Аудит информационной безопасности

В.И. Аверченков 

АУДИТ 
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 

Учебное пособие 

4-е издание, стереотипное

Москва 
Издательство «ФЛИНТА» 
2021

УДК 004.732.056.5
ББК 16.84 
        А19 

Р е ц е н з е н т ы: 

кафедра «Защита информации» Воронежского 

государственного технического университета; доктор 
технических наук профессор И.С. Константинов 

А19    

Аверченков В.И. 
Аудит информационной безопасности : учебное пособие 
для вузов / В.И. Аверченков. – 4-е изд., стер. – Москва: 
ФЛИНТА, 2021. – 269 с. – ISBN 978-5-9765-1256-6. – Текст : 
электронный.

Рассмотрен комплекс вопросов, связанных с проведением

аудита информационной безопасности на предприятии, даны
основные понятия, показана роль анализа и управления
информационными рисками. Проведено описание международных
и российских стандартов информационной безопасности, 
изложены методологические основы применения стандартов
ISO 15408 и ISO 17799 для оценки и управления безопасностью
информационных технологий, дана характеристика программных
средств, применяемых при аудите информационной безопасности. 
Особое внимание уделено практическим вопросам методики
проведения аудита информационной безопасности
на

предприятии. 

Учебное 
пособие 
предназначено 
для 
студентов, 
обучающихся по специальности «Организация и технология
защиты информации», а также может быть полезно специалистам, 
занимающимся организационными вопросами защиты информации
на предприятиях. 

УДК 004.732.056.5
ББК 16.84  

ISBN 978-5-9765-1256-6 
© В.И. Аверченков, 2016 
© Издательство «ФЛИНТА», 2016 

ПРЕДИСЛОВИЕ 
 
Аудит – форма независимого, нейтрального контроля какого-либо 
направления 
деятельности 
коммерческого 
предприятия, 
широко 
используемая в практике рыночной экономики, особенно в сфере 
бухгалтерского учета. Не менее важным с точки зрения общего развития 
предприятия является его аудит безопасности, который включает 
анализ рисков, связанных с возможностью осуществления угроз 
безопасности, особенно в отношении информационных ресурсов, оценку 
текущего 
уровня 
защищенности 
информационных 
систем 
(ИС), 
локализацию узких мест в системе их защиты, оценку соответствия ИС 
существующим стандартам в области информационной безопасности и 
выработку 
рекомендаций 
по 
внедрению 
новых 
и 
повышению 
эффективности существующих механизмов безопасности ИС. 
Если 
говорить 
о 
главной 
цели 
аудита 
информационной 
безопасности, то можно ее определить как проведение оценки уровня 
безопасности 
информационной 
системы 
предприятия 
для 
управления им в целом с учетом перспектив его развития. 
В 
современных 
условиях, 
когда 
информационные 
системы 
пронизывают все сферы деятельности предприятия, а с учетом 
необходимости их связи с Интернет они оказываются открытыми для 
реализации внутренних и внешних угроз, проблема информационной 
безопасности становится не менее важной, чем экономическая или 
физическая безопасность. 
Несмотря на важность рассматриваемой проблемы для подготовки 
специалистов по защите информации, она до настоящего времени не 
была включена в виде отдельного курса в существующие учебные 
планы и не рассматривалась в учебниках и учебных пособиях. Это было 
связано 
с 
отсутствием 
необходимой 
нормативной 
базы, 
неподготовленностью специалистов и недостаточным практическим 
опытом в области проведения аудита информационной безопасности. 
В последние годы в России наблюдается активное внедрение 
международных стандартов по информационной безопасности BS 7799, 
ISO 17799, ISO 15408, создаются отечественные стандарты, которые 
сегодня 
могут 
быть 
основой 
методологии 
проведения 
аудита 
безопасности. 

Предлагаемое учебное пособие написано на основе курса лекций, 
читаемых студентам по специальности «Организация и технология 
защиты информации» и с учетом существующих требований к их 
подготовке 
и 
ориентировано 
преимущественно 
на 
рассмотрение 
методических 
и 
организационных 
основ 
проведения 
аудита 
информационной безопасности на предприятии. Общая структура 
пособия включает следующую последовательность рассматриваемых 
вопросов: 
 описывается модель построения системы информационной 
безопасности 
(ИБ), 
учитывающая 
угрозы, 
уязвимости, 
риски 
и 
принимаемые для их снижения или предотвращения контрмеры; 
 рассматриваются методы анализа и управления рисками; 
 излагаются базовые понятия аудита безопасности и дается 
характеристика целей его проведения; 
 анализируются 
основные 
международные 
и 
российские 
стандарты, используемые при проведении аудита ИБ; 
 приводится механизм оценки безопасности информационных 
технологий на основе «общих критериев» (стандарт ISO 15408); 
 даются 
конкретные 
рекомендации 
по 
использованию 
международного 
стандарта 
управления 
информационной 
безопасностью ISO 17799; 
 показываются возможности использования программных средств 
для проведения аудита ИБ; 
 даются практические рекомендации по проведению аудита ИБ на 
предприятии. 
Выбор описанной структуры учебного пособия был сделан с целью 
максимальной ориентации студента на практическое использование 
рассматриваемого материала, во-первых, при изучении лекционного 
курса, во-вторых, при прохождении производственных практик (анализ 
состояния информационной безопасности на предприятии), в-третьих, 
при выполнении курсовых и дипломных работ. 
Представленный материал может быть полезен руководителям и 
сотрудникам служб безопасности и служб защиты информации 
предприятия для подготовки и проведения внутреннего и обоснования 
необходимости внешнего аудита информационной безопасности. 
 

Основы построения систем информационной безопасности 

 
5

 
 
Глава 1. Основы построения систем 
информационной безопасности 
 
 
1.1. Цель и задачи информационной безопасности (ИБ) 
1.2. Угрозы ИБ и их источники 
1.3. Модель построения системы информационной 
безопасности предприятия 
1.4. Разработка концепции обеспечения ИБ  

 
 
 
1.1. Цель и задачи информационной безопасности (ИБ) 
 
Использование автоматизированных систем во всех сферах 
деятельности человека, основанных на применении современных 
информационно-коммуникационных технологий, выдвинуло целый ряд 
проблем перед разработчиками и пользователями этих систем. Одна из 
наиболее острых проблем – проблема информационной безопасности, 
которую необходимо обеспечивать, контролировать, а также создавать 
условия для ее управления. 
Главной целью любой системы обеспечения информационной 
безопасности является создание условий функционирования предприятия, 
предотвращение угроз его безопасности, защита законных интересов 
предприятия от противоправных посягательств, недопущение хищения 
финансовых средств, разглашения, утраты, утечки, искажения и 
уничтожения 
служебной 
информации, 
обеспечение 
в 
рамках 
производственной деятельности всех подразделений предприятия. 
Более 
детальное 
рассмотрение 
этой 
проблемы 
позволяет 
сформулировать основные задачи любой системы ИБ предприятия 
[10]: 

 необходимость отнесения определенной информации к категории 

ограниченного доступа (служебной или коммерческой тайне); 

 прогнозирование 
и 
своевременное 
выявление 
угроз 

безопасности 
информационным 
ресурсам, 
причин 
и 
условий, 

Глава 1 

 
6

способствующих нанесению финансового, материального и морального 
ущерба, нарушению его нормального функционирования и развития; 

 создание 
условий 
функционирования 
с 
наименьшей 

вероятностью реализации угроз безопасности информационным ресурсам 
и нанесения различных видов ущерба; 

 создание механизма и условий оперативного реагирования на 

угрозы ИБ и проявления негативных тенденций в функционировании, 
эффективное пресечение посягательств на ресурсы на основе правовых, 
организационных 
и 
технических 
мер 
и 
средств 
обеспечения 

безопасности; 

 создание условий для максимально возможного возмещения и 

локализации 
ущерба, 
наносимого 
неправомерными 
действиями 

физических и юридических лиц, ослабление негативного влияния 
последствий нарушения ИБ. 

 
1.2. Угрозы ИБ и их источники 

Центральным понятием ИБ является понятие «угроза». 
В 
соответствии 
с 
определением 
словаря 
русского 
языка           

С.И. Ожегова под угрозой понимается «намерение нанести физический, 
материальный или иной вред общественным или личным интересам, 
возможная опасность». 

В современной литературе большинство авторов публикаций 

угрозу безопасности информации отождествляют либо с характером 
(видом, способом) дестабилизирующего воздействия на информацию, 
либо с последствиями (результатами) такого воздействия в виде ущерба, 
понесенного субъектом в результате нарушения его прав. 

Категория «ущерб» справедлива только в том случае, когда можно 

доказать, что он причинен, то есть деяния, приводящие к ущербу, можно 
квалифицировать в терминах правовых актов как состав преступления. 
Поэтому при определении угроз безопасности информации в этом случае 
целесообразно учитывать требования действующего уголовного права 
(Уголовный кодекс РФ, 1996г.),  определяющего состав преступления. В 
рассматриваемом случае к таким преступлениям можно отнести: 

 хищение – совершенные с корыстной целью противоправные 

Основы построения систем информационной безопасности 

 
7

безвозмездное изъятие и (или) обращение чужого имущества в пользу 
виновного или других лиц, причинившие ущерб собственнику или 
владельцу имущества; 

 копирование 
компьютерной 
информации 
– 
повторение 
и 

устойчивое запечатление информации на машинном или ином носителе; 

 уничтожение – внешнее воздействие на имущество, в результате 

которого оно прекращает свое физическое существование либо приводится 
в полную непригодность для использования по целевому назначению. 

  уничтожение компьютерной информации – стирание ее в 

памяти ЭВМ; 

 повреждение – изменение свойств имущества, при котором 

существенно ухудшается его состояние, утрачивается значительная часть 
его полезных свойств и оно становится полностью или частично 
непригодным для целевого использования; 

 модификация компьютерной информации – внесение любых 

изменений, связанных с адаптацией программы для ЭВМ или баз данных; 

 блокирование компьютерной информации – искусственное 

затруднение доступа пользователей к информации, не связанное с ее 
уничтожением; 

 несанкционированное уничтожение, блокирование, модификация, 

копирование информации – любые не разрешенные законом, собственником 
или компетентным пользователем указанные действия с информацией; 

 обман 
(отрицание 
подлинности, 
навязывание 
ложной 

информации) – умышленное искажение или сокрытие истины с целью 
ввести в заблуждение лицо, в ведении которого находится имущество, и 
таким образом добиться от него добровольной передачи имущества, а 
также сообщение с этой целью ложных сведений. 

Обобщая изложенное, в дальнейшем под угрозами будем понимать 

потенциальную 
или 
реально 
существующую 
опасность 

совершения 
какого-либо 
деяния 
(действия 
или 
бездействия), 

направленного 
против 
объекта 
защиты, 
наносящего 
ущерб 

собственнику (владельцу, пользователю) информационных ресурсов, 
проявляющегося в опасности искажения и/или потери информации, 
либо неправомерного ее использования. 

Глава 1 

 
8

Угрозы сами по себе не проявляются. Все угрозы могут быть 

реализованы 
только 
при 
наличии 
каких-нибудь 
слабых 
мест 
–

уязвимостей, присущих объекту информатизации. 

Уязвимость – некая слабость, которую можно использовать для 

нарушения информационной автоматизированной системы или 
содержащейся 
в 
ней 
информации. 
(ГОСТ 
Р 
ИСО 
7498-2-99 

«Информационная технология. Взаимосвязь открытых систем. Базовая 
эталонная модель. Часть 1. Архитектура защиты информации»). 

Особое внимание при рассмотрении ИБ должно уделяться 

источникам угроз. 

В качестве источников угроз могут выступать как субъекты 

(личность), так и объективные проявления. Причем сами источники угроз 
могут находиться как внутри объекта информатизации – внутренние, так 
и вне его – внешние. 

В качестве источников угроз могут быть: 

 действия субъекта (антропогенные источники угроз); 
 технические средства (техногенные источники угрозы); 
 стихийные источники. 

К антропогенным источникам угроз относятся субъекты, действия 

которых могут быть квалифицированы как умышленные или случайные 
преступления. 

К 
техногенным 
источникам 
угроз 
относятся 
источники, 

определяемые технократической деятельностью человека и развитием 
цивилизации. 

К стихийным источникам угроз относятся стихийные бедствия или 

иные 
обстоятельства, 
которые 
невозможно 
или 
возможно 

предусмотреть, но невозможно предотвратить при современном уровне 
человеческого знания и возможностей. 

Анализ угроз ИБ показывает, что они могут быть разделены на 

два вида: внутренние и внешние. 

Внутренние угрозы безопасности объекта защиты: 

 неквалифицированная корпоративная политика по организации  

информационных технологий и управлению безопасностью корпорации; 

 отсутствие должной квалификации персонала по обеспечению 

деятельности и управлению объектом защиты; 

 преднамеренные и непреднамеренные действия персонала по 

Основы построения систем информационной безопасности 

 
9

нарушению безопасности; 

 техногенные аварии и разрушения, пожары. 

Внешние угрозы безопасности объекта защиты: 

 негативные воздействия недобросовестных конкурентов и 

государственных структур; 

 преднамеренные 
и 
непреднамеренные 
действия 

заинтересованных структур и лиц (сбор информации, шантаж, искажение 
имиджа, угрозы физического воздействия и др.); 

 утечка 
конфиденциальной 
информации 
из 
носителей  

информации  и обусловленных каналов связи; 

 несанкционированное проникновение на объект защиты; 
 несанкционированный доступ к носителям информации и 

обусловленным каналам связи с целью хищения, искажения, уничтожения, 
блокирования информации; 

 стихийные бедствия и другие форс-мажорные обстоятельства; 

 преднамеренные и непреднамеренные действия системных 

интеграторов и поставщиков услуг по обеспечению безопасности, 
поставщиков технических и программных продуктов, кадров. 

При 
комплексном 
подходе 
к 
анализу 
угроз 
ИБ 
объекта 

информатизации необходимо провести: 

 описание объекта; 

 классификацию источников угроз; 
 классификацию уязвимостей; 
 классификацию методов реализации угроз; 
 ранжирование актуальных атак; 
 классификацию методов парирования угроз. 

Структурированное 
описание 
объекта 
информатизации, 

представленное 
в 
виде 
типовых 
структурных 
компонентов 

информационной системы и связей между ними, характеризующих 
направления 
циркуляции 
и 
параметры 
потоков 
информации 
в 

совокупности с текстовыми пояснениями, позволяет выявить точки 
возможного применения угроз или вскрыть существующие уязвимости. 

Анализ и оценка возможностей реализации угроз должны быть 

основаны на построении модели угроз, классификации, анализе и 
оценки 
источников 
угроз, 
уязвимостей 
и 
методов 
реализации. 

Моделирование процессов нарушения информационной безопасности 

Глава 1 

 
10

может осуществляться на основе рассмотрения логической цепочки: 
угроза – источник угрозы – метод реализации – уязвимость – 
последствия (рис.1.1). Каждый компонент рассматриваемой логической 
цепочки целесообразно описывается с необходимой подробностью.  

Угрозы классифицируются по возможности нанесения ущерба при 

нарушении целей информационной безопасности; источники угроз – по 
типу 
и 
местоположению 
носителя 
угрозы; 
уязвимости 
– 
по 

принадлежности к источнику уязвимостей, возможным проявлениям. 

Классификация 
атак 
представляет 
собой 
совокупность 

возможных вариантов действий источника угроз определенными 
методами реализации с использованием уязвимостей, которые приводят 
к реализации целей атаки. Цель атаки может не совпадать с целью 
реализации угроз и быть направлена на получение промежуточного 
результата, необходимого для достижения в дальнейшем реализации 
угрозы. В случае несовпадения целей атаки с целью реализации угрозы 
сама атака рассматривается как этап подготовки к совершению действий, 
направленных на угрозы, то есть как «подготовка к совершению» 
противоправного действия.  

На основе проведенной классификации, ранжирования, анализа и 

определения актуальных угроз, источников угроз и уязвимостей 
определяются варианты возможных атак, которые позволяют оценить 
состояние информационной безопасности и оптимизировать выбор 
методов парирования угроз. 

Методов парирования угроз достаточно много. Наиболее важными 

являются следующие: 

 экономические: 

  введение системы коэффициентов и надбавок; 
 страхование оборудования и информации; 
 возмещение убытков и компенсация ущерба. 

 организационные: 

 физическая защита и организация охраны;  
 подбор и работа с персоналом; 
 организация инструктажа персонала; 
 выбор и работа с партнерами; 
 контроль выполнения требований по защите; 
 противопожарная охрана; 
 организация взаимодействия с компетентными органами;