Coggle requires JavaScript to display documents.
ініціювання проведення аудиту;
безпосередньо здійснення збору інформації та проведення обстеження аудиторами;
аналіз зібраних даних і вироблення рекомендацій;
підготовка аудиторського звіту та атестаційного висновку.
аналіз систем інформаційної безпеки;
аналіз систем захисту від вірусів і небажаної електронної пошти;
аналіз систем захисту від зовнішнього проникнення;
аналіз можливих шляхів просочування інформації всередині організації;
аналіз принципів міжмережевої взаємодії;
аналіз існуючих політик IP-адресації, IP-маршрутизації;
аналіз системи зберігання і резервування даних;
висновки;
рекомендації;
пропозиції.
аналіз наявної політики інформаційної безпеки та іншої організаційної документації;
проведення нарад, опитувань, довірчих бесід і інтерв'ю з співробітниками підприємства;
перевірку стану фізичної безпеки інформаційної інфраструктури підприємства;
технічне обстеження інформаційних систем - програмних і апаратних засобів (інструментальна перевірка захищеності).
організація процесу навчання користувачів прийомам і правилам безпечного використання інформаційних систем;
організація роботи адміністраторів інформаційних і телекомунікаційних систем і систем захисту інформації;
організація процесів підвищення кваліфікації адміністраторів інформаційних систем і систем захисту інформації;
забезпечення відповідності необхідних (у відповідності з політикою безпеки і посадовими обов'язками) прав користувачів інформаційних систем і фактично наявних;
організація призначення та використання спеціальних прав в інформаційних системах підприємства;
організація робіт і координації дій при виявленні порушень інформаційної безпеки та відновленні роботи інформаційних систем після збоїв і нападів (практичне виконання "аварійного плану");
заходи, що вживаються антивірусного захисту (належне використання антивірусних програм, облік всіх випадків зараження, організація роботи з усунення наслідків заражень і т.п.);
забезпечення безпеки придбаних програмних і апаратних засобів ;
забезпечення безпеки самостійно розроблюваного програмного забезпечення;
організація робіт з встановлення та оновлення програмного забезпечення, а також контролю за цілісністю встановленого ПЗ;
заходи, що вживаються щодо забезпечення обліку і схоронності носіїв інформації (дисків , дискет , магнітних стрічок і т.п.), а також з їх безпечного знищення після закінчення використання;
ефективність організації взаємодії співробітників підприємства - користувачів інформаційних систем - із службою інформаційної безпеки;
процедури відбору та прийняття нових працівників на роботу, а також їх попередньої перевірки;
процедури контролю за діяльністю співробітників (відстеження їх дій);
процедури реєстрації користувачів і призначення їм прав в інформаційних системах;
розподіл функцій між різними співробітниками і мінімізація їх привілеїв, а також можливу наявність надлишкових прав у деяких користувачів та адміністраторів.
перевірку того, щоб найбільш важливі об'єкти інформаційної інфраструктури та системи захисту інформації розташовувалися в зонах (частинах будинків, приміщеннях), що мають пропускний режим, а також обладнаних камерами відеоспостереження та іншими засобами контролю (електронними замками, засобами біометричної ідентифікації і т.п.);
перевірку наявності та працездатності технічних засобів, що забезпечують стійку роботу комп'ютерного та телекомунікаційного обладнання: джерел безперебійного енергопостачання, кондиціонерів (там, де це необхідно) тощо;
перевірку наявності та працездатності засобів пожежної сигналізації та пожежогасіння;
перевірку розподілу відповідальності за фізичний (технічний) стан об'єктів інформаційної інфраструктури підприємства.
безпосереднє вивчення роботи окремих серверів, робочих станцій і мережевого устаткування відповідними технічними фахівцями, які можуть перевірити різні аспекти їх функціонування
збір і подальший аналіз даних про те, як виконуються процедури резервного копіювання, а також інші необхідні технічні процедури, передбачені регламентом;
перевірка якості програмного забезпечення, самостійно розробленого підприємством, виявлення помилок, які можуть стати причиною збоїв, несанкціонованих проникнень, руйнування і витоку інформації та інших інцидентів;
вивчення роботи мережі
проведення з метою тестування пробних, контрольованих "порушень" інформаційної безпеки, таких як атаки типу "відмова в обслуговуванні" ( DoS ) або проникнення в певні бази даних і на певні сервери, а також використання різних відомих вразливостей з метою з'ясування конкретних параметрів безпеки, стабільності та надійності перевіреній інформаційної системи.
перелік критичних ресурсів організації;
визначення, рівня захищеності критичних ресурсів, що безпосередньо пов‘язані з основною діяльністю (місією) організації;
модель загроз порушника БІ та перелік ризиків БІ;
адекватність фінансових затрат на забезпечення БІ виявленим ризикам;
звіт з проведення порівняльного аналізу вирішення аналогійних задач ЗІ у інших організаціях;
визначення зон відповідальності співробітників підрозділів організації;
оцінка поточної спроможності організації до продовження діяльності у випадку виникнення надзвичайних ситуацій;
оцінка на відповідність обраним критеріям;
перелік рекомендацій та заходів захисту, впровадження яких дозволить усунути виявлені недоліки та план впровадження заходів захисту.