Аудит информационной безопасности

Июль 25, 2022

Главная
Информатика
Аудит информационной безопасности

Содержание

2. Понятие аудита безопасности и цели его проведения Аудит информационной безопасности — системный процесс получения объективных качественных
3. Аудит Внешний аудит – это разовое мероприятие, проводимое по инициативе руководства организации или акционеров Внутренний аудит
4. Целями проведения аудита безопасности являются: анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов
5. Дополнительные задачи внутренних аудиторов: участие в их внедрении в работу организации; постановка задач для ИТ персонала,
7. Этапность работ по проведению аудита безопасности информационных систем Инициирование процедуры аудита Сбор информации аудита Анализ данных
8. Инициирование процедуры аудита Аудит проводится не по инициативе аудитора, а по инициативе руководства компании, которое в
9. На этапе инициирования процедуры аудита должны быть решены следующие организационные вопросы: права и обязанности аудитора должны
10. Границы проведения обследования определяются в следующих терминах: Список обследуемых физических, программных и информационных ресурсов; Площадки (помещения),
11. Сбор информации аудита Этап сбора информации аудита, является наиболее сложным и длительным. Это связано с большим
12. Обеспечение информационной безопасности организации – это комплексный процесс, требующий четкой организации и дисциплины. Он должен начинаться
13. Анализ данных аудита Используемые аудиторами методы анализа данных определяются выбранными подходами к проведению аудита, которые могут
14. Первый подход, самый сложный, базируется на анализе рисков. Опираясь на методы анализа рисков, аудитор определяет для
15. Второй подход, самый практичный, опирается на использование стандартов информационной безопасности. Стандарты определяют базовый набор требований безопасности
16. Третий подход, наиболее эффективный, предполагает комбинирование первых двух. Базовый набор требований безопасности, предъявляемых к ИС, определяется
17. Анализ рисков - это то, с чего должно начинаться построение любой системы информационной безопасности. Он включает
18. Процесс анализа рисков : Идентификация ключевых ресурсов ИС; Определение важности тех или иных ресурсов для организации;
19. Ресурсы ИС можно разделить на следующие категории: Информационные ресурсы; Программное обеспечение; Технические средства (серверы, рабочие станции,
20. В каждой категории ресурсы делятся на классы и подклассы. Необходимо идентифицировать только те ресурсы, которые определяют
21. Виды ущерба: Данные были раскрыты, изменены, удалены или стали недоступны; Аппаратура была повреждена или разрушена; Нарушена
22. Угрозы безопасности: локальные и удаленные атаки на ресурсы ИС; стихийные бедствия; ошибки, либо умышленные действия персонала
23. Использование методов анализа рисков: Анализ ресурсов ИС, включая информационные ресурсы, программные и технические средства, а также
24. Оценка соответствия требованиям стандарта: В случае проведения аудита безопасности на соответствие требованиям стандарта, аудитор, полагаясь на
25. Выработка рекомендаций Рекомендации, выдаваемые аудитором по результатам анализа состояния ИС, определяются используемым подходом, особенностями обследуемой ИС,
26. Подготовка отчетных документов Аудиторский отчет является основным результатом проведения аудита. Структура отчета может существенно различаться в
27. Основные пункты: описание целей проведения аудита; характеристику обследуемой ИС; указание границ проведения аудита и используемых методов;
29. Скачать презентацию

Слайд 2

Понятие аудита безопасности и цели его проведения

Аудит информационной безопасности — системный

процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности в соответствии с определенными критериями и показателями безопасности

Слайд 3

Аудит
Внешний аудит – это разовое мероприятие, проводимое по инициативе руководства организации

или акционеров

Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании «Положения о внутреннем аудите» и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации

Слайд 4

Целями проведения аудита безопасности являются:
анализ рисков, связанных с возможностью осуществления угроз

безопасности в отношении ресурсов ИС
оценка текущего уровня защищенности ИС;
локализация узких мест в системе защиты ИС;
оценка соответствия ИС существующим стандартам в области информационной безопасности;
выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.

Слайд 5

Дополнительные задачи внутренних аудиторов:
участие в их внедрении в работу организации;
постановка задач

для ИТ персонала, касающихся обеспечения защиты информации;
участие в обучении пользователей и обслуживающего персонала ИС вопросам обеспечения информационной безопасности;
участие в разборе инцидентов, связанных с нарушением информационной безопасности;

Слайд 6

Слайд 7

Этапность работ по проведению аудита безопасности информационных систем
Инициирование процедуры аудита
Сбор информации

аудита
Анализ данных аудита
Выработка рекомендаций
Подготовка аудиторского отчета

Слайд 8

Инициирование процедуры аудита
Аудит проводится не по инициативе аудитора, а по инициативе

руководства компании, которое в данном вопросе является основной заинтересованной стороной. Поддержка руководства компании является необходимым условием для проведения аудита.
Аудит представляет собой комплекс мероприятий, в которых помимо самого аудитора, оказываются задействованными представители большинства структурных подразделений компании

Слайд 9

На этапе инициирования процедуры аудита должны быть решены следующие организационные вопросы:
права

и обязанности аудитора должны быть четко определены и документально закреплены в его должностных инструкциях, а также в положении о внутреннем (внешнем) аудите;
аудитором должен быть подготовлен и согласован с руководством план проведения аудита;
в положении о внутреннем аудите должно быть закреплено, в частности, что сотрудники компании обязаны оказывать содействие аудитору и предоставлять всю необходимую для проведения аудита информацию.

Слайд 10

Границы проведения обследования определяются в следующих терминах:
Список обследуемых физических, программных и

информационных ресурсов;
Площадки (помещения), попадающие в границы обследования;
Основные виды угроз безопасности, рассматриваемые при проведении аудита;
Организационные (законодательные, административные и процедурные), физические, программно-технические и прочие аспекты обеспечения безопасности, которые необходимо учесть в ходе проведения обследования, и их приоритеты (в каком объеме они должны быть учтены).

Слайд 11

Сбор информации аудита
Этап сбора информации аудита, является наиболее сложным и длительным.

Это связано с большим объемом необходимой документации на информационную систему и с необходимостью плотного взаимодействия аудитора со многими должностными лицами организации.

Слайд 12

Обеспечение информационной безопасности организации – это комплексный процесс, требующий четкой организации

и дисциплины. Он должен начинаться с определения ролей и распределения ответственности среди должностных лиц, занимающихся информационной безопасностью.

Слайд 13

Анализ данных аудита
Используемые аудиторами методы анализа данных определяются выбранными подходами к

проведению аудита, которые могут существенно различаться.

Слайд 14

Первый подход, самый сложный, базируется на анализе рисков. Опираясь на методы

анализа рисков, аудитор определяет для обследуемой ИС индивидуальный набор требований безопасности, в наибольшей степени учитывающий особенности данной ИС, среды ее функционирования и существующие в данной среде угрозы безопасности.

Слайд 15

Второй подход, самый практичный, опирается на использование стандартов информационной безопасности. Стандарты

определяют базовый набор требований безопасности для широкого класса ИС, который формируется в результате обобщения мировой практики. Стандарты могут определять разные наборы требований безопасности, в зависимости от уровня защищенности ИС, который требуется обеспечить, ее принадлежности (коммерческая организация, либо государственное учреждение), а также назначения (финансы, промышленности, связь и т.п.)

Слайд 16

Третий подход, наиболее эффективный, предполагает комбинирование первых двух. Базовый набор требований

безопасности, предъявляемых к ИС, определяется стандартом. Дополнительные требования, в максимальной степени учитывающие особенности функционирования данной ИС, формируются на основе анализа рисков.

Слайд 17

Анализ рисков - это то, с чего должно начинаться построение любой

системы информационной безопасности. Он включает в себя мероприятия по обследованию безопасности ИС, с целью определения того какие ресурсы и от каких угроз надо защищать, а также в какой степени те или иные ресурсы нуждаются в защите. Определение набора адекватных контрмер осуществляется в ходе управления рисками. Риск определяется вероятностью причинения ущерба и величиной ущерба, наносимого ресурсам ИС, в случае осуществления угрозы безопасности.

Слайд 18

Процесс анализа рисков :
Идентификация ключевых ресурсов ИС;
Определение важности тех или иных

ресурсов для организации;
Идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз;
Вычисление рисков, связанных с осуществлением угроз безопасности.

Слайд 19

Ресурсы ИС можно разделить на следующие категории:
Информационные ресурсы;
Программное обеспечение;
Технические средства (серверы,

рабочие станции, активное сетевое оборудование и т. п.);
Персонал(сотрудники, пользователи).

Слайд 20

В каждой категории ресурсы делятся на классы и подклассы. Необходимо идентифицировать

только те ресурсы, которые определяют функциональность ИС и существенны с точки зрения обеспечения безопасности. Важность (или стоимость) ресурса определяется величиной ущерба, наносимого в случае нарушения конфиденциальности, целостности или доступности этого ресурса.

Слайд 21

Виды ущерба:
Данные были раскрыты, изменены, удалены или стали недоступны;
Аппаратура была повреждена

или разрушена;
Нарушена целостность программного обеспечения.

Слайд 22

Угрозы безопасности:
локальные и удаленные атаки на ресурсы ИС;
стихийные бедствия;
ошибки, либо умышленные

действия персонала ИС;
сбои в работе ИС, вызванные ошибками в программном обеспечении или неисправностями аппаратуры.

Слайд 23

Использование методов анализа рисков:
Анализ ресурсов ИС, включая информационные ресурсы, программные и

технические средства, а также персонал
Анализ групп задач, решаемых системой, и бизнес процессов
Построение (неформальной) модели ресурсов ИС, определяющей взаимосвязи между информационными, программными, техническими ресурсами и персоналом, их взаимное расположение и способы взаимодействия
Оценка критичности информационных ресурсов, а также программных и технических средств
Определение критичности ресурсов с учетом их взаимозависимостей
Определение наиболее вероятных угроз безопасности в отношении ресурсов ИС и уязвимостей защиты, делающих возможным осуществление этих угроз
Оценка вероятности осуществления угроз, величины уязвимостей и ущерба, наносимого организации в случае успешного осуществления угроз
Определение величины рисков для каждой тройки: угроза – группа ресурсов – уязвимость

Слайд 24

Оценка соответствия требованиям стандарта:
В случае проведения аудита безопасности на соответствие требованиям

стандарта, аудитор, полагаясь на свой опыт, оценивает применимость требований стандарта к обследуемой ИС и ее соответствие этим требованиям. Данные о соответствии различных областей функционирования ИС требованиям стандарта, обычно, представляются в табличной форме. Из таблицы видно, какие требования безопасности в системе не реализованы. Исходя из этого, делаются выводы о соответствии обследуемой ИС требованиям стандарта и даются рекомендации по реализации в системе механизмов безопасности, позволяющих обеспечить такое соответствие.

Слайд 25

Выработка рекомендаций
Рекомендации, выдаваемые аудитором по результатам анализа состояния ИС, определяются используемым

подходом, особенностями обследуемой ИС, состоянием дел с информационной безопасностью и степенью детализации, используемой при проведении аудита.

Слайд 26

Подготовка отчетных документов
Аудиторский отчет является основным результатом проведения аудита. Структура отчета

может существенно различаться в зависимости от характера и целей проводимого аудита.

Слайд 27

Основные пункты:
описание целей проведения аудита;
характеристику обследуемой ИС;
указание границ проведения аудита

и используемых методов;
результаты анализа данных аудита;
выводы, обобщающие эти результаты и содержащие оценку уровня защищенности ИС или соответствие ее требованиям стандартов;
рекомендации аудитора по устранению существующих недостатков и совершенствованию системы защиты.

Аудит информационной безопасности

Содержание

Понятие аудита безопасности и цели его проведения Аудит информационной безопасности — системный

АудитВнешний аудит – это разовое мероприятие, проводимое по инициативе руководства организации

Целями проведения аудита безопасности являются:анализ рисков, связанных с возможностью осуществления угроз

Дополнительные задачи внутренних аудиторов:участие в их внедрении в работу организации;постановка задач

Этапность работ по проведению аудита безопасности информационных системИнициирование процедуры аудитаСбор информации

Инициирование процедуры аудита Аудит проводится не по инициативе аудитора, а по инициативе

На этапе инициирования процедуры аудита должны быть решены следующие организационные вопросы:права

Границы проведения обследования определяются в следующих терминах:Список обследуемых физических, программных и

Сбор информации аудита Этап сбора информации аудита, является наиболее сложным и длительным.

Обеспечение информационной безопасности организации – это комплексный процесс, требующий четкой организации

Анализ данных аудита Используемые аудиторами методы анализа данных определяются выбранными подходами к