Теми рефератів
> Реферати > Курсові роботи > Звіти з практики > Курсові проекти > Питання та відповіді > Ессе > Доклади > Учбові матеріали > Контрольні роботи > Методички > Лекції > Твори > Підручники > Статті Контакти
Реферати, твори, дипломи, практика » Отчеты по практике » Аудит інформаційної безпеки

Реферат Аудит інформаційної безпеки





з представниками організації проводять такі види робіт:

збір вихідних даних про інформаційну систему, про її функціях і особливостях, використовуваних технологіях автоматизованої обробки та передачі даних;

збір інформації про наявні організаційно-розпорядчих документах щодо забезпечення інформаційної безпеки та їх аналіз;

визначення точок відповідальності систем, пристроїв і серверів інформаційної системи;

формування переліку підсистем кожного підрозділу компанії з категорірованіе критичної інформації та схемами інформаційних потоків.

Один з найбільш об'ємних видів робіт, які проводяться при експертному аудиті, - збір даних про інформаційну систему шляхом інтерв'ювання представників організації і заповнення ними спеціальних анкет. Основна мета інтерв'ювання технічних фахівців - збір інформації про функціонування мережі, а керівного складу компанії - з'ясування вимог, які пред'являються до системи інформаційної безпеки. p align="justify"> Ключовий етап експертного аудиту - аналіз проекту інформаційної системи, топології мережі та технології обробки інформації, в ході, якого виявляються, такі недоліки існуючої топології мережі, які знижують рівень захищеності інформаційної системи. За результатами робіт даного етапу пропонуються зміни до існуючої інформаційної системи і технології обробки інформації, спрямовані на усунення знайдених недоліків з метою досягнення необхідного рівня інформаційної безпеки. p align="justify"> Наступний етап - аналіз інформаційних потоків організації. На даному етапі визначаються типи інформаційних потоків в інформаційній системі організації, та складається їх діаграма, де для кожного інформаційного потоку вказується його цінність і використовувані методи забезпечення безпеки, що відображають рівень захищеності інформаційного потоку. На підставі результатів даного етапу робіт пропонується захист або підвищення рівня захищеності тих компонент інформаційної системи, які беруть участь у найбільш важливих процесах передачі, зберігання та обробки інформації. Для менш цінної інформації рівень захищеності залишається колишнім, що дозволяє зберегти для кінцевого користувача простоту роботи з інформаційною системою. p align="justify"> Застосування аналізу інформаційних потоків організації дозволяє спроектувати систему забезпечення інформаційної безпеки, яка буде відповідати принципу розумної достатності. p align="justify"> У рамках експертного аудиту проводиться аналіз організаційно-розпорядчих документів, таких як політика безпеки, план захисту і різного роду інструкції. Організаційно-розпорядчі документи оцінюються на предмет достатності та несуперечності, декларованим цілям і заходам інформаційної безпеки. Особливу увагу на етапі аналізу інформаційних потоків приділяється визначенню повноважень і відповідальності конкретних осіб за забезпечення інформаційної безпеки різних ділянок інформаційної системи. Повноваження і відповідальність повинні бути закріплені положеннями організаційно-розпорядчих документів. p align="justify"> Результати експертного аудиту можуть містити різнопланові пропозиції з побудови або модернізації системи забезпечення інформаційної безпеки:

зміни до існуючої топології мережі та технології обробки інформації;

рекомендації щодо вибору і застосування систем захисту інформації та інших додаткових спеціальних технічних засобів;

пропозиції щодо вдосконалення пакета організаційно-розпорядчих документів;

пропозиції по етапах створення системи інформаційної безпеки;

орієнтовні витрати на створення або вдосконалення СОІБ.

Основними перевагами експертного аудиту є можливість заощадити кошти і час, шляхом відмови від більш масштабного комплексного аудиту, а так само зосередитися на аналізі найбільш значимих об'єктів інформаційного середовища.

Активний аудит

Тест на проникнення (пентест) в інформаційну систему є оптимальним способом, що дозволяє оцінити захищеність інформаційної системи в цілому, виявити окремі уразливості і перевірити надійність існуючих механізмів захисту інформаційної системи від несанкціонованого впливу, використовуючи різні моделі порушників. Організації надається детальний звіт, що містить результати всебічного аналізу поточного стану його інформаційної системи, виявлені вразливості і способи їх використання, рекомендації щодо їх усунення. p align="justify"> Основні цілі проведення тестів на проникнення:

пошук вразливостей, що дозволяють провести атаку на інформаційну систему;

визначення захищеності інформаційної системи;

актуальність застосовуваних методів захисту інформації від несанкціонованого впливу;


Назад | сторінка 2 з 5 | Наступна сторінка





Схожі реферати:

  • Реферат на тему: Захист інформації як частина інформаційної безпеки інформаційних систем
  • Реферат на тему: Розробка та впровадження комплексу заходів щодо забезпечення інформаційної ...
  • Реферат на тему: Забезпечення інформаційної безпеки інформаційних систем різного класу і при ...
  • Реферат на тему: Сучасний стан ІНФОРМАЦІЙНОЇ БЕЗПЕКИ. Проблеми захисту комп'ютерної ІНФ ...
  • Реферат на тему: Порядок розробки технічного завдання на розробку системи захисту інформації ...