justify"> б) зовнішні тести на проникнення;
в) аудит захищеності Web-додатків.
) Внутрішній аудит інформаційної безпеки, який включає в себе:
а) технічний аудит мережі;
б) внутрішні тести на проникнення;
в) аудит захищеності від витоку інформації;
г) аудит корпоративних бездротових мереж. p align="justify"> Звіт, наданий організації за результатами проведення аудиту, містить детальний опис проведених робіт, всі виявлені вразливості, способи їх застосування та рекомендації щодо усунення даних вразливостей.
Аудит на відповідність стандартам
Стандарт ДСТУ ISO/IEC 27001-2006 є визнаним стандартом у галузі побудови Системи Управління Інформаційною Безпекою (СУІБ) організації, універсальність даного стандарту дозволяє використовувати його у всіх типах організацій незалежно від профілю їх діяльності. ГОСТ Р ІСО/МЕК 27001-2006 включає в себе вимоги для розробки і експлуатації системи управління інформаційної безпеки організації. p align="justify"> Побудова системи управління інформаційної безпеки відповідно до вимог стандарту дозволяє підвищити В«прозорістьВ» компанії для інвесторів, партнерів і клієнтів, завдяки управлінню ризиками, а також збільшити захищеність компанії від загроз інформаційної безпеки.
Проведення аудиту полягає в аналізі та оцінці:
системи управління ризиками інформаційної безпеки;
політики безпеки, регламентів, інструкцій, а також інших документів, що забезпечують інформаційну безпеку організації;
принципів управління активами та персоналом;
технічних засобів забезпечення інформаційної безпеки;
існуючої системи управління інцидентами;
процесів управління безперервністю бізнесу і відновлення після збоїв.
Результатом проведених робіт є:
можливість проходження сертифікації;
підвищення конкурентоспроможності на ринку;
повішення довіри з боку клієнтів, за рахунок забезпечення високої захисту інформаційної безпеки на світовому рівні;
зниження ризиків фінансових втрат, за рахунок забезпечення високої відмовостійкості і підвищеної інформаційної безпеки організації;
наявність організаційно розпорядчої документації, що описує повноваження і відповідальність співробітників організації;
прозора система управління інформаційною безпекою підприємства.
Висновок
В результаті виконання даної виробничої практики, була вивчена позначена тема і придбані корисні навички у сфері аудиту інформаційної безпеки. p align="justify"> Вище представлений звіт про виконану роботу і продемонстровані навички, які були придбані за час проходження практики. Завдання було повністю виконано, але слід зауважити, що при більш детальному аналізі запропонованої теми, буде можливо використовувати даний матеріал в практичній діяльності. br/>
Джерела
1. ГОСТ Р ІСО 19011-2003. Настанови щодо аудиту систем менеджменту якості та систем екологічного менеджменту [Текст]. - Введ. 2003-12-29. - М.: Стандартінформ, 2003. - 23 c.
2. СТО БР Іббсе-1.1-2007. Забезпечення інформаційної безпеки організацій банківської системи російської федерації [Текст]. - Введ. 2007-05-01. - М.: Стандартінформ, 2007. - 14 c.
. Курило А.П. Аудит інформаційної безпеки [Текст]/А.П. Курило. - М.: Видавнича група В«БДЦ-пресВ», 2006. - 305 с.
