Скачать ZIP архив | Скачать RAR архив

Комплексный аудит АС включает в себя:

  • инициирование процедуры аудита
  • сбор информации аудита
  • анализ данных аудита
  • выработка рекомендаций
  • подготовка аудиторского отчета
  • инициирование процедуры аудита

Аудит проводится не по инициативе аудитора, а по инициатеиве руководства компании. Аудит — комплекс мероприятий, в которых помимо самого аудитора, оказываются задействованными прдеставители большинства структурных подразделений компании.

  • права и обязанности аудитора должны бвть четко определены и документально запреклены.
  • аудитором должна быть подготовлен и согласован план проведения аудита
  • в положении о внутреннем аудите должно быть закреплено в частности что сотрудники компании обязаны оказывать содействовать аудитору

Границы проведения обследования

  • список обследуемых физ, прог, информ.ресурсов
  • площадки попадающие в границы обследования
  • основные виды угроз безопасности, рассматриваемые при проведении аудита
  • организационные (законодат, административ, и процедурн), физич, программно-техн итд.

Первый пункт аудиторского обледования начинается с получения информации об организационной структуре пользователей ИС и обслуживающих подразделений. -схема организационной структуры пользователей. -схема организационной структуры обслуживающих подразделений

Аудитор здает вопросы:

-кто является владельцем информации? -кто является пользователем (потребителем) информации? -кто является провайдером услуг? -какие услуги и каким образом предоставляются? -какие основные виды приложений функционируют в ис? -каковы количество и виды пользователей, использующих этих приложения? -из каких компонентов подсистем состоит ис? -какова функциональность отдельных компонент? -где проходит границы системы -как ис взаимодействует с другими системами -какие каналы связи используются для взаимодействия с другими ис? -какие каналы связи используются для взаимодействия между компонентами ис? -по каким протоколам осуществляется взаимодействие? -какие прог-тех платформы используются при пострении системы? -структурная схема ИС -схема информационных потоков -описание структуры по -описание структуры инф.обесп -размещение компонентов ис

Первый подход, самый сложный, базируется на анализе рисков. Второй подход, самый практичный, опирается на использование стандартов ИБ. Стандарты определяют набор требований Б для широкого класса ИС, который формируется в результате обобщения мировой практики. Третий подход, самый эффективный (дорогой, долгий, сложный), предполагает комбинирование первых двух.

АНАЛИЗ РИСКОВ — этото, с чего должно начинаться построение любой системы информационной безопасности. РИСК — определяется вероятностью причинения ущерба и величиной ущерба, наносимого ресурсам ИС в случае осуществления угрозы безопасности.

Анализ рисков в выявлении существующих рисков и оценке их величины (дать им качественную либо количественную оценку). Процесс анализа рисков можно разделить на несколько последовательных этапов:

  • идентификация ключевых ресурсов ИС
  • определение важности тех или иных ресурсов
  • идентификация существующих угроз безопасности и уязвимости
  • вычисление рисков, связанных с осуществлением угроз безопасности

Ресурсы ИС можно разделить на следующие категории:

  • информ.ресурсы
  • ПО
  • техн.средства (серверы, раб.станции, активн.сетевое оборуд, итп)
  • людские ресурсы

Важность (или стоимость) — ресурса определяется величиной ущерба, наносимого в случае нарушения конфиденциальности, целостности или доступности этого ресурса.

Величина риска определяется на основе стоимости ресурса, вероятности осуществления угрозы и величины уязвимости по следующей формуле:

Риск = Стоимость ресурса * Вероятность угрозы / Величина уязвимости

В случае проведения аудита безопасности на соответствие требованиям стандарта аудитор, полагаясь на свой опыт, оценивает применимость требований стандарта к обследуемой ИС и ее соответствие этим требованиям Данные о соответствии различных областей функционирования ИС требованиям стандарта обычно предоставляются в табличной форме.

В любом случае рекомендации аудитора должны быть конкретными и применимыми к данной ИС, экономически обоснованными, аргументированными и отсортированными по степени важности.

Аудиторский отчет является основным результатом проведения аудита.

Однако определенные разделы должны обязательно присутствовать в аудиторском отчете.

  • описание целей процедения аудита
  • характеристику обследуемой ИС
  • указание границ проведения аудита и используемых методов
  • результаты анализа данных аудита
  • выводы, обобщающие эти результаты и содержащие оценку уровня защищенности АС или соответствие ее требованиям стандартов
  • рекомендации аудитора по устранению существующих недостатоков и совершенствованию системы защиты.