Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Сбор информации об организации для анализа безопасности
Аудит представляет собой независимую экспертизу отдельных областей функционирования организации. Различают внешний и внутренний аудит. Внешний аудит – это, как правило, разовое мероприятие, проводимое по инициативе руководства организации или акционеров. Рекомендуется проводить внешний аудит регулярно, а, например, для многих финансовых организаций и акционерных обществ это является обязательным требованием. Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании «Положения о внутреннем аудите» и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации. Аудит безопасности информационных систем является одной из составляющих ИТ аудита. Целями проведения аудита безопасности являются: · анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС · оценка текущего уровня защищенности ИС; · локализация узких мест в системе защиты ИС; · оценка соответствия ИС существующим стандартам в области информационной безопасности; · выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС. Этапность работ по проведению аудита безопасности информационных систем Работы по аудиту безопасности ИС включают в себя ряд последовательных этапов, которые в целом соответствуют этапам проведения комплексного ИТ аудита АС, который включает в себя следующее: · Инициирование процедуры аудита · Сбор информации аудита · Анализ данных аудита · Выработка рекомендаций · Подготовка аудиторского отчета
Сбор информации аудита Этап сбора информации аудита, является наиболее сложным и длительным. Это связано с отсутствием необходимой документации на информационную систему и с необходимостью плотного взаимодействия аудитора со многими должностными лицами организации. Компетентные выводы относительно положения дел в компании с информационной безопасностью могут быть сделаны аудитором только при условии наличия всех необходимых исходных данных для анализа. Получение информации об организации, функционировании и текущем состоянии ИС осуществляется аудитором в ходе специально организованных интервью с ответственными лицами компании, путем изучения технической и организационно-распорядительной документации, а также исследования ИС с использованием специализированного программного инструментария. Остановимся на том, какая информация необходима аудитору для анализа.
Обеспечение информационной безопасности организации – это комплексный процесс, требующий четкой организации и дисциплины. Он должен начинаться с определения ролей и распределения ответственности среди должностных лиц, занимающихся информационной безопасностью. Поэтому первый пункт аудиторского обследования начинается с получения информации об организационной структуре пользователей ИС и обслуживающих подразделений. В связи с этим аудитору требуется следующая документация: · Схема организационной структуры пользователей; · Схема организационной структуры обслуживающих подразделений. Обычно, в ходе интервью аудитор задает опрашиваемым следующие вопросы: · Кто является владельцем информации? · Кто является пользователем (потребителем) информации? · Кто является провайдером услуг? Назначение и принципы функционирования ИС во многом определяют существующие риски и требования безопасности, предъявляемые к системе. Поэтому на следующем этапе аудитора интересует информация о назначении и функционировании ИС. Аудитор задает опрашиваемым примерно следующие вопросы: · Какие услуги и каким образом предоставляются конечным пользователям? · Какие основные виды приложений, функционирует в ИС? · Количество и виды пользователей, использующих эти приложения? Ему понадобиться также следующая документация, конечно, если таковая вообще имеется в наличие (что, вообще говоря, случается нечасто): · Функциональные схемы; · Описание автоматизированных функций; · Описание основных технических решений; · Другая проектная и рабочая документация на информационную систему. Далее, аудитору требуется более детальная информация о структуре ИС. Это позволит уяснить, каким образом осуществляется распределение механизмов безопасности по структурным элементам и уровням функционирования ИС. Типовые вопросы, которые обсуждаются в связи с этим во время интервью, включают в себя:
· Из каких компонентов (подсистем) состоит ИС? · Функциональность отдельных компонент? · Где проходят границы системы? · Какие точки входа имеются? · Как ИС взаимодействует с другими системами? · Какие каналы связи используются для взаимодействия с другими ИС? · Какие каналы связи используются для взаимодействия между компонентами системы? · По каким протоколам осуществляется взаимодействие? · Какие программно-технические платформы используются при построении системы? На этом этапе аудитору необходимо запастись следующей документацией: · Структурная схема ИС; · Схема информационных потоков; · Описание структуры комплекса технических средств информационной системы; · Описание структуры программного обеспечения; · Описание структуры информационного обеспечения; · Размещение компонентов информационной системы. Тест на проникновение
|
||||||
Последнее изменение этой страницы: 2017-02-10; просмотров: 175; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.149.251.154 (0.009 с.) |