Файловый архив студентов. Файловый архив студентов.
1302 вуза, 5091 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Московский государственный университет им. М.В. Ломоносова
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
LEKTsIYa_9_1.doc
Скачиваний:
0
Добавлен:
01.05.2025
Размер:
109.06 Кб
Скачать
►Содержание►

Офіційний звіт, підготований у результаті проведення даного виду аудиту, включає наступну інформацію:

  • ступінь відповідності ІС обраним стандартам;

  • ступінь відповідності власним внутрішнім вимогам в області ІБ;

  • кількість і категорії отриманих невідповідностей і зауважень;

  • рекомендації з побудови або модифікування системи забезпечення ІБ, що дозволяють привести її у відповідність з даним стандартом;

  • докладне посилання на основні документи замовника, включаючи полі­тику безпеки, опис процедур забезпечення ІБ, додаткові обов'язкові і необов'язкові стандарти і норми, які застосовуються до даної організації.

Причини проведення аудиту на відповідність стандарту (і сертифікування) можна умовно поділити за ступенем обов'язковості даної послуги у відношенні до організації:

  • обов'язкове сертифікування;

  • сертифікування, викликане ″зовнішніми″ об'єктивними причинами;

  • сертифікування, яке дає змогу отримати переваги у довгостроковій перспективі;

  • добровільне сертифікування.

Державні організації, які обробляють відомості, що становлять державну таємницю, відповідно до чинного законодавства зобов'язані проводити атес­ту­вання ІС. Однак, найчастіше вони користуються не послугою аудиту на відповідність стандартам, а в обов'язковому порядку проводять атесту­вання власних ІС.

Останнім часом вищий менеджмент організацій розглядає отримання сертифікату, який підтверджує високий рівень ІБ, як додатковий чинник довіри у боротьбі за поважного клієнта або ділового партнера. У цьому випадку доцільним є проведення аудиту з подальшим сертифікуванням на відповідність тим стандартам, які є значущими для клієнта або ділового партнера.

На закінчення відзначимо, що при плануванні перевірки стану системи ІБ важливо не тільки точно вибрати вид аудиту, виходячи з потреб і можливостей організації, але і не помилитися з вибором виконавця.

Якщо аудит проводить консалтингова компанія, яка крім консалтингової діяльності займається ще й розробленням власних систем захисту інформації, вона, зі зрозумілих причин, зацікавлена в тому, щоб результати аудиту рекомендували замовнику використовувати її продукти. Для того щоб настанови на основі аудиту були дійсно об'єктивними, необхідно, щоб ком­панія-аудитор була незалежною у виборі використовуваних систем захисту інформації і мала великий досвід роботи в галузі ІБ.

9.2. Аутсорсинг у сфері інформаційних технологій

Аутсорсинг у сфері інформаційних технологій – передавання сторонньому підряднику ряду внутрішніх по­с­луг і (або) внутрішніх сервісів уста­нови-замовника, у то­му числі на основі використання програмних продуктів, до­датків, технічних засобів і фраг­ментів інфраструктури.

Аутсорсинг може розглядатися як сервіс, організований певною компанією, де кілька послуг надаються комп­лексно для повного охоплення потреб клієнта. На прак­ти­ці, зазвичай, акцент ставиться на одну з конкретних обра­них послуг.

Обслуговування інформаційних систем. Обслуговування ІС – найбільш поширений на практиці вид аут­сорсингу в сфері ІТ. За такого обслу­говування за­мовнику пропонується комплексний набір послуг, що доз­воляє йому обійтися без власного системного адмі­ністра­тора або ж значно знизити його завантаженість. Обслуго­вування ІС, як правило, включає у себе нас­тупні види послуг:

  • налаштування і оновлення апаратної частини ІС;

  • супровід програмного забезпечення;

  • створення захисту проти несанкціонованого дос­ту­пу до активів ІС.

На практиці аутсорсери надають супутні послуги – створення VPN-мереж, IP-телефонія, ІТ-аудит та ІТ-кон­сал­тинг.

Аутсорсинг розміщення інформаційних систем (SoD). Аутсорсинг розміщення ІТ-систем (модель ″прог­рам­не забезпечення на вимогу″, (Software on-Demand, SoD) є різновидом аутсорсингу інформаційних про­це­сів. На від­міну від звичайного хостингу, SoD-аутсорсер не тільки надає фізичне устаткування для розміщення ІС, а й забезпечує їх супровід (вста­новлення, підтримку, оновлен­ня і, за необхідності, навчання персоналу).

У рамках моделі SoD замовники платять не за во­ло­діння програмним забезпеченням як таким, а за його оренду. Таким чином, на відміну від класичної схеми ліцен­зування ПЗ, замовник несе порівняно невеликі пері­о­дичні витрати, і йому не потрібно інвестувати значні кошти в придбання ПЗ. Модель передбачає, що у випадку тимча­со­вої відсутності потреби в ПЗ, замовник може призупинити виплати.

Аутсорсинг процесів управління інформаційною безпекою. Система управління інформаційною безпекою організації, є, перш за все, сукупністю взаємодії про­цесів, більшість з яких може здійснюватися із залученням сторонньої спеціалізованої організації, фахівці якої мають необхідний досвід і кваліфікацію, або бути повністю пере­даною на аутсорсинг цій спеціалізованій організації.

Спеціалізована установа, яка виконує частковий або повний аутсорсинг ключових процесів управління ІБ забезпечує:

  • управління ризиками системи ІБ;

  • внутрішній аудит системи ІБ.

Передаючи ці процеси на аутсорсинг, організація отримує такі основні переваги:

  • економія часу і коштів на впровадження процесів управління ІБ в організації (процеси управління ІБ запро­ваджуються одразу ж після укла­дення відповідної угоди про рі­вень сервісу в повному обсязі, для їх реалізу­вання вико­рис­товується вже готова технологія);

  • досягнення більш високого рівня якості та ефек­тивності процесів управління ІБ (фахівці спеціалізованої організації володіють сучасними технологіями і засобами ІБ, мають накопичений достатній досвід у пред­метній області і вдосконалюють свою кваліфікацію);

  • істотне скорочення операційних витрат на забез­печення ІБ (вартість аутсорсингу, як правило, не переви­щує витрат на заробітну платню одного фахівця відповід­ної кваліфікації, який відряджається для реалізуван­ня управління ІБ, не враховуючи витрат на навчання та підтримку рівня кваліфікації фахів­ця, організацію робо­чого місця, соціальну прог­раму, податки тощо);

  • значне заощадження коштів на відповідних тех­ніч­них і програмних засобах (спеціалізована організація воло­діє усіма необхідними засобами для проведення інвентар­ризації ресурсів, оцінювання ризи­ків, відповідності ви­мо­­гам стандартів та серти­фі­кування систем ІБ, розроблення по­літик безпеки і регламентів, планування процесів внут­рішнього аудиту, звітності тощо, окрім того, позбавляє від неминучого вибору серед існую­чих техно­логій, незна­йо­мих прог­рамних і апаратних засо­бів);

  • потенційно більш високий ступінь незалежності та об'єктивності зовнішніх фахівців (фахівці спеціалізо­ва­ної установи не пов’язані мірку­ваннями кар'єрного зрос­тан­ня в установі замовника, внутрішніми політич­ними та еко­но­мічними міркуваннями, тісними особистими взаєми­нам і іншими умовами, здатними істотно вплинути на об'єк­тив­ність аудиторських висновків або результати оці­ню­вання ризиків).

Приймаючи процеси управління ІБ та внутрішнього аудиту на аутсорсинг спеціалізована установа бере на себе відповідальність за те, що система захисту інформації:

    • повністю відповідає вимогам чинного законодавства та нормативної бази в галузі захисту інформації, існу­ючим міжнародним і національним стандартам, а також передового досвіду забезпечення ІБ;

    • адекватно оцінює існуючі інформаційні ризики і своєчасно реагує на постійно змінювані тенденції, появу нових загроз і технологій забезпечення безпеки;

    • забезпечує проходження обов'язкового зовнішнього аудиту, який подає свої висновки регулюючим органам;

    • є у змозі забезпечити необхідний рівень захищеності ІТ-інфра­струк­тури та інформаційних ресурсів, який би відповідав існуючим ризикам, вимогам безпеки, законо­дав­ства і контрактних зобов'язань;

    • своєчасно виявляє і усуває технічні недоліки систе­ми ІБ, а також будь-які невідповідності у складі та змісті до­ку­­ментації, кваліфікації та розподілу функцій пер­соналу, організації внутрішніх процесів забезпечення ІБ.

Аутсорсинг процесів управління ІБ здійснюється відповідно до угоди про рівень сервісу, яка чітко визначає основні метрики і показники ефективності системи ІБ. У результаті установа-замовник отримує керовані, докумен­то­вані і вимірювані процеси управління ІБ, на фундаменті яких, властиво, і буде формуватися цілісна система управ­ління ІБ організації.

Стосовно передавання процесів управління ІБ є очевидними наявні переваги суттєвого зменшення витрат на утримання ІТ-підрозділів відмовившись від повного штату персоналу і передати частину їхньої роботи (а в багатьох випадках –повністю) на аутсорсинг.

Недоліком аутсорсингу є загроза невиконання умов конфіденційності. Аутсорсер гарантує, що витік інфор­ма­ції про замовника неможливий, але виконання цього пункту не може гарантуватися стовідсотково.

ДЛЯ НОТАТОК

ДЛЯ НОТАТОК

ДЛЯ НОТАТОК

ДЛЯ НОТАТОК

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности