Скачать ZIP архив | Скачать RAR архив

Комплексный аудит АС включает в себя:
— инициирование процедуры аудита
— сбор информации аудита
— анализ данных аудита
— выработка рекомендаций
— подготовка аудиторского отчета
— инициирование процедуры аудита

Аудит проводится не по инициативе аудитора, а по инициатеиве руководства компании.
Аудит — комплекс мероприятий, в которых помимо самого аудитора, оказываются задействованными прдеставители большинства структурных подразделений компании.
— права и обязанности аудитора должны бвть четко определены и документально запреклены.
— аудитором должна быть подготовлен и согласован план проведения аудита
— в положении о внутреннем аудите должно быть закреплено в частности что сотрудники компании обязаны оказывать содействовать аудитору

Границы проведения обследования
— список обследуемых физ, прог, информ.ресурсов
— площадки попадающие в границы обследования
— основные виды угроз безопасности, рассматриваемые при проведении аудита
— организационные (законодат, административ, и процедурн), физич, программно-техн итд.

Первый пункт аудиторского обледования начинается с получения информации об организационной структуре пользователей ИС и обслуживающих подразделений.
-схема организационной структуры пользователей.
-схема организационной структуры обслуживающих подразделений

Аудитор здает вопросы:

-кто является владельцем информации?
-кто является пользователем (потребителем) информации?
-кто является провайдером услуг?
-какие услуги и каким образом предоставляются?
-какие основные виды приложений функционируют в ис?
-каковы количество и виды пользователей, использующих этих приложения?
-из каких компонентов подсистем состоит ис?
-какова функциональность отдельных компонент?
-где проходит границы системы
-как ис взаимодействует с другими системами
-какие каналы связи используются для взаимодействия с другими ис?
-какие каналы связи используются для взаимодействия между компонентами ис?
-по каким протоколам осуществляется взаимодействие?
-какие прог-тех платформы используются при пострении системы?
-структурная схема ИС
-схема информационных потоков
-описание структуры по
-описание структуры инф.обесп
-размещение компонентов ис

Первый подход, самый сложный, базируется на анализе рисков.
Второй подход, самый практичный, опирается на использование стандартов ИБ. Стандарты определяют набор требований Б для широкого класса ИС, который формируется в результате обобщения мировой практики.
Третий подход, самый эффективный (дорогой, долгий, сложный), предполагает комбинирование первых двух.

АНАЛИЗ РИСКОВ — этото, с чего должно начинаться построение любой системы информационной безопасности.
РИСК — определяется вероятностью причинения ущерба и величиной ущерба, наносимого ресурсам ИС в случае осуществления угрозы безопасности.

Анализ рисков в выявлении существующих рисков и оценке их величины (дать им качественную либо количественную оценку). Процесс анализа рисков можно разделить на несколько последовательных этапов:
— идентификация ключевых ресурсов ИС
— определение важности тех или иных ресурсов
— идентификация существующих угроз безопасности и уязвимости
— вычисление рисков, связанных с осуществлением угроз безопасности

Ресурсы ИС можно разделить на следующие категории:
— информ.ресурсы
— ПО
— техн.средства (серверы, раб.станции, активн.сетевое оборуд, итп)
— людские ресурсы

Важность (или стоимость) — ресурса определяется величиной ущерба, наносимого в случае нарушения конфиденциальности, целостности или доступности этого ресурса.

Величина риска определяется на основе стоимости ресурса, вероятности осуществления угрозы и величины уязвимости по следующей формуле:

Риск = Стоимость ресурса * Вероятность угрозы / Величина уязвимости

В случае проведения аудита безопасности на соответствие требованиям стандарта аудитор, полагаясь на свой опыт, оценивает применимость требований стандарта к обследуемой ИС и ее соответствие этим требованиям Данные о соответствии различных областей функционирования ИС требованиям стандарта обычно предоставляются в табличной форме.

В любом случае рекомендации аудитора должны быть конкретными и применимыми к данной ИС, экономически обоснованными, аргументированными и отсортированными по степени важности.

Аудиторский отчет является основным результатом проведения аудита.

Однако определенные разделы должны обязательно присутствовать в аудиторском отчете.
— описание целей процедения аудита
— характеристику обследуемой ИС
— указание границ проведения аудита и используемых методов
— результаты анализа данных аудита
— выводы, обобщающие эти результаты и содержащие оценку уровня защищенности АС или соответствие ее требованиям стандартов
— рекомендации аудитора по устранению существующих недостатоков и совершенствованию системы защиты.