Содержание
- 2. Понятие аудита безопасности и цели его проведения Аудит информационной безопасности — системный процесс получения объективных качественных
- 3. Аудит Внешний аудит – это разовое мероприятие, проводимое по инициативе руководства организации или акционеров Внутренний аудит
- 4. Целями проведения аудита безопасности являются: анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов
- 5. Дополнительные задачи внутренних аудиторов: участие в их внедрении в работу организации; постановка задач для ИТ персонала,
- 7. Этапность работ по проведению аудита безопасности информационных систем Инициирование процедуры аудита Сбор информации аудита Анализ данных
- 8. Инициирование процедуры аудита Аудит проводится не по инициативе аудитора, а по инициативе руководства компании, которое в
- 9. На этапе инициирования процедуры аудита должны быть решены следующие организационные вопросы: права и обязанности аудитора должны
- 10. Границы проведения обследования определяются в следующих терминах: Список обследуемых физических, программных и информационных ресурсов; Площадки (помещения),
- 11. Сбор информации аудита Этап сбора информации аудита, является наиболее сложным и длительным. Это связано с большим
- 12. Обеспечение информационной безопасности организации – это комплексный процесс, требующий четкой организации и дисциплины. Он должен начинаться
- 13. Анализ данных аудита Используемые аудиторами методы анализа данных определяются выбранными подходами к проведению аудита, которые могут
- 14. Первый подход, самый сложный, базируется на анализе рисков. Опираясь на методы анализа рисков, аудитор определяет для
- 15. Второй подход, самый практичный, опирается на использование стандартов информационной безопасности. Стандарты определяют базовый набор требований безопасности
- 16. Третий подход, наиболее эффективный, предполагает комбинирование первых двух. Базовый набор требований безопасности, предъявляемых к ИС, определяется
- 17. Анализ рисков - это то, с чего должно начинаться построение любой системы информационной безопасности. Он включает
- 18. Процесс анализа рисков : Идентификация ключевых ресурсов ИС; Определение важности тех или иных ресурсов для организации;
- 19. Ресурсы ИС можно разделить на следующие категории: Информационные ресурсы; Программное обеспечение; Технические средства (серверы, рабочие станции,
- 20. В каждой категории ресурсы делятся на классы и подклассы. Необходимо идентифицировать только те ресурсы, которые определяют
- 21. Виды ущерба: Данные были раскрыты, изменены, удалены или стали недоступны; Аппаратура была повреждена или разрушена; Нарушена
- 22. Угрозы безопасности: локальные и удаленные атаки на ресурсы ИС; стихийные бедствия; ошибки, либо умышленные действия персонала
- 23. Использование методов анализа рисков: Анализ ресурсов ИС, включая информационные ресурсы, программные и технические средства, а также
- 24. Оценка соответствия требованиям стандарта: В случае проведения аудита безопасности на соответствие требованиям стандарта, аудитор, полагаясь на
- 25. Выработка рекомендаций Рекомендации, выдаваемые аудитором по результатам анализа состояния ИС, определяются используемым подходом, особенностями обследуемой ИС,
- 26. Подготовка отчетных документов Аудиторский отчет является основным результатом проведения аудита. Структура отчета может существенно различаться в
- 27. Основные пункты: описание целей проведения аудита; характеристику обследуемой ИС; указание границ проведения аудита и используемых методов;
- 29. Скачать презентацию