- •2. Процессный подход к анализу и управлению рисками. Характеристика процессов.
- •3. Основные понятия и определения: риск, характеристики рисков, анализ рисков, оценка рисков, управление рисками.
- •4.Этапы анализа и оценки рисков.
- •5. Управление рисками. Цели управления рисками. Что включает в себя управление рисками.
- •6. Уровни зрелости организации, определяемые международными стандартами.
- •7. Суть процессов обработки рисков иб.
- •8. Количественная и качественная оценка рисков. Что необходимо учитывать для проведения количественной оценки рисков?
- •9. Понятие Аудит иб. Цели, задачи Аудита. Стандарты в области аудита.
- •1. Комплексный анализ ис предприятия и подсистемы информационной безопасности на методологическом, организационно-управленческом, технологическом и техническом уровнях. Анализ рисков.
9. Понятие Аудит иб. Цели, задачи Аудита. Стандарты в области аудита.
Внешний аудит — это, как правило, разовое мероприятие, проводимое по инициативе руководства организации или акционеров. Внешний аудит рекомендуется (а для ряда финансовых учреждений и акционерных обществ требуется) проводить регулярно.
Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании документа, обычно носящего название “Положение о внутреннем аудите“, и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации. Аудит безопасности информационных систем является одной из составляющих ИТ—аудита.
Целями проведения аудита безопасности являются: — анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС; — оценка текущего уровня защищенности ИС; — локализация узких мест в системе защиты ИС; — оценка соответствияИС существующим стандартам в области информационной безопасности; — выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.
В число дополнительных задач, стоящих перед внутренним аудитором, помимо оказания помощи внешним аудиторам, могут также входить: — разработка политик безопасности и других организационно—распорядительных документов по защите информации и участие в их внедрении в работу организации; — постановка задач для ИТ—персонала, касающихся обеспечения защиты информации; — участие в обучении пользователей и обслуживающего персонала ИС вопросам обеспечения информационной безопасности; — участие в разборе инцидентов, связанных с нарушением информационной безопасности; — прочие задачи.
Стандарт ISO 17799
Стандарт содержит практические правила по управлению информационной безопасностью и может использоваться в качестве критериев для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты. Преимуществом данного стандарта является простота его применения и адаптации на практике. Кроме того, стандарт не зависит от конкретных технических средств и решений что, с одной стороны, не показывает, как реализовывать защиту того или иного элемента, но с другой - обеспечивает свободу выбора платформ, оборудования, производителей и т.п. В России ISO 17799 может применяться достаточно широко, так как несет в себе информацию о комплексном подходе к обеспечению защиты информации.
Стандарт ISO 15408
Стандарт наиболее полно представляет критерии для оценки механизмов безопасности программно-технического уровня. В нем выделены 11 классов функций системы информационной безопасности: аудит; идентификация и аутентификация; криптографическая защита; конфиденциальность; передача данных; защита пользовательских данных; управление безопасностью; защита функций безопасности системы; использование ресурсов; доступ к системе; надежность средств. Все функции представлены в виде четырехуровневой иерархической структуры: класс; семейство; компонент; элемент. По аналогии представлены требования качества. Подобная градация позволяет описать любую систему информационной безопасности и сопоставить созданную модель с текущим положением дел.
В ISO 15408 содержится ряд предопределенных моделей (профилей), описывающих стандартные модули системы безопасности. С их помощью можно не создавать модели распространенных средств защиты самостоятельно, а пользоваться уже готовыми наборами описаний, целей, функций и требований к этим средствам. В мире уже создано и сертифицировано большое количество профилей, представляющих собой полное описание определенной части (или функции) системы безопасности. В них содержится анализ внутренней и внешней среды объекта, требования к его функциональности и надежности, логическое обоснование его использования, возможности и ограничения развития объекта.
Вместе с тем, в стандарте определена также и последовательность действий для самостоятельного создания профилей. Описывающий ту или иную область системы безопасности профиль можно создать самостоятельно с помощью разработанной в ISO 15408 структуры документа.
При проведении работ по аудиту безопасности требования стандарта могут использоваться в качестве руководства и критериев для анализа уязвимостей средств вычислительной техники и автоматизированных систем.
Задачи аудита безопасности:
• обеспечить (при необходимости повысить) информационную безопасность предприятия;
• снизить потенциальные потери предприятия путем повышения устойчивости функционирования корпоративной сети;
• защитить конфиденциальную информацию, передаваемую по открытым каналам связи;
• защитить информацию от умышленного искажения (разрушения), несанкционированного копирования, доступа или использования;
• обеспечить контроль действий пользователей в корпоративной сети предприятия;
• своевременно оценить и переоценить информационные риски бизнес-деятельности компании;
• выработать оптимальные планы развития и управления предприятием.
10. Этапы (шаги) аудита.
Практические шаги аудита безопасности