Методы и средства аудита информационной безопасности

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Методы и средства аудита информационной безопасности». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.

В связи с этим аудитору требуется документация, касающаяся схемы организационной структуры ИС. Обычно, в ходе интервью аудитор задает опрашиваемым вопросы, касающиеся использования информации, циркулирующей внутри ИС.

В конкурентной борьбе широко распространены разнообразные действия, направленные на получение (добывание, приобретение) конфиденциальной информации самыми различными способами, вплоть до прямого промышленного шпионажа с использованием современных технических средств разведки. Установлено, что 47% охраняемых сведений добывается с помощью технических средств промышленного шпионажа.

В конечном счете, грамотно проведенный аудит безопасности информационной системы позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание системы безопасности фирмы.

Какие задачи решает комплексный Аудит информационной безопасности

Проведение «диагностического аудита» возможно собственными силами работников субъекта КИИ, задействованных в обеспечении безопасности объектов КИИ.

Таким образом, проведение аудита ИБ является базовой мерой обеспечения безопасности для «значимых» объектов КИИ, влияющей на принятие решения о создании системы безопасности, либо необходимости доработки (модернизации) его подсистемы безопасности. Результаты аудита, как правило, составляют основу для формирования технического задания и технического проектирование необходимых систем защиты.

При проведении аудита ИБ на предприятии необходимо учитывать тип предприятия, виды обрабатываемой информации, актуальные для предприятия угрозы, используемые средства защиты и требования регулирующих органов.

Если вам понравилась эта книга поделитесь ею с друзьями, тем самым вы помогаете нам развиваться и добавлять всё больше интересных и нужным вам книг!
Далее, аудитору требуется более детальная информация о структуре ИС. Это позволит уяснить, каким образом осуществляется распределение механизмов безопасности по структурным элементам и уровням функционирования ИС.

Для просмотра событий в журналах аудита фирма Microsoft предоставила средство просмотра событий. Администратор системы может определить реакцию системы на переполнение журнала аудита: остановку системы, запрет функционирования подсистемы аудита или удаление старых записей.

Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании документа, обычно носящего название «Положение о внутреннем аудите», и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации. Аудит безопасности информационных систем является одной из составляющих ИТ—аудита.

Собираются данные о связях объектов аудита информационной безопасности с другими компонентами ИТ-инфраструктуры. Осуществляется документирование логической организации корпоративных сетей, систем защиты периметра, контроля и разграничения доступа. Проводится углубленный анализ объектов, возможные проблемы с которыми могут стать критичными для бизнеса, а также работы точек удаленного доступа.

На практике, довольно распространенным безобидным примером, является ситуация при которой сотрудник А, занимающийся закупками торгового оборудования вел переговоры с помощью определенной программы «В».

Аудит ИБ включает в себя технический аудит и организационно-методический аудит. В свою очередь, технический аудит обычно разделяется на общий аудит и инструментальный аудит.

Формулировка задач, корректировка перечня работ. Конкретизируются цели аудита информационной безопасности, проводятся организационные мероприятия, формируется рабочая группа, которая будет заниматься анализом.

Он может проводиться как комплексно (с изучением всей инфраструктуры), так и выборочно — в последнем случае анализируются только определенные объекты, участки, аппаратно-программные компоненты (сети передачи либо хранения данных, серверы и др.).

На этапе инициирования процедуры аудита должны быть определены границы проведения обследования. Одни информационные подсистемы компании не являются достаточно критичными и их можно исключить из границ проведения обследования. Другие подсистемы могут оказаться недоступными для аудита из-за соображений конфиденциальности.

Третий этап проводится с помощью одного из трех методов, а именно:

  • Анализа рисков.
  • Анализа соответствия стандартам и законодательству.
  • Комбинации анализа рисков и соответствия закона.

Используемые аудиторами методы анализа данных определяются выбранными подходами к проведению аудита, которые могут существенно различаться.

Далее, аудитору требуется более детальная информация о структуре ИС. Это позволяет выяснить, каким образом осуществляется распределение механизмов безопасности по структурным элементам и уровням функционирования ИС.

Цель работы: Изучение и использование средств, которыми располагают среда проектирования и язык VB 6, для работы с базами данных Microsoft Access.

В рамках проведения аудита ИТ-компания «Азон» проводит: анализ документации на соответствие законодательству, анализ защищённости сети, моделирование угроз.

Базовый набор требований безопасности, предъявляемых к ИС, определяется стандартом. Дополнительные требования, в максимальной степени учитывающие особенности функционирования данной ИС, формируются на основе анализа рисков.

Информационный аудит – теоретические основы

The article addresses the issue of information security audit in the enterprise. The authors propose an approach to the selection of the most efficient method of auditing. This method takes into account the needs and requirements of a particular company. This automated approach and represented as a program.

Кроме того для каждого типа информации существуют свои классы защищенности и наборы минимальных средств и механизмов которые необходимо применять в рамках своего класса. А эффективность и соответствие применяемых средств и механизмов защиты возможно оценить только посредством регулярного контроля за состоянием информационной безопасности на предприятии.

Формирование и выстраивание процессов обеспечения ИБ и управления ИБ является неотъемлемой составляющей процессной модели функционирования компаний на средних и высоких уровнях зрелости ИТ.

Тесты на проникновение являются частью нормального жизненного цикла любой ИТ-инфраструктуры, позволяя по-настоящему оценить возможные риски и выявить скрытые проблемы. Может ли взлом быть законным? Конечно, может!

Выбор событий для регистрации является нетривиальной задачей и требует понимания природы нарушений безопасности.

Методика и средства для проведения аудита на практике

Данные аудита, предназначенные для хранения в журнале, должны представлять собой вполне определенные блоки информации, называемые записями аудита. Это единообразие намного облегчает задачу разработки средств интерпретации данных аудита.
Давно стали привычными и общеупотребительными такие категории, как материальные, финансовые, трудовые, природные ресурсы, которые вовлекаются в хозяйственный оборот, и их назначение понятно каждому.

Аудит проводится не по инициативе аудитора, а по инициативе руководства компании, которое в данном вопросе является основной заинтересованной стороной. Поддержка руководства компании является необходимым условием для проведения аудита.

Этап сбора информации аудита, является наиболее сложным и длительным. Это связано с отсутствием необходимой документации на информационную систему и с необходимостью плотного взаимодействия аудитора со многими должностными лицами организации.

Далее, аудитору требуется более детальная информация о структуре ИС. Это позволит уяснить, каким образом осуществляется распределение механизмов по структурным элементам и уровням функционирования ИС.

Немецкий стандарт «BSI\IT Baseline Protection Manual» является наиболее содержательным руководством по обеспечению безопасности ИТ и представляет несомненную практическую ценность для всех специалистов, занимающихся вопросами информационной безопасности.

Компетентные выводы относительно положения дел в компании с информационной безопасностью могут быть сделаны аудитором только при условии наличия всех необходимых исходных данных для анализа. Первый пункт аудиторского обследования начинается с получения информации об организационной структуре пользователей ИС и обслуживающих подразделений.

Компетентные выводы относительно положения дел в компании с информационной безопасностью могут быть сделаны аудитором только при условии наличия всех необходимых исходных данных для анализа.

Автоматизированные системы управляют технологическими процессами на предприятиях и атомных электростанциях, движением самолетов и поездов, различными системами оружия, выполняют финансовые операции, обрабатывают секретную и конфиденциальную информацию. Быстрое снижение стоимости средств вычислительной техники привело к резкому расширению сфер ее применения.

Международные стандарты ISO17799 и ISO15408 служат основой для проведения любых работ в области информационной безопасности, в том числе и аудита. ISO17799 сосредоточен на вопросах организации и управления безопасностью, в то время как ISO15408 определяет детальные требования, предъявляемые к программно-техническим механизмам защиты информации.

Актуальность информационного аудита в современном мире, становится все более востребование, в виду роста числа пользователей, как пространства всемирной паутины, так и применения различных способов монетизации в различных сервисах. Таким образом, данные каждого из пользователей становятся доступными для злоумышленников.

Аудит представляет собой независимую экспертизу отдельных областей функционирования организации, проводимую по инициативе ее руководства или акционеров, либо в соответствии с планом проведения внутреннего аудита.

Этапы Аудита информационной безопасности

Наличие уязвимостей в системе дает возможность потенциальному нарушителю провести успешную атаку и нанести ущерб деятельности организации.
Задача планирования состоит в определении приоритетов исправления обнаруженных недостатков, разработки очередности и методологии их устранения. Дополнительно предусматривается разработка концептуальных и процедурных документов, таких как Концепция информационной безопасности, Общие требования и рекомендации по защите информации, Политики безопасности и др.

Также, по решению субъекта КИИ, для обеспечения безопасности «не значимого» объекта КИИ может быть создана система безопасности, базирующаяся на требованиях для «значимых» объектов КИИ.

Сжатие данных. В связи с тем, что обычно регистрируется большой объем данных, при их хранении желательно использовать архивацию.

С одной стороны, мы проводим аудит, ищем способы проникновения и даже применяем их на практике, а с другой — работаем над защитой.

Это требует более детальной проработки конкретных вопросов организации защиты, хотя внутренние аудиторы могут принимать в этих работах самое активное участие. Появление любых новых технологий, как правило, имеет как положительные, так и отрицательные стороны. Тому множество примеров. Атомные и химические технологи, решая проблемы энергетики и производства новых материалов, породили экологические проблемы.


Похожие записи:

Напишите свой комментарий ...