Please enable JavaScript.
Coggle requires JavaScript to display documents.
АУДИТ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ - Coggle Diagram
АУДИТ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Фактори, що обумовлюють необхідність проведення аудиту БІ:
зростаюча складність та розподіленість інформаційних систем (ІС) та відокремлення зон відповідальності персоналу, що їх обслуговує;
потреба керівництва усвідомлювати повну картину про стан ІС та процеси, що в ній відбуваються;
потреба в оцінці ефективності діючої СЗІ з метою вирішення питань щодо необхідності її модернізації;
потреба в оцінці на відповідність вимогам нормативно-правових документів у галузі ЗІ.
Аудит інформаційної безпеки – це аналіз системи інформаційної безпеки відповідно міжнародним стандартам, метою якого є підвищення рівня захисту інформації і мінімізації ризиків, пов'язаних з експлуатацією інформаційних систем.
Аудит безпеки інформації – системний процес одержання та оцінювання об‘єктивних даних про поточний стан інформаційної системи, діях та подіях, 128 що відбуваються в ній, що встановлює рівень їх відповідності визначеному критерію
• Мета аудиту інформаційної безпеки - отримати незалежну й об'єктивну оцінку поточного рівня інформаційної безпеки.
• Мета аудиту інформаційної безпеки - своєчасно виявити існуючі прогалини і об'єктивно оцінити відповідність параметрів, що характеризують режим інформаційної безпеки, необхідному рівню
Аудит інформаційної безпеки проводять:
перед впровадженням комплексної системи безпеки для підготовки ТЗ на її розробку і створення;
після впровадження комплексної системи безпеки для оцінки рівня її ефективності;
для приведення системи інформаційної безпеки у відповідність встановленим вимогам (міжнародні стандарти або вимоги законодавства);
для систематизації та впорядкування існуючих заходів захисту інформації;
для перевірки ефективності роботи підрозділів компанії, відповідальних за забезпечення ІБ;
для обґрунтування інвестицій в напрямок інформаційної безпеки.
Проведення аудиту дозволяє вирішити цілу групу проблем, пов'язаних як з поточною роботою, так і з подальшим розвитком підприємства:
прихованість інвестицій в IT, відсутність економічних показників роботи підрозділів ІТ компанії;
неадекватний захист інформації (ресурси кинуті на захист інформації, що не представляє реальної цінності компанії, в той час, як справді цінна інформація не захищена адекватно);
фінансові та репутаційні втрати внаслідок слабкої організації інформаційною безпекою підприємства;
постійні штрафні санкції з боку регуляторів;
придбання, розробка та обслуговування інформаційних систем;
відсутність об'єктивної інформації про стан інформаційної системи для вірного прийняття рішень.