Please enable JavaScript.
Coggle requires JavaScript to display documents.
Аудит Информационной Инфраструктуры - Coggle Diagram
Аудит Информационной Инфраструктуры
ОСНОВНЫЕ ПОНЯТИЯ И ЦЕЛИ
Определение аудита ИТ: Системный процесс оценки соответствия критериям
Цели аудита:
Обеспечение соответствия стандартам
Оценка эффективности процессов
Обеспечение надежности данных
Идентификация рисков
Рекомендации по улучшению
Ключевые термины:
Уязвимость - слабое место в системе
Угроза - потенциальная причина инцидента
Риск - вероятность × последствия
Активы - данные, ПО, оборудование, люди
Контроль - мера минимизации риска
Безопасность - защищенность информации
СТАНДАРТЫ И РЕГЛАМЕНТЫ
Международные стандарты:
ISO/IEC 27001 - менеджмент информационной безопасности
COBIT - управление ИТ-процессами
ITIL - управление ИТ-услугами
NIST SP 800-53 - кибербезопасность
Национальные регуляторы (РФ):
152-ФЗ "О персональных данных"
Приказы ФСТЭК России
187-ФЗ "О безопасности КИИ"
Стандарты Банка России
ПРОЦЕСС АУДИТА
Планирование и подготовка:
Определение целей и границ
Сбор информации
Формирование группы
Разработка программы
Проведение аудита:
Интервью с сотрудниками
Анализ документации
Тестирование контроля
Наблюдение за процессами
Обработка результатов:
Сопоставление со стандартами
Оценка рисков
Формулирование выводов
Составление отчета:
Краткое изложение
Детализированные выводы
План корректирующих действий
Завершение и мониторинг:
Презентация отчета
Проверка выполнения
МЕТОДЫ И ИНСТРУМЕНТЫ
Выявление уязвимостей:
Автоматизированное сканирование (Nessus, OpenVAS)
Аудит конфигураций (CIS Benchmarks)
Анализ журналов (SIEM - Splunk, ELK)
Тестирование на проникновение
Обзоры кода и архитектуры
Качественная оценка (Низкий/Средний/Высокий)
Количественная оценка (денежный эквивалент)
Матрица рисков
Методики: OCTAVE, FAIR, NIST RMF
Инструменты аудитора:
Сканирование: Nessus, Nmap
Анализ сетей: Wireshark, Burp Suite
Управление проектами: Jira, Confluence