Казанский национальный исследовательский технический университет им. А.Н. Туполева-КАИ
Институт компьютерных технологий и защиты информации
Кафедра систем информационной безопасности
Курсовая работа
по дисциплине
«Аудит информационной безопасности на предприятии»
на тему
«Аудит системы управления информационной безопасностью на соответствие стандарту ISO 27001:2013»
Выполнила
студентка группы 4406
Шамсутдинова Диляра
Казань 2016
Оглавление
Кафедра систем информационной безопасности 1
Введение 3
Практические аспекты применения стандарта ISO 27001-2013 5
Описание организации 6
Программа аудита 13
Отчет по аудиту 27
Выводы по проделанной работе 33
Список источников и литературы 34
Приложение 1 35
Введение
Для эффективного функционирования любого предприятия требуется постоянный контроль деятельности и взаимодействия всех его подразделений. Особенно это важно при введении новых технологий, средств обработки информации или реорганизации структуры компании. Для проведения качественной и объективной оценки деятельности на предприятии должны проводиться периодические (не менее 1 раза в год) аудиты всей организации, подразделений или отдельных бизнес-процессов. Под аудитом понимают независимый, объективный и документированный процесс получения доказательств соответствия требованиям законодательных актов и внутренних документов. Руководство компании может проводить как внутренний аудит, так и внешний. Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании документа, обычно носящего название “Положение о внутреннем аудите“, и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации. [3] Внешний аудит проводится независимой лицензированной компанией, привлекаемый по договору об оказании услуг. Результатом любого аудита должен быть подробный отчет о выявленных соответствиях и несоответствиях деятельности предъявленным требованиям с указанием рекомендаций по устранению недостатков.
Целью данной курсовой работы является приведение действующей в ООО «ПО «Зарница» (далее Зарница) системы управления информационной безопасности в соответствие требованиям стандарта ISO 27001:2013.
Для достижения данной цели должны быть выполнены следующие задачи:
Определить организационную структуру предприятия, сферу деятельности, предоставляемые услуги, информационные системы и системы информационной безопасности;
Составить программу аудита;
Составить чек-лист аудита;
Провести аудит системы менеджмента информационной безопасности (далее СМИБ) Зарницы в соответствии с составленной программой;
Сформировать аудиторский отчет.
Практические аспекты применения стандарта iso 27001-2013
Согласно ISACA официальная сертификация на соответствие ИСО 27001 дает независимую гарантию того, что система управления информационной безопасностью организации реализуется и действует в соответствии с авторитетными требованиями международных стандартов. Внедрение ISO 27001 в качестве стандарта организации формально вынуждает организации "навести порядок" своих внутренних процессов, следовать эффективным процедурам и постоянно управлять рисками информационной безопасности.
Настоящий Международный стандарт был подготовлен для реализации требований по созданию, внедрению, поддержанию и постоянному улучшению системы менеджмента информационной безопасности. Принятие системы менеджмента информационной безопасности является стратегическим решением для организации. Разработка и внедрение системы менеджмента информационной безопасности организации зависит от потребностей и целей организации, требований по безопасности, существующих процессов организации, размера и структуры организации. Все эти факторы влияния, как ожидается, со временем изменяются. [1]
Внедрение ISO 27001 может дать предприятиям преимущество перед конкурентами и возможность предоставлять соответствующую информацию об ИТ-безопасности поставщикам и клиентам, а также может позволить руководству продемонстрировать должную осмотрительность. К тому же это может способствовать эффективному управлению затратами безопасности, улучшению ИТ-системы информационной безопасности и повышению осведомленности среди сотрудников, клиентов, поставщики и т.д.