Please enable JavaScript.

Coggle requires JavaScript to display documents.

ЛЕКЦІЯ 8. АУДИТ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ (Аудит інформаційної безпеки. (Аудит…

- - - - зростаюча складність та розподіленість інформаційних систем (ІС) та
      - потреба керівництва усвідомлювати повну картину про стан ІС та
      - потреба в оцінці ефективності діючої СЗІ з метою вирішення питань
      - потреба в оцінці на відповідність вимогам нормативно-правових
  - - - являє собою експертне обстеження основних аспектів інформаційної безпеки, їх перевірку на відповідність певним вимогам.
    - - отримати незалежну й об'єктивну
        оцінку
      - своєчасно виявити існуючі
        прогалини
      - встановлення ступеня захищеності
      - перевірка керівництвом підприємства виконання вимог
        політики безпеки
    - - перед впровадженням комплексної системи безпеки для підготовки ТЗ
        
        після впровадження комплексної системи безпеки для оцінки
        
        для приведення системи інформаційної безпеки у відповідність встановленим вимогам
        
        для систематизації та впорядкування існуючих заходів захисту
        
        для перевірки ефективності роботи підрозділів компанії,
        
        для обґрунтування інвестицій в напрямок інформаційної безпеки
- - - - ініціювання проведення аудиту;
      - безпосередньо здійснення збору інформації та проведення обстеження
      - аналіз зібраних даних і вироблення рекомендацій;
      - підготовка аудиторського звіту та атестаційного висновку.
    - - аналіз систем інформаційної безпеки;
        
        аналіз систем захисту від вірусів і небажаної електронної пошти;
        
        аналіз систем захисту від зовнішнього проникнення;
        
        аналіз можливих шляхів просочування інформації всередині
        
        аналіз принципів міжмережевої взаємодії;
        
        аналіз існуючих політик IP-адресації, IP-маршрутизації;
        
        аналіз системи зберігання і резервування даних;
        
        висновки;
        
        рекомендації;
        
        пропозиції.
    - - початковому етапі
        
        перелік обстежуваних інформаційних ресурсів та інформаційних
        
        перелік будівель, приміщень і територій
        
        основні загрози, засоби захисту від яких необхідно піддати аудиту;
        
        елементи системи забезпечення інформаційної безпеки, які необхідно включити в процес перевірки (
      - Основна стадія
        
        аналіз наявної політики інформаційної безпеки та іншої організаційної
        
        організація процесу навчання користувачів прийомам і правилам
        
        організація роботи адміністраторів
        
        організація процесів підвищення кваліфікації адміністраторів
        
        забезпечення відповідності необхідних (у відповідності з політикою
        
        організація призначення та використання спеціальних прав в
        
        організація робіт і координації дій при виявленні порушень
        
        заходи, що вживаються антивірусного захисту
        
        забезпечення безпеки придбаних програмних і апаратних засобів
        
        забезпечення безпеки самостійно розроблюваного програмного
        
        організація робіт з встановлення та оновлення програмного
        
        заходи, що вживаються щодо забезпечення обліку і схоронності носіїв
        
        ефективність організації взаємодії співробітників підприємства -
        
        проведення нарад, опитувань, довірчих бесід і інтерв'ю з
        
        перевірку стану фізичної безпеки інформаційної інфраструктури
        
        перевірку того, щоб найбільш важливі об'єкти інформаційної
        
        перевірку наявності та працездатності технічних засобів, що
        
        перевірку наявності та працездатності засобів пожежної сигналізації
        
        перевірку розподілу відповідальності за фізичний (технічний) стан
        
        технічне обстеження інформаційних систем - програмних і апаратних
        
        Тест на проникнення
        
        визначення можливості певного набору атак;
        
        виявлення вразливостей вищого ризику
        
        виявлення вразливостей, які може бути важко або неможливо знайти
        
        оцінювання величини потенційного впливу успішних атак на бізнес;
        
        тестування здатності захисників мережі успішно виявляти і реагувати
        
        надання доказів на підтримку збільшення інвестицій у персонал
        
        White Box
        
        Black Hat
        
        White Hat
        
        Black Box
        
        White Hat
        
        Black Hat
  - - - перелік критичних ресурсів організації;
      - визначення, рівня захищеності критичних ресурсів, що безпосередньо
      - модель загроз порушника БІ та перелік ризиків БІ;
      - адекватність фінансових затрат на забезпечення БІ виявленим
      - звіт з проведення порівняльного аналізу вирішення аналогійних задач
      - визначення зон відповідальності співробітників підрозділів
      - оцінка поточної спроможності організації до продовження діяльності
      - оцінка на відповідність обраним критеріям;
      - перелік рекомендацій та заходів захисту, впровадження яких