Please enable JavaScript.
Coggle requires JavaScript to display documents.
Аудит інформаційної безпеки. images (1) Мельник Владислав КБ-21 - Coggle…
Аудит інформаційної безпеки. 
Мельник Владислав КБ-21
Аудит інформаційної безпеки – це аналіз системи інформаційної безпеки відповідно до міжнародних стандартів, метою якого є підвищення рівня захисту інформації та мінімізації ризиків, пов’язаних з експлуатацією інформаційних систем.
-
-
-
-
Фактори, що зумовлюють
зростаюча складність і розподіленість інформаційних систем (ІС) та відокремлення зон відповідальності персоналу, що їх обслуговує
потреба керівництва усвідомлювати повну картину про стан ІС та процеси, що в ній відбуваються
потреба в оцінюванні ефективності діючої СЗІ з метою вирішення питань щодо необхідності її модернізації
-
Мета аудиту інформаційної безпеки – своєчасно виявити наявні прогалини та об’єктивно оцінити відповідність параметрів, що характеризують режим інформаційної безпеки, необхідному рівню
Аудит здійснюють:
-
-
-
для перевірки ефективності роботи підрозділів компанії, відповідальних за забезпечення ІБ
-
-
стратегічне завдання аудиту- демонстрація надійності підприємства,
-
-
Проблеми, які вирішує аудит
прихованість інвестицій в IT, відсутність економічних показників роботи підрозділів ІТ компанії;
неадекватний захист інформації (ресурси кинуті на захист інформації, що не являє собою реальної цінності компанії, водночас, як справді цінна інформація не захищена адекватно);
-
-
придбання, розроблення та обслуговування інформаційних систем;
-
-
-
Аудит, види аудиту на підприємстві
-
Експертне обстеження, перевірка на відповідність, перевірказахищеності
Головне завдання: отримання сертифіката відповідності, як гарантії надійності партнерства та забезпечення безпеки
Цілями аудиту можуть бути:виявлення недоліків, перевірка безпеки, захищеності, контроль за ефективністю вкладень, перевірка досягнень
Компанії, що спеціалізуються на проведенні аудитів перевіряють на відповідність стандартам:
ISO 15408: Common Criteria for Information Technology Security Evaluation (Загальні критерії оцінки безпеки інформаційних технологій);
BSI\IT: Baseline Protection Manual (Настанова базового рівня із захисту інформаційних технологій Агентства інформаційної безпеки Німеччини);
COBIT: Control Objectives for Information and related Technology (Основні цілі для інформаційних і пов'язаних з ними технологій);
та інших документів (таких як SAC, COSO, SAS 55/78).
Вимоги до компанії, що проводить аудит:
-
співробітники повинні мати право доступу до інформації, що становить державну і військову таємницю (якщо така інформація є на підприємстві, що перевіряється
володіти необхідними програмними та апаратними засобами для вичерпної перевірки наявного у підприємства програмного і апаратного забезпечення.