Please enable JavaScript.
Coggle requires JavaScript to display documents.
Інтелект-карта основ аудиту інформаційної безпеки. Субота Роман КБ-21 -…
Інтелект-карта основ аудиту інформаційної безпеки.
Субота Роман КБ-21
Фактори, що зумовлюють необхідність проведення аудиту БІ
зростаюча складність і розподіленість інформаційних систем (ІС)
та відокремлення зон відповідальності персоналу, що їх обслуговує
потреба в оцінюванні ефективності діючої СЗІ з метою вирішення
питань щодо необхідності її модернізації
потреба в оцінюванні на відповідність вимогам нормативноправових документів у галузі ЗІ
потреба керівництва усвідомлювати повну картину про стан ІС та
процеси, що в ній відбуваються
Аудит безпеки інформації
Це процес отримання та оцінки об'єктивних даних про поточний стан інформаційної системи, дій та подій, щоб встановити їх відповідність визначеному критерію.
Аудит інформаційної безпеки
Це процес аналізу системи інформаційної безпеки згідно з міжнародними стандартами з метою підвищення рівня захисту інформації та мінімізації ризиків, пов'язаних з експлуатацією інформаційних систем.
Мета аудиту інформаційної безпеки
одержати незалежну та об’єктивну
оцінку поточного рівня інформаційної безпеки.
Компанії, які проводять аудити, можуть перевіряти інформаційну безпеку за загальновизнаними стандартами і вимогами.
ISO 15408: Common Criteria for Information Technology Security
Evaluation (Загальні критерії оцінки безпеки інформаційних технологій)
НД ТЗІ 2.5-004-99 «Критерії оцінки захищеності інформації в
комп’ютерних системах від несанкціонованого доступу»
ISO 27001 (раніше ISO/IEC 17799:2005) «Інформаційні технології.
Методи захисту. Система управління інформаційною безпекою»
PСI DSS (Payment Card Industry Data Security Standard)
Мета аудиту інформаційної безпеки
виявлення прогалин і об'єктивна оцінка відповідності параметрів режиму інформаційної безпеки необхідному рівню.
Аудит інформаційної безпеки здійснюють
після впровадження комплексної системи безпеки для оцінювання
рівня її ефективності
для приведення системи інформаційної безпеки у відповідність
установленим вимогам (міжнародні стандарти або вимоги законодавства)
для систематизації та впорядкування чинних заходів захисту
інформації
для перевірки ефективності роботи підрозділів компанії,
відповідальних за забезпечення ІБ
перед упровадженням комплексної системи безпеки для
підготовки ТЗ на її розроблення та створення
контроль ефективності вкладень у придбання засобів захисту
інформації та реалізацію заходів щодо забезпечення інформаційної безпеки
для обґрунтування інвестицій у напрямок інформаційної безпеки.
Метою аудиту можуть бути
Визначення витрат для посилення безпеки підприємства повинне
ґрунтуватися на використанні системи показників
витрат для проведення заходу
розміру відверненої шкоди
розміру заподіяної шкоди
ефективності здійсненого заходу (як різниця відверненої та
заподіяної шкоди, поділеної на витрати на здійснення заходу)
Кінцеві споживачі результатів аудиту
Зовнішні користувачі
клієнти компанії
акціонери компанії
регулювальні органи
Внутрішні користувачі
служба безпеки
підрозділ автоматизації підприємства
підрозділ інформаційної безпеки
служба внутрішнього контролю/аудиту
керівництво компанії
Проведення аудиту дозволяє вирішити цілу групу проблем, пов’язаних
як із поточною роботою, так і з подальшим розвитком підприємства
прихованість інвестицій в IT, відсутність економічних показників
роботи підрозділів ІТ компанії
фінансові та репутаційні втрати внаслідок слабкої організації
інформаційною безпекою підприємства
постійні штрафні санкції з боку регуляторів
придбання, розроблення та обслуговування інформаційних
систем
відсутність об’єктивної інформації про стан інформаційної
системи для правильного ухвалення рішень
Цілями аудиту можуть бути:
Аудиторські компанії допомагають встановлювати рівень захищеності інформаційних ресурсів підприємства, виявляють недоліки і визначають напрямки подальшого розвитку системи захисту інформації.
Керівництво підприємства та інші зацікавлені особи перевіряють досягнення цілей в галузі інформаційної безпеки та виконання вимог політики безпеки.
контроль ефективності вкладень в придбання засобів захисту
інформації та реалізацію заходів щодо забезпечення інформаційної безпеки
Сертифікація на відповідність загальновизнаним нормам і вимогам інформаційної безпеки, включаючи національні і міжнародні стандарти.
Як правило, підприємство може вдаватися до допомоги зовнішніх
аудиторів з метою
підвищення об'єктивності, незалежності та професійного рівня
перевірки
отримання висновків про стан інформаційної безпеки та
відповідності міжнародним стандартам від незалежних аудиторів
Компанії, що проводять аудити, перевіряють стан інформаційної безпеки за визнаними стандартами та вимогами.
COBIT: Control Objectives for Information and related Technology
(Основні цілі для інформаційних і пов'язаних з ними технологій)
ISO 15408: Common Criteria for Information Technology Security
Evaluation (Загальні критерії оцінки безпеки інформаційних технологій)
BSI\IT: Настанова базового рівня з захисту інформаційних технологій, розроблена Агентством інформаційної безпеки Німеччини.
При цьому організація, що здійснює зовнішній аудит, повинна
відповідати певним вимогам
Мати право (ліцензію) на видачу висновків про відповідність певним вимогам, таким як акредитація від UKAS (United Kingdom Accreditation Service).
Співробітники мають право доступу до інформації, що є державною або військовою таємницею, якщо така інформація існує на підприємстві, яке перевіряється.
Мати необхідні програмні та апаратні засоби для повноцінної перевірки наявного на підприємстві програмного та апаратного забезпечення.