Студенческий сайт КФУ - ex ТНУ » Учебный раздел » Учебные файлы »Бухгалтерский учет и аудит

Организация аудита информационной безопасности информационной системы

Тип: реферат
Категория: Бухгалтерский учет и аудит
Скачать
Купить
Организация аудита информационной безопасности информационной системыАндрушка Игорь Молдавская Экономическая АкадемияTIE - 238ВведениеСовременная информационная система организации представляет собой распределенную и неоднородную систему, использующую различные программно-аппаратные компоненты и имеющую точки выхода в сети общего пользования (например, Интернет). В связи с этим значительно усложняется задача правильного и безопасного конфигурирования компонент и обеспечения защищенного взаимодействия между ними, и, как следствие, увеличивается количество уязвимых мест в системе.Наличие уязвимостей в системе дает возможность потенциальному нарушителю провести успешную атаку и нанести ущерб деятельности организации. Появление «слабых мест» может быть обусловлено различными причинами, как объективного (например, недоработки в базовом программном обеспечении), так и субъективного характера (например, неправильная настройка оборудования).Выявление и устранение уязвимостей, а также оценка общего уровня защищенности является чрезвычайно важной составляющей обеспечения безопасности, позволяющей существенно повысить уровень защищенности информационных и иных ресурсов системы.Рис. 1 Роль аудита информационной безопасностиЦели и назначение аудитаК основным целям аудита информационной безопасности можно отнести следующие:
  • Получение объективной и независимой оценки текущего состояния защищенности информационных ресурсов.
  • Получение максимальной отдачи от средств, инвестируемых в создание системы информационной безопасности.
  • Оценка возможного ущерба от несанкционированных действий.
  • Разработка требований к построению системы защиты информации.
  • Определение зон ответственности сотрудников подразделений.
  • Расчет необходимых ресурсов.
  • Разработка порядка и последовательности внедрения системы информационной безопасности.
    • Аудит может проводится в следующих вариантах:
  • Комплексный аудит – перед созданием системы информационной безопасности
  • Точечный – формирование требований к проведению модернизации системы защиты
  • Периодичный – внешняя регламентная проверка уровня защищенности системы.
  • Проверочный – экспертиза и оценка используемых, либо планируемых к использованию систем и решений.
    • Этапы аудитаПроцесс аудита информационных систем можно представить в виде своеобразных весов (рис. 2), где на одной чаше рассматриваются системы безопасности доступа, на другой — контроль бизнес-процессов, а в качестве опоры служит техническая инфраструктура, которая, в свою очередь, основана на принятых методах авторизации, конфигурации системы, а также на политиках и процедурах, принятых в организации.Рис. 2 Процесс аудита информационных системРаботы по аудиту безопасности ИС включают в себя ряд последовательных этапов (рис. 3), которые в целом соответствуют этапам проведения комплексного аудита ИС, который включает в себя следующее:комплексное обследование - включает сбор информации об используемых информационных ресурсах - системное программное обеспечение, локальные сети и телекоммуникации, прикладные системы, а также анализ существующих организационно-правовых процессов. По результатам обследования формируется (уточняется) перечень критичных ресурсов и разрабатывается перечень угроз для данных ресурсов;проведение оценки защищенности - включает работы по обнаружению уязвимостей технических средств, анализу технологической защищенности, а также адекватности организационных процедур. На основе выявленных недостатков проводиться оценка рисков, включающая основные способы преодоления системы защиты, степень критичности и возможность реализации;аттестация системы - включает мероприятия по обследованию (оценки) существующих мер и мероприятий по защите информации, оценки их адекватности, а также соответствие требования ведущих стандартов;по результатам Аудита разрабатывается План исправления выявленных недостатков. Задача планирования состоит в определении приоритетов исправления обнаруженных недостатков, разработки очередности и методологии их устранения. Дополнительно предусматривается разработка концептуальных и процедурных документов, таких как Концепция информационной безопасности, Общие требования и рекомендации по защите информации, Политики безопасности и др.
  • Рис 3. Этапы проведения аудита информационной безопасностиВ зависимости от целей и способа проведения аудита информационной безопасности инициатором этого мероприятия, как уже было отмечено выше, является заинтересованная сторона. Наиболее часто инициатором аудита является организация в лице его руководства.Как правило на этапе обследования решаются следующие организационные вопросы:
  • права и обязанности аудитора четко определяются и документально закрепляются в его должностных инструкциях, а также в положении о внутреннем (внешнем) аудите;
  • аудитором подготавливается и согласовывается с руководством план проведения аудита информационной безопасности.
    • На этапе обследования также определяются границы проведения обследования. Границы проведения обследования обычно определяются в следующих терминах:
  • список обследуемых физических, программных и информационных ресурсов;
  • площадки (помещения), попадающие в границы обследования;
  • основные виды угроз безопасности, рассматриваемые при проведении аудита;
  • организационные (законодательные, административные и процедурные), физические, программно-технические и прочие аспекты обеспечения безопасности, которые необходимо учесть в ходе проведения обследования, и их приоритеты (в каком объеме они должны быть учтены).
    • Далее следует сбор информации аудита, который является наиболее сложным и длительным. Это, как правило, с...
    Другие файлы:

    Аудит информационной безопасности
    В книге рассмотрены принципы и методы аудита информационной безопасности организаций на основе процессного подхода. Показаны методы оценивания информа...

    Комплексные системы информационной безопасности
    Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкци...

    Аудит информационной безопасности
    Задачи, которые решаются в ходе аудита защищенности информационной системы. Этапы экспертного аудита. Тест на проникновение (пентест) в информационную...

    Защита конфиденциальной информации
    Источники угроз информационной безопасности. Место информационной безопасности в системе национальной безопасности России. Основные проблемы информаци...

    Совершенствование системы информационной безопасности на предприятии ООО "Нива" Уинского района
    Анализ системы информационной безопасности на предприятии. Служба по вопросам защиты информации. Угрозы информационной безопасности, характерные для п...