Автор работы: Пользователь скрыл имя, 10 Марта 2011 в 01:19, реферат
Цели и назначение аудита
К основным целям аудита информационной безопасности можно отнести следующие:
•Получение объективной и независимой оценки текущего состояния защищенности информационных ресурсов.
•Получение максимальной отдачи от средств, инвестируемых в создание системы информационной безопасности.
•Оценка возможного ущерба от несанкционированных действий.
•Разработка требований к построению системы защиты информации.
•Определение зон ответственности сотрудников подразделений.
•Расчет необходимых ресурсов.
•Разработка порядка и последовательности внедрения системы информационной безопасности.
В случае проведения аудита безопасности согласно данного подхода, аудитор оценивает применимость требований стандарта к обследуемой ИС и ее соответствие требованиям стандарта. Основываясь на данных о соответствии различных областей функционирования ИС требованиям стандарта, определяется, какие требования безопасности в системе не реализованы. Исходя из этого, делаются выводы о соответствии обследуемой ИС требованиям принятого на предприятии стандарта и даются рекомендации по реализации в системе механизмов безопасности, позволяющих обеспечить такое соответствие.
Третий подход, наиболее эффективный, предполагает комбинирование первых двух. Базовый набор требований безопасности, предъявляемых к ИС, определяется выбранным стандартом. Дополнительные требования, в максимальной степени учитывающие особенности функционирования данной ИС, формируются на основе анализа рисков. Этот подход является намного проще первого, т.к. большая часть требований безопасности уже определена стандартом, и, в то же время, он лишен недостатка второго подхода, заключающего в том, что требования стандарта могут не учитывать специфики обследуемой ИС.
Выработка рекомендаций
Предпоследним этапом аудита информационной безопасности является выработка рекомендаций, выдаваемых аудитором по результатам анализа состояния ИС, определенных используемым подходом, особенностями обследуемой ИС, состоянием дел с информационной безопасностью и степенью детализации, используемой при проведении аудита.
В любом случае, рекомендации аудитора должны быть конкретными и применимыми к данной ИС, экономически обоснованными, аргументированными (подкрепленными результатами анализа) и отсортированными по степени важности. При этом мероприятия по обеспечению защиты организационного уровня практически всегда имеют приоритет над конкретными программно-техническими методами защиты.
Подготовка отчетных документов
Рекомендации аудитора, как правило, оформляются соответствующими документами (завершающий этап). Аудиторский отчет является основным результатом проведения аудита. Его качество характеризует качество работы аудитора. Структура отчета может существенно различаться в зависимости от характера и целей проводимого аудита, однако определенные разделы должны обязательно присутствовать в аудиторском отчете. Он должен содержать:
Список литературы:
Информация о работе Организация аудита информационной безопасности информационной системы