- •Содержание
- •Введение
- •Понятие консалтинга Определение понятия «консалтинг»
- •Виды консалтинга.
- •Стили консалтинга
- •Экспертное
- •Обучающее
- •Процессное
- •Субъекты, виды и объекты консультирования
- •3. Понятие аудита информационной безопасности Определение понятия «аудит информационной безопасности»
- •4. Виды аудита информационной безопасности Активный аудит
- •Сопроводительные услуги
- •Экспертный аудит
- •Аудит на соответствие стандартам
- •Комплексный аудит
- •5. Состав работ по аудиту информационной безопасности
- •1. Организационные характеристики:
- •2. Организационно-технические характеристики:
- •3. Технические характеристики, связанные с архитектурой ис:
- •4. Технические характеристики, связанные с конфигурацией сетевых устройств и серверов ис:
- •5. Технические характеристики, связанные с использованием встроенных механизмов информационной безопасности:
- •Использование методов анализа рисков
- •Методология оценки угроз безопасности
- •Стандарты проведения аудита иб
- •Стандарты, которые помогут на этапе планирования
- •Стандарты, которые помогут на этапе проведения аудита иб
- •Стандарты, которые помогут на этапе анализа
- •Стандарты, которые помогут на этапе разработки рекомендаций по повышению уровня защиты
- •Лабораторный практикум лабораторная работа № 1
- •Общие сведения
- •Задание на лабораторную работу № 1
- •Отчет по лабораторной работе № 1
- •Лабораторная работа № 2
- •Общие сведения Подходы к оценке, анализу и управлению рисками иб
- •Табличные методы оценки и анализа рисков иб
- •Пример проведения табличной оценки рисков
- •Ранжирование угроз
- •Оценка негативного воздействия угрозы
- •Разделение рисков на приемлемые и неприемлемые
- •Задание на лабораторную работу № 2
- •Лабораторная работа № 3
- •Общие сведения оценка риска от digital security
- •Пример расчета рисков иб на основе модели угроз и уязвимостей
- •Контрольные вопросы
- •Задание на лабораторную работу № 3
- •Отчет по лабораторной работе № 3
- •Лабораторная работа № 4
- •Общие сведения
- •Контрольные вопросы
- •Задание на лабораторную работу № 4
- •Отчет по лабораторной работе № 4
- •Лабораторная работа № 5
- •Общие сведения
- •Отчет по лабораторной работе № 5
- •Задание для самостоятельной работы студента
- •I. Работа с теоретическим материалом.
- •II. Работа с дополнительными программами.
- •III. Оценка затрат на зи в организации.
- •Методика оценки затрат на зи с использованием весовых коэффициентов
- •Отчет по самостоятельной работе
- •Варианты организаций
- •Заключение
- •Список рекомендуемой и используемой литературы
3. Понятие аудита информационной безопасности Определение понятия «аудит информационной безопасности»
На данный момент в информационной безопасности нет устоявшегося определения аудита. Вот лишь несколько формулировок, используемых специалистами:
«Аудит информационных систем — это проверка используемых компанией информационных систем, систем безопасности, систем связи с внешней средой, корпоративной сети на предмет их соответствия бизнес-процессам, протекающим в компании, а также соответствия международным стандартам, с последующей оценкой рисков сбоев в их функционировании» («Консалтинг и аудит в сфере ИТ»).
«Аудит информационной безопасности – системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности» («Аудит безопасности Intranet»).
Таким образом, аудит в данном случае сводится к проверке системы информационной безопасности и сравнению результатов данной проверки с неким идеалом. Для различных видов аудита различается все три составляющие услуги аудита: средства и способы проверки, результат проверки и идеал, с которым сравнивается результат проверки.
Мы будем использовать следующее понятие аудита:
Аудит информационной безопасности (Аудит ИБ) – независимая оценка текущего состояния системы информационной безопасности, устанавливающая уровень ее соответствия определенным критериям, и предоставление результатов в виде рекомендаций.
Комплексный аудит безопасности информационных систем позволяет получить наиболее полную и объективную оценку защищенности информационной системы, локализовать имеющиеся проблемы и разработать эффективную программу построения системы обеспечения информационной безопасности организации.
Аудит безопасности проводят, решая следующие задачи:
Повышение уровня защиты информации до приемлемого;
Оптимизация и планирование затрат на обеспечение информационной безопасности;
Обоснование инвестиций в системы защиты;
Получение максимальной отдачи от инвестиций, вкладываемых в системы защиты информации;
Подтверждение того, что используемые внутренние средства контроля соответствуют задачам организации и позволяют обеспечить эффективность и непрерывность бизнеса.
Аудит информационной безопасности позволяет получить наиболее полную и объективную оценку защищенности информационной системы (ИС), локализовать имеющиеся проблемы и разработать эффективную программу построения системы обеспечения ИБ организации.
Аудит информационной безопасности можно проводить как силами штатного персонала (внутренний аудит), так и привлекая независимых специалистов (внешний аудит). Ценность внешнего аудита информационной безопасности для потенциальных клиентов заключается в следующем:
Аудит представляет собой независимое исследование, что повышает степень объективности результатов.
Эксперты, проводящие аудит, имеют более высокую квалификацию и больший опыт подобной работы, нежели штатные сотрудники организации.
Дешевле поручить выполнение работ по аудиту специализированной организации, чем организовывать их самостоятельно.