Аудит – это форма независимого, нейтрального контроля какого-
либо направления деятельности организации. Если говорить о главной цели аудита информационной безопасно-
сти, то можно ее определить как проведение оценки уровня безопас-
ности автоматизированной системы организации для управления им
в целом с учетом перспектив его развития. В современных условиях, когда информационные автоматизиро-
ванные системы пронизывают все сферы деятельности системы госу-
дарственной власти и органов местного самоуправления, а с учетом
необходимости их связи с Интернет они оказываются открытыми для
реализации внутренних и внешних угроз, проблема информационной
безопасности становится не менее важной, чем экономическая или
физическая безопасность. Несмотря на важность рассматриваемой проблемы, как показыва-
ет опыт, в настоящее время не уделяется достаточного внимания вы-
полнению работ, связанных с аудитом информационной безопасно-
7
сти региональных органов исполнительной власти и органов местно-
го самоуправления. Это связано прежде всего с отсутствием необ-
ходимой нормативной базы, неподготовленностью специалистов
и недостаточным практическим опытом в области проведения аудита
информационной безопасности. Предлагаемое учебное пособие ориентировано преимущественно
на рассмотрение методических и организационных основ проведения
аудита информационной безопасности органов исполнительной госу-
дарственной власти и органов местного самоуправления.
Общая
структура работы включает следующую последовательность обсуж-
даемых вопросов:
• рассматриваются основные положения теории информационной
безопасности;
• излагаются базовые понятия аудита информационной безопас-
ности, дается характеристика целей его проведения;
• анализируются основные российские законы, нормативно-
правовые документы и стандарты, используемые при проведении
аудита информационной безопасности;
• даются конкретные рекомендации по оценке базового уровня
информационной безопасности по требованиям Федеральной службы
по техническому и экспортному контролю (ФСТЭК) России;
• рассматриваются вопросы лицензирования деятельности по за-
щите информации и сертификации средств защиты информации. Выбор описанной структуры был сделан с целью максимальной
ориентации ведущих преподавателей и студентов, обучающихся по
направлению «Информационная безопасность», на практическое ис-
пользование рассматриваемого материала в дальнейшей своей про-
фессиональной деятельности, в частности, для выпускников данного
направления – на участие в подготовке и проведении внутреннего
и обоснование необходимости проведения внешнего аудита инфор-
мационной безопасности исполнительных органов государственной
власти и органов местного самоуправления субъектов Российской
Федерации при создании и модернизации комплексных систем защи-
ты информации.
8
1. ОБЩИЕ ПОЛОЖЕНИЯ ТЕОРИИ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
Наша эпоха знаменуется бурным развитием информационных
технологий во всех сферах человеческой деятельности.