Скачать ZIP архив | Скачать RAR архив
Комплексный аудит АС включает в себя:
- инициирование процедуры аудита
- сбор информации аудита
- анализ данных аудита
- выработка рекомендаций
- подготовка аудиторского отчета
- инициирование процедуры аудита
Аудит проводится не по инициативе аудитора, а по инициатеиве руководства компании. Аудит — комплекс мероприятий, в которых помимо самого аудитора, оказываются задействованными прдеставители большинства структурных подразделений компании.
- права и обязанности аудитора должны бвть четко определены и документально запреклены.
- аудитором должна быть подготовлен и согласован план проведения аудита
- в положении о внутреннем аудите должно быть закреплено в частности что сотрудники компании обязаны оказывать содействовать аудитору
Границы проведения обследования
- список обследуемых физ, прог, информ.ресурсов
- площадки попадающие в границы обследования
- основные виды угроз безопасности, рассматриваемые при проведении аудита
- организационные (законодат, административ, и процедурн), физич, программно-техн итд.
Первый пункт аудиторского обледования начинается с получения информации об организационной структуре пользователей ИС и обслуживающих подразделений. -схема организационной структуры пользователей. -схема организационной структуры обслуживающих подразделений
Аудитор здает вопросы:
-кто является владельцем информации? -кто является пользователем (потребителем) информации? -кто является провайдером услуг? -какие услуги и каким образом предоставляются? -какие основные виды приложений функционируют в ис? -каковы количество и виды пользователей, использующих этих приложения? -из каких компонентов подсистем состоит ис? -какова функциональность отдельных компонент? -где проходит границы системы -как ис взаимодействует с другими системами -какие каналы связи используются для взаимодействия с другими ис? -какие каналы связи используются для взаимодействия между компонентами ис? -по каким протоколам осуществляется взаимодействие? -какие прог-тех платформы используются при пострении системы? -структурная схема ИС -схема информационных потоков -описание структуры по -описание структуры инф.обесп -размещение компонентов ис
Первый подход, самый сложный, базируется на анализе рисков. Второй подход, самый практичный, опирается на использование стандартов ИБ. Стандарты определяют набор требований Б для широкого класса ИС, который формируется в результате обобщения мировой практики. Третий подход, самый эффективный (дорогой, долгий, сложный), предполагает комбинирование первых двух.
АНАЛИЗ РИСКОВ — этото, с чего должно начинаться построение любой системы информационной безопасности. РИСК — определяется вероятностью причинения ущерба и величиной ущерба, наносимого ресурсам ИС в случае осуществления угрозы безопасности.
Анализ рисков в выявлении существующих рисков и оценке их величины (дать им качественную либо количественную оценку). Процесс анализа рисков можно разделить на несколько последовательных этапов:
- идентификация ключевых ресурсов ИС
- определение важности тех или иных ресурсов
- идентификация существующих угроз безопасности и уязвимости
- вычисление рисков, связанных с осуществлением угроз безопасности
Ресурсы ИС можно разделить на следующие категории:
- информ.ресурсы
- ПО
- техн.средства (серверы, раб.станции, активн.сетевое оборуд, итп)
- людские ресурсы
Важность (или стоимость) — ресурса определяется величиной ущерба, наносимого в случае нарушения конфиденциальности, целостности или доступности этого ресурса.
Величина риска определяется на основе стоимости ресурса, вероятности осуществления угрозы и величины уязвимости по следующей формуле:
Риск = Стоимость ресурса * Вероятность угрозы / Величина уязвимости
В случае проведения аудита безопасности на соответствие требованиям стандарта аудитор, полагаясь на свой опыт, оценивает применимость требований стандарта к обследуемой ИС и ее соответствие этим требованиям Данные о соответствии различных областей функционирования ИС требованиям стандарта обычно предоставляются в табличной форме.
В любом случае рекомендации аудитора должны быть конкретными и применимыми к данной ИС, экономически обоснованными, аргументированными и отсортированными по степени важности.
Аудиторский отчет является основным результатом проведения аудита.
Однако определенные разделы должны обязательно присутствовать в аудиторском отчете.
- описание целей процедения аудита
- характеристику обследуемой ИС
- указание границ проведения аудита и используемых методов
- результаты анализа данных аудита
- выводы, обобщающие эти результаты и содержащие оценку уровня защищенности АС или соответствие ее требованиям стандартов
- рекомендации аудитора по устранению существующих недостатоков и совершенствованию системы защиты.