Файловый архив студентов. Файловый архив студентов.
1311 вуз, 5247 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Казанский национальный исследовательский технический университет им. А. Н. Туполева
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Курсовая работа аудит иб.docx
Скачиваний:
0
Добавлен:
01.07.2025
Размер:
1.05 Mб
Скачать
►Содержание►

Отчет по аудиту

Дата формирования отчета: 28.03.2016

Период проведения аудита: 21.03.2016 – 30.03.2016

Кто проводил аудит: Шамсутдинова Д. Р., ООО «АИБ»

Критерии аудита: Положение о применимости контролей ISO 27001-2013 версия №1 от 01.01.2010

Область действия СМИБ: Отдел разработки программного обеспечения компании ООО «Производственное объединение «Зарница»

Участники аудита:

  • Генеральный директор ООО «Производственное объединение «Зарница» Абдульзянов А. Р.;

  • Руководитель научно-технического центра Садовников А.;

  • Руководитель отдела разработки программного обеспечения Сиркин В.;

  • Руководитель отдела информационной безопасности Сайфуллин Р.;

  • Начальник кадрового отдела Пименова А.;

  • Системный администратор Пирогов А.;

  • Тим лидер команды Форсаж Хасанов Д.;

  • Программист Герасимов Д.

Объекты анализа и оценки:

  • Система менеджмента информационной безопасности (далее СМИБ);

  • Политика ИБ;

  • Положение о применимости;

  • Приказы и иные нормативные документы описывающие деятельность СМИБ;

  • План обработки рисков;

  • Реестр принятых рисков;

  • Планы, Отчеты внутренних аудитов;

  • План по повышению квалификации персонала СМИБ;

  • Инструкция по обеспечению ИБ во время жизненного цикла программного обеспечения (далее ПО);

  • Политика безопасности при разработке ПО;

  • Договор о коммерческой тайне.

Выявленные несоответствия

Несоответствие

Номер раздела

Класс несоответствия

Свидетельства

Рекомендации

Руководство не осуществляет активную поддержку обеспечения безопасности

5.1.

Значительный

Опросный лист руководителя отдела разработки ПО показал, что ответственности по ИБ не распределены в документированном виде

Рассмотреть детально вопрос об обязанностях, роли и ответственности сотрудников, участвующих в СМИБ

Политика ИБ не соответствует целям организации, не пересматривается; сотрудники не осведомлены о целях ИБ

5.2.

Значительный

В ходе анализа Политики ИБ и опросных листов сотрудников было выявлено, что политика ИБ разработана формально, не пересматривалась с момента разработки, что привело к ее неактуальности и несоответствию целям компании. Также сотрудники не осведомлены о целях ИБ и наличии политики ИБ.

Рассмотреть вопрос о пересмотре политики ИБ, составлении плана по пересмотру документов по ИБ, а также осведомлению сотрудников в области ИБ

Отсутствует документированный процесс обработки рисков ИБ

6.1.

Значительный

В ходе интервью с ген. Директором по вопросам рисков ИБ было выявлено, что в компании отсутствует план по обработке рисков ИБ, процесс обработки рисков является не регулярным

Рассмотреть вопрос о разработке и внедрении плана по обработке рисков ИБ

Отсутствует план переподготовки и повышению квалификации персонала в области ИБ

7.2.

Значительный

В ходе интервью с руководителем отдела ИБ и анализе документов об образовании было выявлено, что он не имеет соответствующих подтвержденных документально компетенций в области ИБ, а также в компании не разработаны планы по повышению квалификации в области ИБ

Рассмотреть вопрос о повышении компетенций сотрудников в области ИБ, в том числе выделении средств на прохождение курсов по повышению квалификации при необходимости

В организации не проводятся внутренние аудиты по ИБ

9.

Значительный

Анализ документов показал, что в компании не проводились раннее внутренние аудиты ИБ, что приводит к наличию значительных недостатков в безопасности

Рассмотреть вопрос о формировании группы внутреннего аудита и плана по проведению аудита сроком на 1 год

В организации не разработаны планы по реагированию на инциденты

10.

Значительный

Интервью с руководителем ИБ показало, что в организации не разработаны планы по реагированию на инциденты

Рассмотреть вопрос о разработке планов реагирования на инциденты

Риски ИБ не учитываются в рамках управления проектами компании

А 6.1.5

Значительный

При проведении интервью с руководителем НТЦ было выявлено, что в компании отсутствуют документированные регламенты по обеспечению ИБ при управлении проектами, однако существуют негласные правила по обмену данными с заказчиками

Рассмотреть вопрос о разработке регламента по обеспечению ИБ при управлении проектами и осведомлении сотрудников с его содержимым

Менеджмент проводит беседы по ИБ только в случае инцидентов.

А 7.2.1

Незначительный

Согласно опросным листам было выявлено, что менеджмент компании не проводит активную политику осведомления сотрудников с изменениями в ИБ, беседы проводятся только при наличие инцидента

Рассмотреть вопрос об активизации деятельности менеджмента по повышению осведомленности сотрудников в области ИБ

Отсутствует схема классификации и маркировки носителей информации

А 8.3.1

Значительный

Опросный лист системного администратора показал, что в компании носители информации не классифицируются и не маркируются, сотрудники могут пользоваться собственными носителями для рабочих нужд

Рассмотреть вопрос о классификации носителей

Отсутствуют процедуры по утилизации и транспортировке носителей информации

А 8.3.2, А 8.3.3

Значительный

Опросный лист системного администратора показал, что в компании отсутствуют регламенты, даже не формализованные, по утилизации и транспортировке носителей информации

Рассмотреть вопрос о разработке регламентов по безопасной утилизации и транспортировке носителей информации

Процесс создания паролей не автоматизирован

A.9.4.3

Незначительный

В ходе интервью с системным администратором было выявлено, что пароли он формирует самостоятельно по схеме

Рассмотреть вопрос о возможности внедрения автоматизированных средств формирования паролей

Сотрудники не осведомлены о политиках «чистого рабочего стола» и «чистого экрана»

А 11.2.9

Незначительный

Опросные листы сотрудников показали о незнании сотрудников о данных политиках (см. Приложение 1)

Рассмотреть вопрос об осведомлении сотрудников о политиках «чистого рабочего стола» и «чистого экрана»

На рабочих станциях сотрудников отсутствуют средства антивирусной защиты

А 12.2.1

Значительный

Интервью с системным администратором показало, что в компании отсутствует антивирусная защита

Рассмотреть вопрос о внедрении средств антивирусной защиты

В компании отсутствует контроль установки ПО на рабочие станции сотрудников

А 12.6.2

Незначительный

Интервью с системным администратором показало, что установка ПО на компьютерах сотрудников никем не контролируется

Рассмотреть вопрос о внедрении контроля за установкой ПО на компьютеры сотрудников

Риски ИБ не учитываются в рамках разработке ПО

А 14.2.1

Значительный

В ходе интервью с руководителем отдела было выяснено, что в компании не разработана политика, согласно которой бы учитывались требования безопасности при разработке ПО

Рассмотреть вопрос о разработке и внедрении политики безопасности при разработке ПО

Заключение аудита: поставленная цель по проведению аудита на соответствие ИСО 27001-2013 в компании ООО «Производственное объединение «Зарница» была достигнута в поставленные сроки. Было выявлено, что информационная безопасность в организации развита очень формально, следует уделять ей больше внимания и подводить под интересы и цели бизнеса. Особенно критичными и слабыми зонами являются:

  • Управление рисками ИБ;

  • Управление проектами;

  • Разработка ПО.

Отсутствие управления ИБ в данных областях может привести к нарушению актуальности информации, потере данных или нарушению непрерывности бизнеса, что грозит не только финансовыми потерями, но и ухудшением репутации компании.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности