Аудит безопасности и методы его проведения » История » Редакция 1
Редакция 1/7
| Следующее »
С. Антошкин, 28.11.2023 12:00
Аудит безопасности и методы его проведения
¶
Понятие аудита безопасности¶
Аудит представляет собой независимую экспертизу отдельных областей функционирования организации. Различают внешний и внутренний аудит.
Внешний аудит - это, как правило разовое мероприятие, проводимое по инициативе руководства организации. Рекомендуется проводить внешний аудит регулярно, а, например, для многих финансовых организаций это является обязательным требованием со стороны регуляторов или рынка.
Внутренний аудит - это, как правило регулярная деятельность, которая осуществляется на основании "Положения о внутренним аудите" и в соответствии с планом, подготовка которого осуществляется подразделением ИБ и утверждается руководством организации.
- Анализ рисков связанных с возможностью осуществления угроз
- Оценка текущего уровня защищенности
- Локализация узких мет в системе защиты информации
- Оценка соответствия ИС существующим стандартам в области ИБ
- Выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности
Аудит безопасности должен рассматриваться как инструмент управления, детальные результаты аудита не должны предаваться третьим лицам, т.к. они содержат полное описание слабых сторон организации и возможные способы реализации угроз.
Для проведения аудита рекомендуется следующая последовательность действий: - Подготовка к проведению аудита
- Выбор объекта аудита
- Составление команды аудиторов
- Определение объёма
- Определение критериев
- Определение сроков
- Проведение аудита
- Анализ документации
- Общий анализ состояние безопасности
- Регистрация, сбор и проверка свидетельств аудита
- Оценка результатов
- Составление отчета о результатах проверки
- Завершение аудита
- Составление итогового отчета
- Разработка мероприятий по устранению узких мест и недостатков
- Активное участие руководства
- Объективность и независимость аудиторов
- Компетентность в и профессионализм команды аудита
- Четкая структура процедуры аудита
- Активная реализация предложенных мер обеспечения ИБ
Аудит безопасности является инструментов оценки безопасности и управления рисками. Предотвращение угроз ИБ означает в том числе и защиту экономических, социальных и информационных интересов организации.
Важно отметить что аудит проводится по инициативе самой организации и ее руководства с целью выявления узких мест и недостатков, что делает заказчика аудита заинтересованным в получении объективных результатов и является обязательным условием для полонения таковых.
Аудит представляет собой комплекс мероприятий, в которых помимо самого аудитора, оказывается задействованы представители большого количества структурных подразделений заказчика. Действия всех участников должно быть скоординировано, по этому на этапе инициирования процедуры аудита должны быть решены следующие организационные вопросы:
Это значит, что аудит будет объективном только тогда когда организация сама хочет получить объективные результаты
- Права и обязанности аудиторов должны быть четко определены
- Аудитором совместно с заказчиком должен быть подготовлен и согласован план проведения аудита
- До всех заинтересованных лиц должно быть донесено, что они обязаны содействовать аудитору и предоставлять всю необходимую информацию
На этапе подготовки, должны быть четко определены границы аудита: - Список обследуемых ИС
- Площадки попадающие в границы обследования
- Организационные, физические, программно-технические и прочие аспекты обеспечения ИБ, которые необходимо учесть в ходе проведения аудита
- Критерии оценки
План, границы и критерии аудита обсуждаются на рабочем собрании аудитора и заказчика аудита. Для понимания аудита может быть использована концептуальная модель 
- Объект аудита
- Исполнители
- Масштаб
- Порядок проведения
- Методы аудита
- Требования
- Цели аудита
С точки зрения организации работы при проведении аудита ИБ выделяют 3 принципиальных этапа:
Сбор информации
Анализ данных
Выработка рекомендаций и подготовка отчетных документов
Обновлено С. Антошкин больше 1 года назад · 1 изменени(я, ий)