- •Лекція 9.
- •9.1. Аудит захищеності інформаційних систем
- •Активний аудит. Одним з найпоширеніших видів аудиту є активний аудит. Це дослідження стану захищеності іс з точки зору зловмисника, який володіє високою кваліфікацією в області іт.
- •Експертний аудит. Експертний аудит можна умовно подати як порівняння стану іб з ″ідеальним″ описом.
- •Офіційний звіт, підготований у результаті проведення даного виду аудиту, включає наступну інформацію:
- •9.2. Аутсорсинг у сфері інформаційних технологій
Лекція 9.
АУДИТ ЗАХИЩЕНОСТІ ІНФОРМАЦІЙНИХ СИСТЕМ. Аутсорсинг у сфері інформаційних технологій
План
9.1. Аудит захищеності інформаційних систем
9.2. Аутсорсинг у сфері інформаційних технологій
Вступ
У даний час все більш актуальними на ринку інформаційних технологій стають послуги аудиту захищеності інформаційних систем та аутсорсингу у сфері інформаційних технологій. Однак, як показує практика, і замовники, і постачальники найчастіше розуміють суть цих послуг по-різному. Акцентуємо увагу на особливостях різних видів аудиту захищеності ІС та аутсорсингу. Крім того, детально розглянемо головні критерії раціонального вибору і застосування того або іншого виду аудиту.
9.1. Аудит захищеності інформаційних систем
Аудит інформаційної безпеки є обов'язковим механізмом контролю захищеності ресурсів ІС для будь-якої організації. Він повинен проводитися не рідше одного разу на рік незалежними експертами, які мають відповідну кваліфікацію та досвід. Аудит дозволяє керівництву організації, її акціонерам та третім сторонам отримати об'єктивну інформацію про стан її ІБ.
Аудит ІБ є комплексом робіт, який включає дослідження всіх аспектів забезпечення ІБ в організації, що проводиться за узгодженим із замовником планом, відповідно до обраної методики.
Основними цілями проведення робіт з аудиту ІБ організації є:
незалежне оцінювання поточного стану захищеності ІС;
ідентифікування та ліквідування загроз;
техніко-економічне обґрунтування механізмів безпеки;
забезпечення відповідності вимогам чинного законодавства;
мінімізування збитків від інцидентів безпеки.
Основним результатом аудиту ІБ є звіт, який містить опис поточного стану ІБ в організації, опис виявлених загроз і невідповідностей обраним критеріям аудиту, а також рекомендації щодо їх усунення.
Процедура аудиту ІБ включає у себе:
ініціювання та планування;
обстеження, документування та збір інформації;
аналіз отриманих даних і загроз;
вироблення рекомендацій;
підготовка звітних документів і здача робіт.
У якості критеріїв аудиту ІБ використовуються:
міжнародні, національні та галузеві стандарти;
законодавча і нормативна база;
внутрішні організаційно-розпорядчі документи організації;
вимоги, сформульовані за результатами оцінювання ризиків;
Методика проведення аудиту ІБ включає в себе:
методи аналізу захищеності, аналіз конфігурації засобів захисту інформації, аналіз сценаріїв здійснення атак;
інтерв'ю зі співробітниками організації з використанням заздалегідь підготованих і стандартизованих опитувальних листів;
документування та аналіз ризиків з використанням спеціалізованого програмного інструментарію і шаблонів звітів;
аналіз організаційно-розпорядчої документації з забезпечення ІБ;
оцінювання процесів забезпечення ІБ в організації, кваліфікації працівників, знання ними своїх посадових обов'язків та ступеня їх обізнаності у питаннях ІБ;
оцінювання достатності фізичних механізмів безпеки.