Файловый архив студентов. Файловый архив студентов.
1304 вуза, 5171 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Самарский государственный экономический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
!!!_ЛЕКЦИИ по ОиУСЗИ.doc
Скачиваний:
0
Добавлен:
01.04.2025
Размер:
1.95 Mб
Скачать
►Содержание►

4. Особенности аудита безопасности

Проблема безопасности относится к числу сложных проблем, которые строго методически решить невоз­можно т. к. они характеризуются большим количеством и многооб­разием факторов (барьеров, происшествий, угроз), влияющих на состояние безопасности, которые однозначно выявить и строго описать не удается. Для решения проблем разработан системный подход. Системный подход - это концепция исследования сложных слабоформализуемых проблем, рассматри­вающий объект изучения (исследования, заучивания и т. д.) в виде единой условной системы.

Эффективность реализации системного подхода при аудите безопасности на практике зависит от умения аудитора выявить и объективно анализировать все личностные факторы и связи доста­точно сложного объекта защиты, какими являются коммерческие организации. Необходимым условием такого умения является на­личие глубоких аудиторских знаний и системного мышления, фор­мируемого в результате соответствующего обучения и практиче­ского решения слабоформализуемых проблем.

Особенности аудита:

  1. Научной основой аудита безопасности является системный подход к объекту защиты с изучением, выявлением и применением закономерностей, общих для систем типичного уровня.

  2. Проблемы безопасности относятся к числу творческих задач, решаемых на основе комплексных подходов к решению слабо­структурированных задач в социально-экономических системах.

  3. Результативность и качество аудита безопасности зависят от человека, решающего эти задачи, от его мыслительной деятельно­сти. Процесс решения слабоструктурированной задачи - это слож­ный субъективный процесс.

  4. Результатом аудита безопасности является оценка соответст­вия безопасности требованиям, установленным на объекте защиты.

  5. Основой решения слабоформализованных задач является со­ответствие формализованной модели требований безопасности ре­альному формализованному состоянию.

  6. Объектом исследования аудита безопасности является фирма (организация, предприятие).

Как на практике реализовать перечисленные возможности? По мнению специалистов - путем проведения аудита информационной безопасности. Здесь под термином "аудит информационной безо­пасности корпоративной системы Internet/Intranet" понимается сис­темный процесс получения объективных качественных и количест­венных оценок о текущем состоянии информационной безопасно­сти компании в соответствии с определенными критериями и пока­зателями безопасности на всех основных уровнях обеспечения безопасности: методологическом, организационно-управленческом, технологическом и техническом. Таких оценок, которые позволяют выработать практические рекомендации по управлению и обеспе­чению информационной безопасности компании, адекватные ее поставленным целям и задачам развития бизнеса.

Возможные варианты аудита информационной безопасности:

1. Комплексный анализ ис предприятия и подсистемы информационной безопасности на методологическом, ор­ганизационно-управленческом, технологическом и техни­ческом уровнях. Анализ рисков.

1). Исследование и оценка состояния информационной безо­пасности КИС и подсистемы информационной безопасности пред­приятия.

  • Комплексная оценка соответствия типовым требованиям Гостехкомиссии РФ к системе информационной безопасности пред­приятия.

  • Комплексная оценка соответствия типовым требованиям меж­дународных стандартов ISO к системе информационной безопасно­сти предприятия.

  • Комплексная оценка соответствия специальных требований заказчика к системе информационной безопасности предприятия.

2). Работы на основе анализа рисков.

  • Анализ рисков. Уровень управления рисками на основе каче­ственных оценок рисков.

  • Анализ рисков. Уровень управления рисками на основе коли­чественных оценок рисков.

3). Инструментальные исследования.

  • Инструментальное исследование элементов инфраструктуры компьютерной сети и корпоративной информационной системы на наличие уязвимостей.

  • Инструментальное исследование защищенности точек доступа предприятия в Internet.

4). Анализ документооборота предприятия.

2. Разработка комплексных рекомендаций по методоло­гическому, организационно-управленческому, технологи­ческому, общетехническому и программно-аппаратному обеспечению режима информационной безопасности предприятия.

1).Разработка концепции обеспечения информационной безо­пасности предприятия.

2). Разработка корпоративной политики обеспечения информа­ционной безопасности предприятия на организационно-управлен­ческом, правовом, технологическом и техническом уровнях.

3). Разработка плана защиты предприятия заказчика.

4). Дополнительные работы по анализу и созданию методоло­гического, организационно-управленческого, технологического, ин­фраструктурного и технического обеспечения режима информаци­онной безопасности предприятия заказчика.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности