Please enable JavaScript.
Coggle requires JavaScript to display documents.
АУДИТ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ (Перелік заходів у рамках аудиту (аналіз…
АУДИТ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Фактори необхідності проведення аудиту БІ
зростаюча складність та розподіленість інформаційних систем (ІС) та відокремлення зон відповідальності персоналу, що їх обслуговує
потреба керівництва усвідомлювати повну картину про стан ІС та процеси, що в ній відбуваються
потреба в оцінці ефективності діючої СЗІ з метою вирішення питань щодо необхідності її модернізації
потреба в оцінці на відповідність вимогам нормативно-правових документів у галузі ЗІ
Мета аудиту
встановлення ступеня захищеності інформаційних ресурсів підприємства, виявлення недоліків та визначення напрямків подальшого розвитку системи захисту інформації
перевірка керівництвом підприємства та іншими зацікавленими особами досягнення поставлених цілей у сфері інформаційної безпеки, виконання вимог політики безпеки
контроль ефективності вкладень в придбання засобів захисту інформації та реалізацію заходів щодо забезпечення інформаційної безпеки
сертифікація на відповідність загальновизнаним нормам і вимогам у сфері інформаційної безпеки
Типи аудиту
комплексний – перед створенням комплексної системи захисту інформації (КСЗІ)
точковий – з метою формування вимог з модифікації КСЗІ
періодичний – зовнішня регламентована перевірка захищеності ІС
перевірочний – експертиза та оцінка систем та рішень, що використовуються або плануються до використання
Стандарти при перевірці
ISO 15408: Common Criteria for Information Technology Security Evaluation
НД ТЗІ 2.5-004-99 «Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу»
ISO 27001 (раніше ISO/IEC 17799:2005) «Інформаційні технології. Методи захисту. Система управління інформаційною безпекою»
PСI DSS (Payment Card Industry Data Security Standard)
BSI \ IT: Baseline Protection Manual
COBIT: Control Objectives for Information and related Technology
Основні етапи аудиту
ініціювання проведення аудиту
безпосередньо здійснення збору інформації та проведення обстеження аудиторами
аналіз зібраних даних і вироблення рекомендацій
підготовка аудиторського звіту та атестаційного висновку
Перелік заходів у рамках аудиту
аналіз систем інформаційної безпеки
аналіз систем захисту від вірусів і небажаної електронної пошти
аналіз систем захисту від зовнішнього проникнення
аналіз можливих шляхів просочування інформації всередині організації
аналіз принципів міжмережевої взаємодії
аналіз існуючих політик IP-адресації, IP-маршрутизації
аналіз системи зберігання і резервування даних
висновки
рекомендації
пропозиції
Користь тесту на проникнення
визначення можливості певного набору атак
виявлення вразливостей вищого ризику, які є результатом комбінації вразливостей меншого ризику, що використовуються в певній послідовності
виявлення вразливостей, які може бути важко або неможливо знайти за допомогою автоматизованої мережі або застосування програмного
оцінювання величини потенційного впливу успішних атак на бізнес
тестування здатності захисників мережі успішно виявляти і реагувати на атаки
надання доказів на підтримку збільшення інвестицій у персонал і технології безпеки
Типові результати проведення аудиту БІ
перелік критичних ресурсів організації
визначення, рівня захищеності критичних ресурсів, що безпосередньо пов‘язані з основною діяльністю (місією) організації
модель загроз порушника БІ та перелік ризиків БІ
адекватність фінансових затрат на забезпечення БІ виявленим ризикам
звіт з проведення порівняльного аналізу вирішення аналогійних задач ЗІ у інших організаціях
визначення зон відповідальності співробітників підрозділів організації