Please enable JavaScript.
Coggle requires JavaScript to display documents.
Інтелект-карта основних етапів аудиту інформаційної безпеки Субота Роман…
Інтелект-карта основних етапів аудиту інформаційної безпеки
Субота Роман КБ-21
Основними етапами проведення аудиту є
ініціювання проведення аудиту
безпосереднє здійснення збору інформації та проведення обстеження
аудиторами
аналіз зібраних даних і вироблення рекомендацій
підготовка аудиторського звіту та атестаційного висновку
Аудит має бути ініційований керівництвом підприємства з чіткою метою, наприклад, після завершення етапу впровадження інформаційної системи. На початковому етапі потрібно визначити межі аудиту, якщо він не є комплексним.
Елементи системи забезпечення інформаційної безпеки, які слід включити в процес перевірки: організаційні, правові, програмно-технічні та апаратні засоби.
перелік будівель, приміщень і територій, в межах яких
проводитиметься аудит
перелік обстежуваних інформаційних ресурсів та інформаційних
систем (підсистем)
Основна стадія – проведення аудиторського обстеження та збір
інформації – як правило, має включати в себе
перевірку стану фізичної безпеки інформаційної інфраструктури
підприємства
проведення нарад, опитувань, довірчих бесід та інтерв'ю зі
співробітниками підприємства
аналіз наявної політики інформаційної безпеки та іншої документації
організації
технічне обстеження інформаційних систем – програмних і
апаратних засобів (інструментальна перевірка захищеності)
Аналіз політики також може
включати оцінку таких її характеристик, як
актуальність всіх положень і вимог політики, своєчасність обліку всіх
змін, що відбуваються в інформаційних системах і бізнес-процесах
Чіткість і зрозумілість тексту політики для нетехнічних осіб, унеможливлення подвійного тлумачення формулювань.
Повнота і глибина охоплення всіх питань, відповідність політик нижнього рівня цілям та завданням, визначеним у політиках верхнього рівня.
Після перевірки основних положень політики безпеки в аудиті можуть бути розглянуті діючі класифікації інформаційних ресурсів за ступенем критичності і конфіденційності, а також інші документи, пов'язані з забезпеченням інформаційної безпеки.
організаційні документи підрозділів підприємства (положення про
відділи, посадові інструкції)
інструкції (положення, методики), що стосуються окремих бізнеспроцесів підприємства
Технічна документація та користувацькі інструкції для програмних і апаратних засобів, таких як міжмережеві екрани, маршрутизатори, операційні системи, антивірусні програми та системи управління підприємством.
Кадрова документація, зобов'язання про нерозголошення, дані співробітників, свідоцтва про навчання, сертифікацію, атестацію та ознайомлення з правилами.
Основна робота аудиторів під час збору інформації полягає у вивченні фактично застосованих заходів щодо захисту інформаційних активів підприємства, таких як
Застосовуються заходи для обліку, зберігання та безпечного знищення носіїв інформації (дисків, дискет, магнітних стрічок тощо) після закінчення використання.
організація робіт з встановлення та оновлення програмного
забезпечення, а також контролю за цілісністю встановленого ПЗ
Застосовуються заходи антивірусного захисту, включаючи належне використання антивірусних програм, облік випадків зараження та організацію усунення наслідків заражень.
Організація призначення та використання "суперкористувацьких" прав в інформаційних системах підприємства.
Забезпечення відповідності прав користувачів інформаційних систем політиці безпеки та їхнім посадовим обов'язкам.
організація процесу навчання користувачів прийомам і правилам
безпечного використання інформаційних систем
організація процесів підвищення кваліфікації адміністраторів
інформаційних систем і систем захисту інформації
Аудит може визначити, наскільки підприємство здатне протистояти внутрішнім загрозам, таким як співробітники, які намагаються завдати шкоду. Дослідження може охоплювати різні можливості цього протистояння.
процедури відбору та прийняття нових співробітників на роботу, а
також їх попередньої перевірки
процедури контролю за діяльністю співробітників (відстеження їх
дій)
процедури реєстрації користувачів і призначення їм прав в
інформаційних системах
Перевірка стану фізичної безпеки інформаційної інфраструктури, як
правило, включає в себе
Перевірка розміщення найважливіших об'єктів інформаційної інфраструктури та систем захисту в зонах з пропускним режимом та обладнаних системами відеоспостереження та контролю доступу, такими як електронні замки та біометрична ідентифікація.
Перевірка наявності та роботи технічних засобів, які забезпечують стабільну роботу комп'ютерного та телекомунікаційного обладнання, таких як джерела безперебійного живлення, кондиціонери (де потрібно) і т. д.
перевірку наявності та працездатності засобів пожежної сигналізації
та пожежогасіння
перевірку розподілу відповідальності за фізичний (технічний) стан
об'єктів інформаційної інфраструктури підприємства
До інших напрямків інструментального та
технічного контролю також відносяться такі роботи, як
Збір та аналіз даних про виконання процедур резервного копіювання та інших технічних процедур, передбачених регламентом.
Перевірка якості самостійно розробленого програмного забезпечення підприємством, включаючи аналіз вихідних кодів та проектної документації, з метою виявлення помилок, які можуть призвести до збоїв, несанкціонованого доступу, руйнування або витоку інформації та інших інцидентів.
Технічні фахівці проводять безпосереднє вивчення роботи окремих серверів, робочих станцій і мережевого устаткування, перевіряючи різні аспекти їх функціонування, такі як процедури завантаження, виконувані процеси, вміст конфігураційних файлів тощо
вивчення роботи мережі (мережевого трафіку, завантаження різних
сегментів мережі тощо)
Заключним результатом аналізу та узагальнення даних, отриманих в
процесі аудиту, є звіт (висновок), який може включати в себе
оцінку стану (рівня) захищеності інформаційних ресурсів та
інформаційних систем
оцінки економічної ефективності вкладень у ті чи інші засоби захисту
інформації, а також організаційні заходи (віддачі від них)
Кількісна (грошова) оцінка можливих втрат від порушень безпеки та розрахунок необхідних витрат для досягнення певного рівня захищеності.
Пропозиції щодо удосконалення політики інформаційної безпеки та впровадження додаткових організаційних та технічних заходів у цій сфері. Також враховується необхідність реалізації заходів для відповідності певному стандарту у разі, якщо аудит показав, що поточний рівень захисту не відповідає вимогам.
висновок про ступінь відповідності фактичного рівня інформаційної
безпеки вимогам певних стандартів і нормативних документів
Також за результатами аудиту можуть бути сформульовані додаткові
рекомендації, що стосуються
перегляду окремих бізнес-процесів і процедур
вдосконалення роботи з персоналом підприємства
впровадження і використання сучасних технічних (програмних і
апаратних) засобів обробки і захисту інформації
організації роботи із захисту інформації;
вибору пріоритетів в процесі усунення існуючих недоліків