Анализ безопасности информации
Главная » Аудит ИБ » Подготовка » Постановка задачи проведения аудита » Анализ безопасности информации

Анализ безопасности информации

Основная стадия проведения аудиторского обследования и сбор информации должна включать в себя:

  1. Анализ имеющейся политики информационной безопасности и другой организационной документации;
  2. Проведение совещаний, опросов, доверительных бесед и интервью с сотрудниками предприятия;
  3. Проверку состояния физической безопасности информационной инфраструктуры предприятия;
  4. Техническое обследование информационных систем – программных и аппаратных средств (инструментальная проверка защищенности).

Одной из важных задач аудита является установление того, насколько предприятие способно противодействовать внутренним угрозам в лице сотруд-ников, целенаправленно действующих, чтобы нанести тот или иной ущерб предприятию и имеющих для этого различные возможности. В частности, для этого могут быть исследованы:

  1. Процедуры отбора и принятия новых сотрудников на работу, а также их предварительной проверки;
  2. Процедуры контроля за деятельностью сотрудников (отслеживания их действий);
  3. Процедуры регистрации пользователей и назначения им прав в информационных системах;
  4. Распределение функций между различными сотрудниками и минимизация их привилегий, а также возможное наличие избыточных прав у некоторых пользователей и администраторов.

Окончательным результатом анализа и обобщения данных, полученных в процессе аудита, являются рекомендации, которые должны включать в себя:

  1. Оценку состояния (уровня) защищенности информационных ресурсов и информационных систем;
  2. Заключения о практическом выполнении требований, предусмотренных политикой информационной безопасности предприятия и иными требованиями и документами;
  3. Заключение о степени соответствия фактического уровня информационной безопасности требованиям определенных стандартов и нормативных документов;
  4. Предложения по усовершенствованию политики информационной безопасности и реализации дополнительных практических мероприятий в этой сфере (как организационных, так и технических);
  5. Заключение о степени соответствия политики безопасности предприятия и всего комплекса мер по защите информации требованиям действующего законодательства и ведомственных нормативных актов;
  6. Оценки экономической эффективности вложений в те или иные средства защиты информации, а также организационные мероприятия (отдачи от них);
  7. Количественная (денежная) оценка возможных потерь от тех или иных нарушений, которые могут произойти при существующем уровне обеспечения информационной безопасности, а также расчет необходимых вложений, которые необходимо осуществить для достижения определенного уровня защищенности.

Поиск информации на сайте Пожалуйста, введите запрос и нажмите «Найти!»