения уровня безопасности в информационной технологии.
• Т2.5. Недостатки в обслуживании.
• Т2.6. Несоответствие помещений требованиям в области безопасности.
• Т2.7. Превышение полномочий.
• Т2.8. Нерегламентированное использование ресурсов.
• Т2.9. Недостатки в процедурах отслеживания изменений в информационной технологии.
• Т2.10. Несоответствие среды передачи данных предъявляемым требованиям.
• Т2.11. Недостаточный горизонт планирования.
• Т2.12. Недостатки в документировании коммуникаций.
• Т2.13. Недостаточная защищенность от действий дистрибьюторов.
• Т2.14. Ухудшение использования информационных технологий из-за плохих условий на рабочих местах.
• Т2.15. Возможность несанкционированного доступа к конфиденциальным данным в ОС UNIX.
• Т2.16. Несанкционированное (недокументированное) изменение пользователей портативной ЭВМ.
• Т2.17. Неправильная маркировка носителей данных.
• Т2.18. Неверная доставка носителей данных.
• Т2.19. Некорректная система управления криптографическими ключами.
• Т2.20. Неподходящее обеспечение расходными материалами факсов.

Т3. Угрозы, связанные  с ошибками людей:

• Т3.1. Нарушение конфиденциальности/целостности данных в результате ошибок пользователей.
• Т3.2. Разрушение оборудования или данных в результате небрежности.
• Т3.3. Несоблюдение правил поддержания режима ИБ.
• Т3.4. Несанкционированные подключения кабелей.
• Т3.5. Повреждения кабелей из-за небрежности.
• Т3.6. Опасности, связанные с увольнением или выведением персонала за штат.
• Т3.7. Сбои АТС и ошибки оператора.
• Т3.8. Запрещенные действия в информационной системе.
• Т3.9. Запрещенные действия системного администратора.
• Т3.10. Некорректный перенос файловой системы ОС UNIX.
• Т3.11. Некорректная конфигурации сервера электронной почты sendmail.
• Т3.12. Потери носителей с данных при их перевозке (перемещении).
• Т3.13. Передача неправильных или нежелательных данных.
• Т3.14. Неправильное (с юридической позиции) оформление факса.
• Т3.15. Неправильное использование автоответчиков.
• Т3.16. Неправильное администрирование сайта и прав доступа.
• Т3.17. Смена пользователей ПК, не соответствующая внутренним правилам.
• Т3.18. Совместное использование информационных ресурсов и оборудования.
• Т3.19. Хранение паролей в ОС Windows в открытом виде.
• Т3.20. Неумышленное предоставление доступа для чтения.