Please enable JavaScript.
Coggle requires JavaScript to display documents.
АУДИТ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ - Coggle Diagram
АУДИТ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Аудит інформаційної безпеки
Фактори, що обумовлюють необхідність проведення аудиту БІ:
зростаюча складність та розподіленість інформаційних систем (ІС) та відокремлення зон відповідальності персоналу, що їх обслуговує;
потреба керівництва усвідомлювати повну картину про стан ІС та процеси, що в ній відбуваються
потреба в оцінці ефективності діючої СЗІ з метою вирішення питань щодо необхідності її модернізації
потреба в оцінці на відповідність вимогам нормативно-правових документів у галузі ЗІ
визначення
Аудит інформаційної безпеки
це аналіз системи інформаційної безпеки відповідно міжнародним стандартам, метою якого є підвищення рівня захисту інформації і мінімізації ризиків, пов'язаних з експлуатацією інформаційних систем
Аудит безпеки інформації
системний процес одержання та оцінювання об‘єктивних даних про поточний стан інформаційної системи, діях та подіях
МЕТА
Мета аудиту інформаційної безпеки
отримати незалежну й об'єктивну оцінку поточного рівня інформаційної безпеки.
Мета аудиту інформаційної безпеки
своєчасно виявити існуючі прогалини і об'єктивно оцінити відповідність параметрів, що характеризують режим інформаційної безпеки, необхідному рівню
Метою аудиту можуть бути:
встановлення ступеня захищеності інформаційних ресурсів підприємства, виявлення недоліків та визначення напрямків подальшого розвитку системи захисту інформації
перевірка керівництвом підприємства та іншими зацікавленими особами досягнення поставлених цілей у сфері інформаційної безпеки, виконання вимог політики безпеки
контроль ефективності вкладень в придбання засобів захисту інформації та реалізацію заходів щодо забезпечення інформаційної безпеки
сертифікація на відповідність загальновизнаним нормам і вимогам у сфері інформаційної безпеки
Аудит інформаційної безпеки проводять
перед впровадженням комплексної системи безпеки для підготовки ТЗ на її розробку і створення
після впровадження комплексної системи безпеки для оцінки рівня її ефективності
для приведення системи інформаційної безпеки у відповідність встановленим вимогам
для систематизації та впорядкування існуючих заходів захисту інформації;
для перевірки ефективності роботи підрозділів компанії, відповідальних за забезпечення ІБ;
для обґрунтування інвестицій в напрямок інформаційної безпеки
Визначення витрат для посилення безпеки підприємства повинен базуватися на використанні системи показників
витрат на здійснення заходу
розміру відверненої шкоди
розміру заподіяної шкоди
ефективності здійсненого заходу
Проведення аудиту дозволяє вирішити цілу групу проблем, пов'язаних як з поточною роботою, так і з подальшим розвитком підприємства
прихованість інвестицій в IT, відсутність економічних показників роботи підрозділів ІТ компанії;
неадекватний захист інформації
фінансові та репутаційні втрати внаслідок слабкої організації інформаційною безпекою підприємства
постійні штрафні санкції з боку регуляторів
Кінцеві споживачі результатів аудиту:
Внутрішні користувачі:
керівництво компанії
підрозділ інформаційної безпеки
служба безпеки
підрозділ автоматизації підприємства
служба внутрішнього контролю/аудиту
Зовнішні користувачі
акціонери компанії
регулюючі органи
клієнти компанії
Типи аудиту
комплексний – перед створенням комплексної системи захисту інформації
точковий – з метою формування вимог з модифікації КСЗІ
періодичний – зовнішня регламентована перевірка захищеності ІС;
перевірочний – експертиза та оцінка систем та рішень, що використовуються або плануються до використання
Як правило, підприємство може вдаватися до допомоги зовнішніх
аудиторів з метою
підвищення об'єктивності, незалежності та професійного рівня
перевірки;
отримання висновків про стан інформаційної безпеки та відповідно
міжнародним стандартам від незалежних аудиторів
Компанії, що спеціалізуються на проведенні аудитів, можуть
ISO 15408: Common Criteria for Information Technology Security
Evaluation
НД ТЗІ 2.5-004-99 «Критерії оцінки захищеності інформації в
комп'ютерних системах від несанкціонованого доступу
ISO 27001 (раніше ISO/IEC 17799:2005) «Інформаційні технології.
Методи захисту. Система управління інформаційною безпекою