Coggle requires JavaScript to display documents.
зростаюча складність та розподіленість інформаційних систем (ІС) та відокремлення зон відповідальності персоналу, що їх обслуговує;
потреба керівництва усвідомлювати повну картину про стан ІС та процеси, що в ній відбуваються;
потреба в оцінці ефективності діючої СЗІ з метою вирішення питань щодо необхідності її модернізації;
потреба в оцінці на відповідність вимогам нормативно-правових документів у галузі ЗІ.
встановлення ступеня захищеності інформаційних ресурсів підприємства, виявлення недоліків та визначення напрямків подальшого розвитку системи захисту інформації;
перевірка керівництвом підприємства та іншими зацікавленими особами досягнення поставлених цілей у сфері інформаційної безпеки, виконання вимог політики безпеки;
контроль ефективності вкладень в придбання засобів захисту інформації та реалізацію заходів щодо забезпечення інформаційної безпеки;
сертифікація на відповідність загальновизнаним нормам і вимогам у сфері інформаційної безпеки (зокрема, на відповідність національним та міжнародним стандартам).
перед впровадженням комплексної системи безпеки для підготовки ТЗ на її розробку і створення;
після впровадження комплексної системи безпеки для оцінки рівня її ефективності;
для приведення системи інформаційної безпеки у відповідність встановленим вимогам (міжнародні стандарти або вимоги законодавства);
для систематизації та впорядкування існуючих заходів захисту інформації;
для перевірки ефективності роботи підрозділів компанії, відповідальних за забезпечення ІБ;
для обґрунтування інвестицій в напрямок інформаційної безпеки.
прихованість інвестицій в IT, відсутність економічних показників роботи підрозділів ІТ компанії;
неадекватний захист інформації (ресурси кинуті на захист інформації, що не представляє реальної цінності компанії, в той час, як справді цінна інформація не захищена адекватно);
фінансові та репутаційні втрати внаслідок слабкої організації інформаційною безпекою підприємства;
постійні штрафні санкції з боку регуляторів;
придбання, розробка та обслуговування інформаційних систем;
відсутність об'єктивної інформації про стан інформаційної системи для вірного прийняття рішень.
Внутрішні користувачі:
керівництво компанії;
підрозділ інформаційної безпеки;
служба безпеки;
підрозділ автоматизації підприємства;
служба внутрішнього контролю/аудиту.
Зовнішні користувачі:
акціонери компанії;
регулюючі органи;
клієнти компанії.
комплексний – перед створенням комплексної системи захисту інформації (КСЗІ);
точковий – з метою формування вимог з модифікації КСЗІ;
періодичний – зовнішня регламентована перевірка захищеності ІС;
перевірочний – експертиза та оцінка систем та рішень, що використовуються або плануються до використання.
ISO 15408: Common Criteria for Information Technology Security Evaluation (Загальні критерії оцінки безпеки інформаційних технологій);
НД ТЗІ 2.5-004-99 «Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу»;
ISO 27001 (раніше ISO/IEC 17799:2005) «Інформаційні технології. Методи захисту. Система управління інформаційною безпекою».
PСI DSS (Payment Card Industry Data Security Standard) або Стандарт захисту інформації в індустрії платіжних карт є міжнародним стандартом безпеки даних про власників платіжних карт.
BSI \ IT: Baseline Protection Manual ( Керівництво базового рівня щодо захисту інформаційних технологій Агентства інформаційної безпеки Німеччини);
COBIT: Control Objectives for Information and related Technology (Основні цілі для інформаційних та пов'язаних з ними технологій);
Вимогам Керівних документів СБУ чи інших державних органів;
інших документів.