Please enable JavaScript.
Coggle requires JavaScript to display documents.
Основні етапи аудиту - Coggle Diagram
Основні етапи аудиту
Основна робота аудиторів у процесі збору інформації полягає у вивченні фактично застосованих заходів щодо забезпечення захисту інформаційних активів підприємства, таких як:
організація робіт і координації дій при виявленні порушень інформаційної безпеки та відновленні роботи інформаційних систем після збоїв і нападів (практичне виконання "аварійного плану");
заходи, що вживаються антивірусного захисту (належне використання антивірусних програм, облік всіх випадків зараження, організація роботи з усунення наслідків заражень і т.п.);
-
забезпечення безпеки придбаних програмних і апаратних засобів (наявність сертифікатів та гарантійних зобов'язань, підтримка з боку постачальника при усуненні виявлених недоліків тощо);
забезпечення відповідності необхідних (у відповідності з політикою безпеки і посадовими обов'язками) прав користувачів інформаційних систем і фактично наявних;
-
організація процесів підвищення кваліфікації адміністраторів
інформаційних систем і систем захисту інформації;
організація робіт з встановлення та оновлення програмного
забезпечення, а також контролю за цілісністю встановленого ПЗ;
організація роботи адміністраторів інформаційних і
телекомунікаційних систем і систем захисту інформації
ефективність організації взаємодії співробітників підприємства -
користувачів інформаційних систем - із службою інформаційної безпеки
організація процесу навчання користувачів прийомам і правилам
безпечного використання інформаційних систем;
заходи, що вживаються щодо забезпечення обліку і схоронності носіїв
інформації
-
-
-
-
У разі якщо аудит не є комплексним, на початковому етапі необхідно
визначити його безпосередні межи:
перелік будівель, приміщень і територій, в межах яких буде
проводитися аудит;
основні загрози, засоби захисту від яких необхідно піддати аудиту;
-
елементи системи забезпечення інформаційної безпеки, які необхідно
включити в процес перевірки
Основна стадія - проведення аудиторського обстеження та збір
інформації - як правило, має включати в себе:
проведення нарад, опитувань, довірчих бесід і інтерв'ю з
співробітниками підприємства;
-
-
технічне обстеження інформаційних систем - програмних і апаратних
засобів (інструментальна перевірка захищеності)
Після перевірки основних положень політики безпеки в процесі аудиту можуть бути вивчені (впорядковано) діючі класифікації інформаційних ресурсів за ступенем критичності та конфіденційності, а також інші документи, що мають відношення до забезпечення інформаційної безпеки:
інструкції (положення, методики), що стосуються окремих бізнеспроцесів підприємстві;
кадрова документація, зобов'язання про нерозголошення відомостей, дані співробітниками, свідоцтва про проходження навчання, професійної сертифікації, атестації та ознайомленні з діючими правилами;
організаційні документи підрозділів підприємства (положення про
відділи, посадові інструкції);
технічна документація і призначені для користувача інструкції для різних використовуваних програмних і апаратних засобів (як розроблених самим підприємством, так і придбаних у сторонніх постачальників): міжмережевих екранів, маршрутизаторів, операційних систем, антивірусних засобів, систем управління підприємством і т.п
Однією з важливих завдань аудиту може бути встановлення того, наскільки підприємство здатне протидіяти внутрішнім загрозам в особі співробітників, цілеспрямовано діючих, щоб завдати той чи інший збиток підприємству і мають для цього різні можливості. Зокрема, для цього можуть бути досліджені:
-
-
процедури відбору та прийняття нових працівників на роботу, а також
їх попередньої перевірки;
розподіл функцій між різними співробітниками і мінімізація їх привілеїв, а також можливу наявність надлишкових прав у деяких користувачів та адміністраторів
Перевірка стану фізичної безпеки інформаційної інфраструктури, як
правило, включає в себе:
перевірку наявності та працездатності технічних засобів, що забезпечують стійку роботу комп'ютерного та телекомунікаційного обладнання: джерел безперебійного енергопостачання, кондиціонерів (там, де це необхідно) тощо;
-
перевірку того, щоб найбільш важливі об'єкти інформаційної інфраструктури та системи захисту інформації розташовувалися в зонах 138 (частинах будинків, приміщеннях), що мають пропускний режим, а також обладнаних камерами відеоспостереження та іншими засобами контролю (електронними замками, засобами біометричної ідентифікації і т.п.);
перевірку розподілу відповідальності за фізичний (технічний) стан
об'єктів інформаційної інфраструктури підприємства.
Аналіз політики також може
включати оцінку таких її характеристик, як:
зрозумілість тексту політики для людей, які не є технічними фахівцями, а також чіткість формулювань і неможливість їх подвійного тлумачення;
актуальність всіх положень і вимог політики, своєчасність обліку всіх змін, що відбуваються в інформаційних системах і бізнес-процесах
повнота і глибина охоплення всіх питань, а також відповідність змісту політик нижнього рівня цілям і завданням, встановленим в політиках верхнього рівня;