Введення
Тема даної контрольної роботи позначена, як: Аудит інформаційної безпеки .
Для реалізації поставлених завдань, слід вивчити основні положення, цілі, завдання, застосовувані методики аудиту інформаційної безпеки. Для закріплення отриманих знань, буде необхідно виконати письмовий звіт, в якому мають бути відображені основні аспекти даний теми. На закінчення роботи слід проаналізувати виконану роботу і отримані результати. p align="justify"> Виробнича практика проходить в головній будівлі АлтГТУ, на кафедрі обчислювальних систем та інформаційної безпеки.
Основні положення
аудит інформаційний безпека експертний
Аудит інформаційної безпеки - незалежна оцінка поточного стану системи інформаційної безпеки, що встановлює рівень її відповідності певним критеріям, і надання результатів у вигляді рекомендацій.
Метою аудиту є надання незалежної і об'єктивної комплексної оцінки поточного стану захищеності інформаційної системи, що дозволяє систематизувати загрози інформаційної безпеки і запропонувати рекомендації щодо їх усунення.
Завдання, які вирішуються в ході аудиту захищеності інформаційної системи:
аналіз структури, функцій, використовуваних технологій автоматизованої обробки і передачі інформації в інформаційній системі, аналіз бізнес-процесів, нормативно-розпорядчої та технічної документації;
виявлення значущих загроз інформаційної безпеки і шляхів їх реалізації, виявлення та ранжування за ступенем небезпеки існуючих вразливостей технологічного та організаційного характеру в інформаційній системі;
складання неформальній моделі порушника, застосування методики активного аудиту для перевірки можливості реалізації порушником виявлених загроз інформаційної безпеки;
проведення тесту на проникнення по зовнішньому периметру IP-адрес, перевірка можливості проникнення в інформаційну систему за допомогою методів соціальної інженерії;
аналіз і оцінка ризиків, пов'язаних із загрозами безпеці інформаційних ресурсів;
оцінка системи управління інформаційною безпекою на відповідність вимогам стандарту ДСТУ ISO/IEC 27001-2006 та розробка рекомендацій щодо вдосконалення системи управління інформаційною безпекою;
розробка пропозицій і рекомендацій щодо впровадження нових та підвищення ефективності існуючих механізмів забезпечення інформаційної безпеки.
Аудит інформаційної безпеки складається з наступних етапів:
ініціювання робіт і планування;
обстеження та збір інформації;
пошук вразливостей і невідповідностей;
вироблення рекомендацій та підготовка звітних документів.
Результатом аудиту інформаційної безпеки є створення документа, який містить детальну інформацію про:
всіх виявлених вразливості об'єкта аудиту;
критичності знайдені вразливості;
наслідок у разі реалізації загроз;
рекомендації щодо усунення вразливостей.
На підставі результатів аудиту інформаційної безпеки, організація зможе вибудувати грамотну систему безпеки, мінімізувати можливі ризики інформаційної безпеки, а також підвищити свій авторитет в очах партнерів і клієнтів. p align="justify"> Аудит інформаційної безпеки дозволить керівництву організації побачити реальний стан інформаційних активів і оцінити їх захищеність.
Методики аудиту
Експертний аудит
Експертний аудит необхідний, коли оцінюється рівень захищеності тільки тих компонентів інформаційних систем, які, на думку власника організації, є найбільш значущими, тобто, відсутня необхідність в повному обстеженні організації. Таким чином, з'являється можливість зосередитися на найбільш критичних ресурсах і мінімізувати витрати на комплексний аудит. p align="justify"> Основні етапи експертного аудиту включають в себе:
аналіз інформаційної системи;
аналіз найбільш значимих активів;
формування моделі загроз, моделі порушника;
аналіз вимог до безпеки інформаційного середовища;
оцінка поточного стану;
розробка рекомендацій щодо усунення виявлених недоліків і вразливостей;
створення звітної рекомендації.
При виконанні експертного аудиту співробітники компанії-аудитора спільно...