Организация аудита информационной безопасности информационной системы

Автор работы: Пользователь скрыл имя, 10 Марта 2011 в 01:19, реферат

Описание работы

Цели и назначение аудита

К основным целям аудита информационной безопасности можно отнести следующие:

•Получение объективной и независимой оценки текущего состояния защищенности информационных ресурсов.
•Получение максимальной отдачи от средств, инвестируемых в создание системы информационной безопасности.
•Оценка возможного ущерба от несанкционированных действий.
•Разработка требований к построению системы защиты информации.
•Определение зон ответственности сотрудников подразделений.
•Расчет необходимых ресурсов.
•Разработка порядка и последовательности внедрения системы информационной безопасности.

Файлы: 1 файл

аудит.doc

— 340.00 Кб (Скачать файл)

     В случае проведения аудита безопасности согласно данного подхода, аудитор  оценивает применимость требований стандарта к обследуемой ИС и  ее соответствие требованиям стандарта. Основываясь на данных о соответствии различных областей функционирования ИС требованиям стандарта, определяется, какие требования безопасности в системе не реализованы. Исходя из этого, делаются выводы о соответствии обследуемой ИС требованиям принятого на предприятии стандарта и даются рекомендации по реализации в системе механизмов безопасности, позволяющих обеспечить такое соответствие. 

    Третий  подход, наиболее эффективный, предполагает комбинирование первых двух. Базовый набор требований безопасности, предъявляемых к ИС, определяется выбранным стандартом. Дополнительные требования, в максимальной степени учитывающие особенности функционирования данной ИС, формируются на основе анализа рисков. Этот подход является намного проще первого, т.к. большая часть требований безопасности уже определена стандартом, и, в то же время, он лишен недостатка второго подхода, заключающего в том, что требования стандарта могут не учитывать специфики обследуемой ИС.

Выработка рекомендаций

    Предпоследним этапом аудита информационной безопасности является выработка рекомендаций, выдаваемых аудитором по результатам анализа состояния ИС, определенных используемым подходом, особенностями обследуемой ИС, состоянием дел с информационной безопасностью и степенью детализации, используемой при проведении аудита.

    В любом случае, рекомендации аудитора должны быть конкретными и применимыми  к данной ИС, экономически обоснованными, аргументированными (подкрепленными результатами анализа) и отсортированными по степени важности. При этом мероприятия по обеспечению защиты организационного уровня практически всегда имеют приоритет над конкретными программно-техническими методами защиты.

Подготовка  отчетных документов

    Рекомендации аудитора, как правило, оформляются соответствующими документами (завершающий этап). Аудиторский отчет является основным результатом проведения аудита. Его качество характеризует качество работы аудитора. Структура отчета может существенно различаться в зависимости от характера и целей проводимого аудита, однако определенные разделы должны обязательно присутствовать в аудиторском отчете. Он должен содержать:

  • описание целей проведения аудита;
  • характеристику обследуемой ИС;
  • границы проведения аудита и используемых методов;
  • результаты анализа данных аудита;
  • выводы, обобщающие результаты анализа данных аудита и содержащие оценку уровня защищенности ИС или соответствие ее требованиям стандартов;
  • рекомендации аудитора по устранению существующих недостатков и совершенствованию системы защиты.

 

 
 

    Список  литературы:

    1. Конфидент «Аудит информационной безопасности», № 4, 2003
    2. www.dsec.ru
    3. www.usp~compulink.ru

Информация о работе Организация аудита информационной безопасности информационной системы