Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Лек-ОУСлЗИ-7.docx
Скачиваний:
26
Добавлен:
17.09.2019
Размер:
207.35 Кб
Скачать

Вопрос 1. Цели и задачи аудита информационной безопасности организации

Вопрос 1.1. Задачи, решаемые при проведении аудита информационной безопасности

Основная задача аудита – объективно оценить, насколько текущее состояние информационной безопасности организации соответствует предъявляемым требованиям и стандартам БИ, а также задачам бизнеса по увеличению эффективности и рентабельности экономической деятельности компании.

Таким образом, задачи, решаемые при проведении аудита, можно разбить на две группы:

  1. задачи, связанные с бизнес-процессами компании;

  2. технические задачи, связанные с особенностями функционирования сети связи и КИС оператора.

В первой группе задач аудиту подвергаются бизнес-процессы, а во второй — технологические процессы обмена информацией, которые отражают сами бизнес-процессы.

Детализируя задачи аудита БИ, можно выделить три главные задачи, решаемые в процессе его проведения:

  1. оценка текущей безопасности функционирования сети связи и корпоративной информационной системы;

  2. прогноз рисков, а также создание системы управления их влиянием на бизнес-процессы компании;

  3. технически корректный и экономически обоснованный подход к вопросу обеспечения безопасности информационных активов компании.

В ходе аудита решаются также частные задачи, которые по своей сути являются вспомогательными для решения упомянутых выше главных задач:

сбор и анализ исходных данных об организационной и функциональной структуре компании, необходимых для оценки состояния БИ;

анализ существующей политики обеспечения БИ на предмет полноты и эффективности;

построение модели нарушителей БИ;

построение модели угроз БИ ресурсов ИС, а также уязвимостей в существующей системе защиты, которые делают возможной реализацию угроз БИ;

анализ информационных и технологических рисков, связанных с осуществлением угроз БИ;

осуществление тестовых попыток несанкционированного доступа к критически важным узлам информационной системы и определение уязвимостей в установках защиты данных узлов;

формирование рекомендаций по разработке (или доработке) политики обеспечения БИ на основе анализа существующего режима БИ;

формирование предложений по использованию существующих и установке дополнительных средств защиты информации для повышения уровня надежности и безопасности информационной системы компании.

Вопрос 1.2. Цели аудита информационной безопасности

Согласно определению аудита информационной безопасности результат аудитаструктурированная детальная информация о состоянии БИ в информационной системе, представленная в форме отчетов и рекомендаций.

При этом проведение аудита информационной безопасности не является самоцелью. Главная цель аудита информационной безопасности – получение оценки состояния безопасности информации в организации и разработка рекомендаций по применению комплекса организационных мер и программно-технических средств, направленных на обеспечение защиты информационных и других ресурсов ИС от угроз безопасности информации, связанных с нарушением доступности, целостности и конфиденциальности информации.

В подавляющем большинстве случаев аудит БИ является начальным этапом работ по созданию (модернизации или реорганизации) комплексной системы (подсистемы) информационной безопасности организации (защиты информации).

В результате аудит БИ позволяет принять обоснованные решения по использованию мер защиты, необходимых для отдельно взятой организации, оптимальных в соотношении их стоимости и возможности осуществления угроз нарушения БИ.

В отчетных материалах по аудиту должны содержаться ответы на следующие вопросы:

  1. Соответствует ли корпоративная система БИ целям и задачам организации?

  2. Насколько адекватна принятая политика безопасности целям и задачам организации?

  3. Как корректно контролировать реализацию и выполнение политики безопасности в организации?

  4. Когда необходимо провести модернизацию системы защиты информации и как обосновать необходимость модернизации и затрат на неё?

  5. Как быстро окупятся инвестиции в систему защиты информации?

  6. Насколько правильно и корректно сконфигурированы и настроены штатные средства обеспечения защиты информации в организации?

  7. Эффективно ли справляются со своими задачами существующие в организации средства защиты: межсетевые экраны (firewalls), системы обнаружения вторжений (IDS), система антивирусной защиты, VPN-шлюзы?

  8. Как решаются вопросы обеспечения конфиденциальности, доступности и целостности информации при реализации бизнес-процессов?

  9. Как обеспечить необходимую в деятельности организации «вертикаль власти» для осуществления централизованного управления безопасностью информации?

  10. Как контролировать состояние информационной безопасности организации и какие методы и средства необходимо использовать для осуществления контроля?

  11. Существуют ли стратегический и тактические планы развития системы защиты информации в организации?

  12. Есть ли необходимость постоянно обучать сотрудников службы информационной организации и, если есть, какие бюджетные средства для этого нужны?

  13. Как управлять информационными рисками организации и какие инструментальные средства для этого необходимо задействовать?