18

ЗМІСТ

ПОЗНАЧЕННЯ ТА СКОРОЧЕННЯ 5

ВСТУП 6

1 ДОСЛІДЖЕННЯ СУЧАСНОГО СТАНУ У ГАЛУЗІ АУДИТУ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ОРГАНІЗАЦІЙ ..8

1.1 Безпека інформаційних технологій як складова комплексної безпеки підприємства 10

1. Інформаційна безпека підприємства 10

2. Завдання інформаційної безпеки 12

3. Модель побудови системи інформаційної безпеки 14

2. Аудит та моніторинг як взаємозв'язані засоби оцінки контролю інформаційної безпеки підприємства 16

3. Етапи побудови системи інформаційної безпеки 20

2 АНАЛІЗ МЕТОДІВ ТА ЗАСОБІВ ПРОВЕДЕННЯ АУДИТУ ОРГАНІЗАЦІЙ 27

1. Аудит безпеки інформаційної системи 27

2. Види аудита інформаційної безпеки 28

1. Активний аудит 28

2. Експертний аудит 30

3. Аудит на відповідність стандартам 31

3. Основні принципи аудита інформаційної безпеки 33

4. Аналіз ризиків як основа аудита комплексної системи захисту інформації підприємства 35

1. Основні положення аналізу ризиків 35

2. Технологія аналізу й керування ризиками 39

3 МЕТОДИЧНІ РЕКОМЕНДАЦІЇ ЩОДО ВИКОРИСТАННЯ СУЧАСНИХ МЕТОДІВ ТА ЗАСОБІВ ПРИ ПРОВЕДЕННІ АУДИТУ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ 48

3.1 Стандарти, які використовуються при проведенні аудита безпеки ІС 48

1. Міжнародний стандарт ISO 17799 48

2. Міжнародний стандарт ISO 15408 51

3. Стандарт SysTrust 52

4. Стандарт BST/IT Baseline Protection Manual 54

5. Міжнародний стандарт ISO/1EC 27001:2005 55

3.2 Аудит інформаційної безпеки відповідно до BS 7799. Основні положення методики, засоби й методи аудита 56

1. Підготовка до сертифікації відповідно до BS 7799 57

2. Підготовка аудитора до проведення сертифікації 58

3.3 Етапи проведення аудиту інформаційної безпеки організації 60

1. Ініціювання процедури аудиту 60

2. Збір інформації аудита 61

3. Аналіз даних аудита 63

4. Вироблення рекомендацій 64

3.3.5 Підготовка звітних документів 65

3.4 Стандарт CobiT 65

1. Основа CobiT. Поділ СоbiТ на керування й аудит 68

2. Структура принципів аудита CobiT 71

3. Застосування стандарту при проведенні аудиту Інформаційної системи організації 73

4. Практика проведення аудита інформаційної системи 74

5. Результати проведення аудита 76

5. Переваги проведення регулярного аудита 77

6. Огляд програмних продуктів, призначених для аналізу й керування ризиками 78

1. Метод CRAMM 78

2. Метод Risk Watch 81

3. Програмний комплекс ГРИФ 85

ВИСНОВКИ 90

СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ 91

ДОДАТОК А 92

Позначення та скорочення

БД	– база даних
ІБ	– інформаційна безпека
ІС ІТ ІТС КІС	– інформаційна система – інформаційні технології – інформаційно-телекомунікаційна система – контрольно-інформаційна система
КСЗІ	– комплексна система захисту інформації
НД ТЗІ	– нормативний документ системи технічного захисту інформації
НСД	– несанкціонований доступ
СУБД	– система управління базами даних
СІСА	– Certified Information System Auditor
СОВІТ	– Control Objectives for Information and Related Technology
CRAMM	– ССТА Government Risk Analysis and Management Method
ІSАСА	– The Information Systems Audit and Control Association & Foundation

ВСТУП

З розвитком інформаційних технологій збільшується ризик витоку інформації, зараження вірусами, втручання в роботу системи. Важливо усвідомлювати стан захищеності ресурсів в інформаційній системі, щоб протистояти різним видам погрози її безпеки. Реальну допомогу в цьому може зробити дослідження стану безпеки інформаційної системи - аудит безпеки.

Для організацій, комп'ютерні мережі яких нараховують не один десяток комп'ютерів з різними операційними системами, на перше місце виступає завдання управління безліччю різноманітних захисних механізмів у таких гетерогенних корпоративних мережах. Складність мережної інфраструктури, різноманіття даних і додатків приводять до того, що при реалізації системи інформаційної безпеки за межами уваги адміністратора безпеки можуть залишитися багато загроз. Тому необхідно здійснення регулярного аудита й постійного моніторингу безпеки інформаційних систем.

Сьогодні не викликає сумнівів необхідність вкладень у забезпечення інформаційної безпеки сучасного великого бізнесу. Основне питання сучасного бізнесу - як оцінити необхідний рівень вкладень в інформаційну для забезпечення максимальної ефективності інвестицій у дану сферу. Для рішення цього питання існує тільки один спосіб - застосовувати системи аналізу ризиків, що дозволяють оцінити існуючі в системі ризики й вибрати оптимальний по ефективності варіант захисту.

У зв’язку з цим можна зробити висновок, що тема магістерської роботи, присвячена розробці рекомендацій щодо використання сучасних методів та засобів при проведенні аудиту інформаційної безпеки організації, є актуальної науковою задачею.

Мета даної магістерської роботи - виявлення особливостей побудови та використання сучасних методів і засобів аудиту інформаційної безпеки підприємства (організації).

Для досягнення поставленої мети вирішуються такі основні завдання:

• дослідження сучасного стану у галузі аудиту інформаційної безпеки організацій;

• аналіз методів та засобів проведення аудиту організацій;

• розробка методичних рекомендацій щодо використання сучасних методів та засобів при проведенні аудиту інформаційної безпеки організацій.

Новизна одержаних результатів полягає у наступному:

• на основі системного підходу сформульовані основні тенденції та підходи до проведення аудиту інформаційної безпеки організацій;

• на основі аналітичних досліджень сучасних методів аналізу методів та засобів аудиту сформульовані основані принципи проведення аудиту та основні підходи до проведення аналізу ризиків, оцінювання ризиків, вибору припустимого рівня ризиків, вибір контрзаходів та оцінка їхньої ефективності;

• запропоновані методичні рекомендації щодо використання сучасних методів та засобів при проведенні аудиту безпеки організації відповідно до сучасних міжнародних стандартів.

Галузь застосування. Матеріали роботи можуть бути використані при планування та проведенні аудиту безпеки інформаційно-телекомунікаційної системи організації.

Апробація результатів роботи. Основні положення роботи доповідалися та обговорювалися на науково-методичному семінарі кафедри безпеки інформаційних технологій ДУІКТ.