Please enable JavaScript.
Coggle requires JavaScript to display documents.
АУДИТ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ - Coggle Diagram
АУДИТ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Аудит інформаційної безпеки
Фактори необхідності
потреба керівництва усвідомлювати повну картину про стан ІС
потреба в оцінці ефективності діючої СЗІ з метою вирішення питань щодо необхідності її модернізації
зростаюча складність та розподіленість інформаційних систем
потреба в оцінці на відповідність вимогам нормативно-правових документів у галузі ЗІ
Аудит безпеки інформації – системний процес одержання та оцінювання об‘єктивних даних про поточний стан інформаційної системи, діях та подіях, що відбуваються в ній, що встановлює рівень їх відповідності визначеному критерію
Проводять
для перевірки ефективності роботи підрозділів компанії, відповідальних за забезпечення ІБ
для обґрунтування інвестицій в напрямок інформаційної безпеки
для систематизації та впорядкування існуючих заходів захисту інформації
для приведення системи інформаційної безпеки у відповідність встановленим вимогам
Мета
перевірка керівництвом підприємства та іншими зацікавленими особами
контроль ефективності вкладень в придбання засобів захисту інформації
встановлення ступеня захищеності інформаційних ресурсів
сертифікація на відповідність загальновизнаним нормам і вимогам
Витрати
розміру відверненої шкоди;
розміру заподіяної шкоди;
витрат на здійснення заходу;
ефективності здійсненого заходу
Вирішення проблем
фінансові та репутаційні втрати
постійні штрафні санкції з боку регуляторів
неадекватний захист інформації
придбання, розробка та обслуговування інформаційних систем
прихованість інвестицій в IT
відсутність об'єктивної інформації про стан інформаційної системи для вірного прийняття рішень
Кінцеві споживачі
Внутрішні користувачі
.
керівництво компанії;
підрозділ інформаційної безпеки;
служба безпеки;
підрозділ автоматизації підприємства;
служба внутрішнього контролю/аудиту.
Зовнішні користувачі
.
акціонери компанії;
регулюючі органи;
клієнти компанії.
Типи аудиту
точковий
періодичний
комплексний
перевірочний
Види аудиту
внутрішній
зовнішній
Основні етапи аудиту.
безпосередньо здійснення збору інформації та проведення обстеження аудиторами
аналіз зібраних даних і вироблення рекомендацій
ініціювання проведення аудиту
підготовка аудиторського звіту та атестаційного висновку
Узгодження змісту аудиту
Проведення аудиту, вироблення рекомендацій
Надання результатів аудиту
Контроль за виконанням рекомендацій
Подальший контроль за виконанням рекомендацій
Надання замовникові результатів аудиту та рекомендацій на усунення недоліків
Вивчення поточного стану
Розробка рекомендацій
Порівняння результатів із вимогами
Зустріч із замовником
Узгодження цілей
Заходи
аналіз систем захисту від вірусів і небажаної електронної пошти
аналіз систем захисту від зовнішнього проникнення
аналіз систем інформаційної безпеки
аналіз можливих шляхів просочування інформації всередині організації
аналіз принципів міжмережевої взаємодії
Основна стадія аудиту
проведення аудиторського обстеження та збір інформації - як правило, має включати в себе
технічне обстеження інформаційних систем - програмних і апаратних засобів
перевірку стану фізичної безпеки інформаційної інфраструктури
проведення нарад, опитувань, довірчих бесід
аналіз наявної політики інформаційної безпеки
Оцінка характеристик
актуальність всіх положень і вимог політики
організаційні документи підрозділів підприємства
зрозумілість тексту політики для людей
інструкції
повнота і глибина охоплення всіх питань
кадрова документація
технічна документація
Дослідження
процедури відбору та прийняття нових працівників на роботу
процедури контролю за діяльністю співробітників
процедури реєстрації користувачів
розподіл функцій між різними співробітниками
Перевірка стану фізичної безпеки
пропускний режим
сигналізація
перевірку наявності та працездатності технічних засобів
інструментальна перевірка
Тест на проникнення
виявлення вразливостей, які може бути важко або неможливо знайти
оцінювання величини потенційного впливу успішних атак на бізнес
виявлення вразливостей вищого ризику
тестування здатності захисників мережі
визначення можливості певного набору атак
надання доказів на підтримку збільшення інвестицій
Режим тестування
Black Box
White Box
Рівень інформованості замовника
Black Hat
White Hat
Типові результати аудиту
адекватність фінансових затрат
звіт з проведення порівняльного аналізу вирішення аналогійних задач
модель загроз порушника БІ та перелік ризиків БІ
визначення зон відповідальності співробітників
визначення, рівня захищеності критичних ресурсів
оцінка поточної спроможності організації до продовження діяльності у випадку виникнення надзвичайних ситуацій
перелік критичних ресурсів організації
оцінка на відповідність обраним критеріям;
перелік рекомендацій та заходів захисту