розпорядчої та технічної документації;
виявлення значущих загроз інформаційній безпеці та шляхів їх реалізації, виявлення і ранжування за ступенем небезпеки існуючих вразливостей технологічного та організаційного характеру в інформаційній системі;
складання неформальній моделі порушника, застосування методики активного аудиту для перевірки можливості реалізації порушником виявлених загроз інформаційній безпеці;
проведення тесту на проникнення по зовнішньому периметру IP-адрес, перевірка можливості проникнення в інформаційну систему за допомогою методів соціальної інженерії;
аналіз і оцінка ризиків, пов'язаних із загрозами безпеці інформаційних ресурсів;
оцінка системи управління інформаційною безпекою на відповідність вимогам стандарту ДСТУ ISO/IEC 27001-2006 та розробка рекомендацій щодо вдосконалення системи управління інформаційною безпекою;
розробка пропозицій та рекомендацій щодо впровадження нових та підвищенню ефективності існуючих механізмів забезпечення інформаційної безпеки.
Аудит інформаційної безпеки складається з наступних етапів:
ініціювання робіт і планування;
обстеження і збір інформації;
пошук вразливостей і невідповідностей;
вироблення рекомендацій та підготовка звітних документів.
Результатом аудиту інформаційної безпеки є створення документа, який містить детальну інформацію:
всіх виявлених уязвимостях об'єкта аудиту;
критичності знайдені вразливості;
наслідок у разі реалізації загроз;
рекомендації по усуненню вразливостей.
На підставі результатів аудиту інформаційної безпеки, організація зможе вибудувати грамотну систему безпеки, мінімізувати можливі ризики інформаційної безпеки, а також підвищити свій авторитет в очах партнерів і клієнтів.
Аудит інформаційної безпеки дозволить керівництву організації побачити реальний стан інформаційних активів і оцінити їх захищеність.
4.2 Методики аудиту
Експертна аудит необхідний, коли оцінюється рівень захищеності тільки тих компонентів інформаційних систем, які, на думку власника організації, є найбільш значущими, тобто, відсутня необхідність в повному обстеженні організації. Таким чином, з'являється можливість зосередитися на найбільш критичних ресурсах і мінімізувати витрати на комплексний аудит.
Основні етапи експертного аудиту включають в себе:
аналіз інформаційної системи;
аналіз найбільш значимих активів;
формування моделі загроз, моделі порушника;
аналіз вимог до безпеки інформаційного середовища;
оцінка поточного стану;
розробка рекомендацій щодо усунення виявлених недоліків і вразливостей;
створення звітної рекомендації.
При виконанні експертного аудиту співробітники компанії-аудитора спільно з представниками організації проводять наступні види робіт:
збір вихідних даних про інформаційну систему, про її функціях і особливостях, використовувані технології автоматизованої обробки та передачі даних;
збір інформації про наявні організаційно-розпорядчих документах щодо забезпечення інформаційної безпеки та їх аналіз;
визначення точок відповідальності систем, пристроїв і сер?? еров інформаційної системи;
формування переліку підсистем кожного підрозділу компанії з категорірованіі критичної інформації та схемами інформаційних потоків.
Один з найбільш об'ємних видів робіт, які проводяться при експертному аудиті, - збір даних про інформаційну систему шляхом інтерв'ювання представників організації і заповнення ними спеціальних анкет.
Основна мета інтерв'ювання технічних фахівців - збір інформації про функціонування мережі, а керівного складу компанії - з'ясування вимог, які пред'являються до системи інформаційної безпеки.
Ключовий етап експертного аудиту - аналіз проекту інформаційної системи, топології мережі та технології обробки інформації, в ході, якого виявляються, такі недоліки існуючої топології мережі, які знижують рівень захищеності інформаційної системи.
За результатами робіт даного етапу пропонуються зміни до існуючої інформаційної системи і технології обробки інформації, спрямовані на усунення виявлених недоліків з метою досягнення необхідного рівня інформаційної без...
