ЛЕКЦИЯ № 7
по дисциплине
«Организация и управление службой защиты информации»
Организация и проведение аудита безопасности информации в организции
Москва 2012 г.
Тема 2. Основы управления подразделением по защите информации в организации
Лекция № 7. Организация и проведение аудита безопасности информации в организации
Цель занятия: Ознакомление слушателей с организацией и проведением аудита безопасности информации в организации.
Время: 2 часа.
Учебные вопросы:
Введение 3
Вопрос 1. Цели и задачи аудита информационной безопасности организации 5
Вопрос 2. Классификация видов аудита информационной безопасности организации 9
Вопрос 3. Мероприятия по проведению аудита информационной безопасности организации 19
Литература:
|
|
|
|
|
|
Введение
Обеспечение безопасности информации в корпоративных информационных системах (КИС) в организации является актуальной задачей. Возрастающая роль информационных технологий в поддержке бизнес процессов и, как следствие, возрастающая сложность информационных процессов требуют целостного взгляда на обеспечение БИ, сформировать которую невозможно без получения объективной информации о состоянии дел по защите информации в организации.
Для решения этой задачи проводится аудит в области БИ, целями которого являются: проведение экспертизы соответствия системы ЗИ заданным требованиям, оценки системы управления СЗИ, повышение квалификации специалистов в области ЗИ. Идея проведения аудита БИ и аттестации информационной системы на соответствие заданным требованиям не нова. Система аттестации обычно появляется одновременно с принятием стандартов в области БИ. В настоящее время аудит БИ КИС можно отнести к наиболее актуальным и динамично развивающимся направлениям стратегического и оперативного менеджмента в области безопасности корпоративных информационных систем, что подтверждается постоянным интересом к нему специалистов этой области.
Система управления БИ предполагает наличие (рис. 1):
1) менеджмента БИ;
2) декларированных целей в области БИ;
3) методики проведения аудита БИ.
Рис. 1. Система управления информационной безопасностью
Основная задача аудита БИ – объективно оценить текущее состояние информационной безопасности компании, а также ее адекватность поставленным целям и задачам бизнеса с целью увеличения эффективности и рентабельности экономической деятельности компании. Поэтому под термином «аудит информационной безопасности корпоративной системы» обычно понимается системный процесс получения объективных качественных и количественных оценок текущего состояния информационной безопасности компании в соответствии с определенными критериями и показателями безопасности. Считается, что результаты качественно выполненного аудита БИ компании позволяют построить оптимальную по эффективности и затратам корпоративную систему защиты, адекватную ее текущим задачам и целям бизнеса.
Таким образом, формально аудит БИ в информационной системе — это процесс сбора сведений, позволяющих установить:
обеспечивается ли безопасность ресурсов организации (включая данные);
обеспечиваются ли необходимые параметры целостности и доступности данных;
достигаются ли цели организации в части эффективности информационных технологий.
Аудит БИ представляет собой комплекс работ по исследованию всех аспектов обеспечения БИ в организации, проводимых по согласованному с Заказчиком плану в соответствии с выбранной методикой и критериями. Основными целями при этом являются:
независимая оценка текущего состояния;
идентификация и ликвидация уязвимостей;
технико-экономическое обоснование механизмов безопасности;
обеспечение соответствия требованиям действующего законодательства;
минимизация ущерба от инцидентов, связанных с нарушением информационной безопасности.
Основным продуктом аудита является аудиторский отчет, который содержит описание текущего состояния информационной безопасности в организации, описание обнаруженных уязвимостей и рекомендации по их устранению.