Please enable JavaScript.
Coggle requires JavaScript to display documents.
12 АУДИТ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ - Coggle Diagram
12 АУДИТ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Аудит інформаційної безпеки.
це аналіз системи інформаційної безпеки відповідно міжнародним стандартам
системний процес одержання та оцінювання об‘єктивних даних про поточний стан інформаційної системи, діях та подіях, що відбуваються в ній, що встановлює рівень їх відповідності визначеному критерію
експертне обстеження основних аспектів інформаційної безпеки, їх перевірку
перевірка захищеності окремих елементів інформаційної інфраструктури
Мета аудиту інформаційної безпеки
отримати незалежну й об'єктивну оцінку поточного рівня інформаційної безпеки, своєчасно виявити існуючі прогалини і об'єктивно оцінити відповідність параметрів, що характеризують режим інформаційної безпеки, необхідному рівню
Проводять:
перед впровадженням комплексної системи безпеки для підготовки ТЗ на її розробку і створення;
після впровадження комплексної системи безпеки для оцінки рівня її ефективності;
для приведення системи інформаційної безпеки у відповідність встановленим вимогам;
для систематизації та впорядкування існуючих заходів захисту інформації;
для перевірки ефективності роботи підрозділів компанії, відповідальних за забезпечення ІБ;
для обґрунтування інвестицій в напрямок інформаційної безпеки.
Одним із
стратегічних завдань
є демонстрація надійності підприємства, його здатності виступати в якості сталого партнера, здатного забезпечити комплексний захист інформаційних ресурсів
Визначення витрат для посилення безпеки повинен базуватися на:
1) витрат на здійснення заходу;
2) розміру відверненої шкоди;
3) розміру заподіяної шкоди;
4) ефективності здійсненого заходу
Проведення аудиту дозволяє вирішити цілу групу проблем
прихованість інвестицій в IT, відсутність економічних показників роботи підрозділів ІТ компанії;
неадекватний захист інформації;
фінансові та репутаційні втрати внаслідок слабкої організації інформаційною безпекою підприємства;
постійні штрафні санкції з боку регуляторів;
придбання, розробка та обслуговування інформаційних систем;
відсутність об'єктивної інформації про стан інформаційної системи для вірного прийняття рішень
Кінцеві споживачі результатів аудиту
Внутрішні користувачі
керівництво компанії;
підрозділ інформаційної безпеки;
служба безпеки;
підрозділ автоматизації підприємства;
служба внутрішнього контролю/аудиту.
Зовнішні користувачі
акціонери компанії;
регулюючі органи;
клієнти компанії
Типи аудиту
комплексний – перед створенням комплексної системи захисту інформації (КСЗІ);
точковий – з метою формування вимог з модифікації КСЗІ;
періодичний – зовнішня регламентована перевірка захищеності ІС;
перевірочний – експертиза та оцінка систем та рішень, що використовуються або плануються до використання.
ОСНОВНІ ВИДИ
внутрішній (проводиться виключно силами співробітників підприємства)
зовнішній (здійснюваний сторонніми організаціями)