Please enable JavaScript.
Coggle requires JavaScript to display documents.
АУДИТ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ - Coggle Diagram
АУДИТ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Фактори, що обумовлюють необхідність проведення аудиту БІ:
потреба керівництва усвідомлювати повну картину про стан ІС та
процеси, що в ній відбуваються
потреба в оцінці ефективності діючої СЗІ з метою вирішення питань
щодо необхідності її модернізації
зростаюча складність та розподіленість інформаційних систем (ІС) та
відокремлення зон відповідальності персоналу, що їх обслуговує
потреба в оцінці на відповідність вимогам нормативно-правових
документів у галузі ЗІ
Аудит інформаційної безпеки проводять
для приведення системи інформаційної безпеки у відповідність
встановленим вимогам
для систематизації та впорядкування існуючих заходів захисту
інформації
після впровадження комплексної системи безпеки для оцінки рівня її
ефективності
для перевірки ефективності роботи підрозділів компанії, відповідальних
за забезпечення ІБ
перед впровадженням комплексної системи безпеки для підготовки ТЗ
на її розробку і створення
для обґрунтування інвестицій в напрямок інформаційної безпеки
Метою аудиту можуть бути:
перевірка керівництвом підприємства та іншими зацікавленими особами досягнення поставлених цілей у сфері інформаційної безпеки, виконання вимог політики безпеки;
контроль ефективності вкладень в придбання засобів захисту інформації
та реалізацію заходів щодо забезпечення інформаційної безпеки;
встановлення ступеня захищеності інформаційних ресурсів підприємства, виявлення недоліків та визначення напрямків подальшого розвитку системи захисту інформації;
сертифікація на відповідність загальновизнаним нормам і вимогам у сфері інформаційної безпеки
При проведенні аудиту спеціалісти стикаються з проблемою співставлення можливих витрат на забезпечення безпеки і вигод, що отримуються при запровадженні системи безпеки. При цьому застосовується декілька методів:
розрахунок рентабельності витрат, що передбачає оцінювання дійсної
(чистої) вартості ресурсів, що захищаються
підрахунок зниження витрат, що досягаються внаслідок застосування
заходів безпеки
Визначення витрат для посилення безпеки підприємства повинен
базуватися на використанні системи показників:
розміру відверненої шкоди
витрат на здійснення заходу
розміру заподіяної шкоди
ефективності здійсненого заходу
Проведення аудиту дозволяє вирішити цілу групу проблем, пов'язаних як
з поточною роботою, так і з подальшим розвитком підприємства:
фінансові та репутаційні втрати внаслідок слабкої організації
інформаційною безпекою підприємства
постійні штрафні санкції з боку регуляторів
неадекватний захист інформації (ресурси кинуті на захист інформації, що не представляє реальної цінності компанії, в той час, як справді цінна інформація не захищена адекватно);
придбання, розробка та обслуговування інформаційних систем
прихованість інвестицій в IT, відсутність економічних показників
роботи підрозділів ІТ компанії
відсутність об'єктивної інформації про стан інформаційної системи
для вірного прийняття рішень.
Типи аудиту:
точковий – з метою формування вимог з модифікації КСЗІ;
періодичний – зовнішня регламентована перевірка захищеності ІС;
комплексний – перед створенням комплексної системи захисту
інформації (КСЗІ);
перевірочний – експертиза та оцінка систем та рішень, що
використовуються або плануються до використання.
Як правило, підприємство може вдаватися до допомоги зовнішніх
аудиторів з метою:
підвищення об'єктивності, незалежності та професійного рівня
перевірки;
отримання висновків про стан інформаційної безпеки та відповідно
міжнародним стандартам від незалежних аудиторів