Файловый архив студентов. Файловый архив студентов.
1323 вуза, 5420 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Харьковский национальный университет радиоэлектроники
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
4-1 Етичний хакінг / Відповіді на питання лекцій.docx
Скачиваний:
132
Добавлен:
02.02.2021
Размер:
97.55 Кб
Скачать
►Содержание►

7.Схема аудиту інформаційної системи;

8.Аудіт безпеки інформаційної системи;

Аудит інформаційної безпеки – системний процес отримання об’єктивних якісних і / або кількісних оцінок про поточний стан інформаційної безпеки компанії відповідно до визначених критеріїв та показників безпеки.

Аудит дозволяє оцінити поточний стан безпеки функціонування інформаційної системи (ІС), оцінити і зпрогнозувати ризики, управляти їх впливом на бізнес-процеси компанії, коректно і обґрунтовано підійти до питання забезпечення безпеки інформаційних активів, стратегічних планів розвитку, маркетингових програм, вмісту корпоративних баз даних .

Види і цілі аудиту:

Розрізняють зовнішній і внутрішній аудит.

Зовнішній аудит – це, як правило, разовий захід, що проводиться за ініціативою керівництва компанії або акціонерів. Зовнішній аудит рекомендується (а для ряду фінансових установ і акціонерних товариств необхідний) проводити регулярно.

Внутрішній аудит являє собою безперервну діяльність, яка здійснюється відповідно до плану, підготовка якого здійснюється підрозділом внутрішнього аудиту та затверджується керівництвом компанії. Аудит безпеки інформаційних систем є однією зі складових ІТ-аудиту.

Цілями проведення аудиту інформаційної безпеки є:

  • аналіз ризиків, пов’язаних з можливістю здійснення загроз безпеки щодо ресурсів ІС;

  • оцінка поточного рівня захищеності ІС;

  • локалізація вузьких місць в системі захисту ІС;

  • оцінка відповідності ІС існуючим стандартам в області інформаційної безпеки;

  • вироблення рекомендацій щодо впровадження нових та підвищення ефективності існуючих механізмів безпеки ІС.

Основні етапи аудиту безпеки

Роботи з аудиту безпеки ІС включають в себе ряд послідовних етапів, які в цілому відповідають етапам проведення комплексного ІТ-аудиту ІС, що включає в себе:

  • ініціювання процедури аудиту;

  • збір інформації аудиту;

  • аналіз даних аудиту;

  • вироблення рекомендацій;

  • підготовку аудиторського звіту.

На етапі ініціювання процедури аудиту повинні бути вирішені наступні організаційні питання:

  • права і обов’язки аудитора повинні бути чітко визначені і документально закріплені в його посадових інструкціях, а також в положенні про внутрішній (зовнішній) аудит;

  • аудитором повинен бути підготовлений і узгоджений із керівництвом план проведення аудиту;

  • в положенні про внутрішній аудит має бути закріплено, зокрема, що співробітники компанії зобов’язані сприяти аудитору і надавати всю необхідну для проведення аудиту інформацію. На етапі ініціювання процедури аудиту повинні бути визначені межі проведення обстеження. План і кордони проведення аудиту обговорюються на робочих зборах, в якому беруть участь аудитори, керівництво компанії і керівники структурних підрозділів.

10. Законное проведення аудиту;

Аудит інформаційної безпеки — системний процес одержання об'єктивних якісних і кількісних оцінок про поточний стан інформаційної безпеки компанії у відповідності з визначеними критеріями та показниками безпеки.

Аудит являється законним, якщо під час його проведення, інформаційна система не піддається активним атакам, а тільки пассивним (OSINT, sniffing).

Соседние файлы в папке 4-1 Етичний хакінг
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности