Плановое и внеплановое проведение аудита
Главная » Аудит ИБ » Разработка рекомендаций » Плановое и внеплановое проведение аудита

Плановое и внеплановое проведение аудита

Из плана офиса (приложение, рис.15) видно, что металлические двери с замком адекватней всего поставить на вход в офис, в шестую комнату, потому что это в ней расположен сервер, также можно поставить во вторую комнату, где располагаются директора компании. Ещё её можно поставить в пятую комнату, а вот ставить металлические двери с замком в третью и четвёртые комнаты малоэффективно, потому что они смежные.

Даже устранив все недочёты в информационной безопасности компании ООО «Триалта», нельзя отказываться от проведения регулярного планового аудита информационной безопасности, не реже чем раз в год. Внеплановый аудит информационной безопасности рекомендуется проводить по двум основным причинам:

  1. Желание получить более объективную картину состояния ИБ в компании;
  2. Возникновение ситуации, при которой резко изменилась информационная система либо условия ее эксплуатации.

Первая причина обусловлена тем фактом, что при плановом аудите сотрудники подразделений проверяемой компании «готовятся» к проведению аудита и могут предоставить искаженные сведения с целью «приукрасить» действительное положение вещей. Внеплановый аудит выявит более реальную картину.

Вторая причина связана как с изменениями внутри компании, так и вне ее. Наиболее типичными событиями, которые могут потребовать проведения внепланового аудита ИБ по второй причине, являются:

  1. Изменение требований законодательных и иных нормативных документов;
  2. Появление новых методов атак на средства защиты и информационные технологии, используемые в системе;
  3. Выявление слабостей в существующих средствах защиты;
  4. Слияние (поглощение) с иными информационными системами;
  5. Изменение функционала информационной системы;
  6. Увольнение ведущих сотрудников, ответственных за ИБ.

При регулярном проведении аудита информационной безопасности цикл жизни информационной системы можно наглядно представить как на рис.14.

Цикл жизни информационной системы

Рис.14. Цикл жизни информационной системы при регулярном проведении аудита информационной безопасности

При внеплановом аудите, как и при плановом аудите, рекомендуется контролировать, как минимум, следующие параметры:

  1. Алгоритмические решения (надежность — соответствие текущим методам анализа);
  2. Технические решения (реализацию алгоритмов);
  3. Состояние технических средств защиты (исправность, настройки, правильность эксплуатации);
  4. Состояние информационной системы (соответствие модели защиты);
  5. Уровень подготовки персонала;
  6. Соответствие политики безопасности и реальной жизни.

Поиск информации на сайте Пожалуйста, введите запрос и нажмите «Найти!»