Please enable JavaScript.
Coggle requires JavaScript to display documents.
13 ОСНОВНІ ЕТАПИ АУДИТУ - Coggle Diagram
13 ОСНОВНІ ЕТАПИ АУДИТУ
Основні етапи аудиту
- ініціювання проведення аудиту;
- безпосередньо здійснення збору інформації та проведення обстеження аудиторами;
- аналіз зібраних даних і вироблення рекомендацій;
- підготовка аудиторського звіту та атестаційного висновку.
-
-
Вивчення фактично застосованих заходів щодо забезпечення захисту інформаційних активів підприємства, таких як:
- організація процесу навчання користувачів прийомам і правиламбезпечного використання інформаційних систем;
- організація процесів підвищення кваліфікації адміністраторів
- забезпечення відповідності необхідних прав користувачів інформаційних систем і фактично наявних;
- організація призначення та використання спеціальних прав в інформаційних системах підприємства;
- організація робіт і координації дій при виявленні порушень інформаційної безпеки та відновленні роботи інформаційних систем після збоїв і нападів;
- заходи, що вживаються антивірусного захисту;
- забезпечення безпеки придбаних програмних і апаратних засобів;
- забезпечення безпеки самостійно розроблюваного програмного забезпечення;
- організація робіт з встановлення та оновлення програмного забезпечення, а також контролю за цілісністю встановленого ПЗ;
Тест на проникнення (penetration test, pentest) — це метод оцінювання захищеності комп'ютерної системи чи мережі шляхом часткового моделювання дій зовнішніх зловмисників з проникнення у неї (які не мають авторизованих засобів доступу до системи) і внутрішніх зловмисників
- визначення можливості певного набору атак;
- виявлення вразливостей вищого ризику, які є результатом комбінації вразливостей меншого ризику, що використовуються в певній послідовності;
- виявлення вразливостей, які може бути важко або неможливо знайти за допомогою автоматизованої мережі або застосування програмного забезпечення із сканування вразливостей;
- оцінювання величини потенційного впливу успішних атак на бізнес;
- тестування здатності захисників мережі успішно виявляти і реагувати на атаки;
- надання доказів на підтримку збільшення інвестицій у персонал і технології безпеки.
-