Аудит информационной безопасности

Такие методики работы по анализу рисков информационной безопасности, проектированию и сопровождению систем безопасности должны позволить:

• произвести количественную оценку текущего уровня безопасности, задать допустимые уровни рисков, разработать план мероприятий по обеспечению требуемого уровня безопасности на организационно-управленческом, технологическом и техническом уровнях с использованием современных методик и средств;

• рассчитать и экономически обосновать перед руководством или акционерами размер необходимых вложений в обеспечение безопасности на основе технологий анализа рисков, соотнести расходы на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения;

• выявить и провести первоочередное блокирование наиболее опасных уязвимостей до осуществления атак на уязвимые ресурсы;

• определить функциональные отношения и зоны ответственности при взаимодействии подразделений и лиц по обеспечению информационной безопасности предприятия, создать необходимый пакет организационно-распорядительной документации;

• разработать и согласовать со службами организации, надзорными органами проект внедрения необходимых комплексов защиты, учитывающий современный уровень и тенденции развития информационных технологий;

• обеспечить поддержание внедренного комплекса защиты в соответствии с изменяющимися условиями работы организации, регулярными доработками организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты.

В последнее время в разных странах появилось новое поколение стандартов информационной безопасности компьютерных информационных систем, посвященных практическим вопросам обеспечения и аудита информационной безопасности. Это, прежде всего, международные и национальные стандарты оценки и управления информационной безопасностью ISO 15408, ISO 17799 (BS 7799), BSI; стандарты аудита информационных систем и информационной безопасности COBIT, SAC, COSO, SAS 55/78 и некоторые другие, аналогичные им.

В соответствии с этими стандартами обеспечение информационной безопасности в любой компании предполагает следующее. Во-первых, определение целей обеспечения информационной безопасности компьютерных систем. Во-вторых, создание эффективной системы управления информационной безопасностью. В-третьих, расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия информационной безопасности заявленным целям. В-четвертых, применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния. В-пятых, использование методик (с обоснованной системой метрик и мер обеспечения информационной безопасности) проведения аудита информационной безопасности, позволяющих объективно оценить текущее состояние дел.

Новое поколение стандартов отличается как от предыдущего, так и от Руководящих документов Гостехкомиссии России 1992-1998 годов, большей формализацией аудиторской деятельности и более детальным комплексным учетом качественно и количественно проверяемых показателей информационной безопасности компании. Комплексный учет показателей предполагает комплексный подход к аудиту, когда на соответствие определенным правилам проверяется не только программно-техническая составляющая информационной безопасности компьютерной системы, но и организационно-административные меры по ее обеспечению.

А для практики аудита исключительно важным стало принятие в период с 1996 по 2001 год стандартов аудита информационных систем и информационной безопасности, действующих и поныне. Так, например, Ассоциация аудита и управления информационными системами (The Information Systems Audit and Control Association & Foundation - ISACA), регламентирующими практику процедуры проведения аудита, а также права и обязанности аудиторов стандарты объединила в следующие группы:

• хартия аудитора (010 Audit Charter) - определяет права и обязанности аудитора;

• обеспечение независимости (020 Independence) - описаны гарантии профессиональной независимости аудитора и взаимоотношения с другими компаниями;

• профессиональная этика (030 Professional Ethics and Standards) - перечислены требования к профессиональной этике аудиторов и их взаимоотношениям в профессиональной среде;

• требования к квалификации аудитора (040 Competence) - приведен список формальных требований к знаниям и навыкам, необходимых для работы аудитора;

• планирование работ по аудиту (050 Planning) - рассмотрена предоставляемая аудитору до начала работ документация и требования, которым должен отвечать план проверки;

• подотчетность действий аудитора (060 Performance of Audit Work) - описаны контрольные операции за действиями аудитора со стороны персонала проверяемой системы (supervision) и корректностью полученных выводов (evidence);

• требования к отчетной документации (070 Reporting) - показана рекомендуемая форма отчета и его содержание;

• последующие действия (080 Follow-Up Activities) - описана процедура надзора за исправлениями, которые вносятся после аудита.

Рассмотрим некоторые стандарты, затрагивающие вопросы аудита информационной безопасности, несколько подробнее.








Дата добавления: 2016-04-19; просмотров: 1038;


Поиск по сайту:

При помощи поиска вы сможете найти нужную вам информацию.

Поделитесь с друзьями:

Если вам перенёс пользу информационный материал, или помог в учебе – поделитесь этим сайтом с друзьями и знакомыми.
helpiks.org - Хелпикс.Орг - 2014-2024 год. Материал сайта представляется для ознакомительного и учебного использования. | Поддержка
Генерация страницы за: 0.004 сек.