Федеральное государственное бюджетное

образовательное учреждение

высшего профессионального образования

Липецкий государственный педагогический университет

Аудит

информационной

безопасности

и консалтинг

Липецк

2012

УДК

ББК

Малыш В.Н., Фролов И.Н. Аудит информационной безопасности и консалтинг: Учебно-методическое пособие – Липецк: ЛГПУ, 2012. – 141с.

ISBN:

Пособие предназначено для студентов всех форм обучения по направлению «Информационная безопасность», а также может быть полезно специалистам, занимающимся вопросами проведения аудита ИБ.

Рецензенты:

к.т.н., доцент Корнеев А.М.

к.т.н., доцент Скуднев Д.М.

ISBN:

© Липецкий государственный педагогический университет, 2012

© Малыш В.Н., Фролов И.Н., 2012

Содержание

Введение 6

1. Понятие консалтинга 7

2. Виды консалтинга. 10

3. Понятие аудита информационной безопасности 19

4. Виды аудита информационной безопасности 22

5. Состав работ по аудиту информационной безопасности 33

6. Методология оценки угроз безопасности 51

8. Стандарты проведения аудита ИБ 68

Лабораторный практикум 72

ЛАБОРАТОРНАЯ РАБОТА № 1 72

ЛАБОРАТОРНАЯ РАБОТА № 2 77

ЛАБОРАТОРНАЯ РАБОТА № 3 91

ЛАБОРАТОРНАЯ РАБОТА № 4 106

ЛАБОРАТОРНАЯ РАБОТА № 5 131

Задание для самостоятельной работы студента 134

Варианты организаций 141

Заключение 142

Список рекомендуемой и используемой литературы 145

Введение

Информационные технологии на сегодняшний день играют ключевую роль в обеспечении эффективного выполнения бизнес-процессов различных коммерческих компаний. Вместе с тем повсеместное использование информационных технологий в деятельности компаний приводит к повышению актуальности проблем, связанных с защитой данных. За последние несколько лет, как в России, так и в зарубежных странах наблюдается увеличение числа атак на автоматизированные системы, приводящих к значительным финансовым и материальным потерям.

Для объективной оценки текущего уровня безопасности применяется аудит информационной безопасности, который включает анализ рисков, связанных с возможностью осуществления угроз безопасности, особенно в отношении информационных ресурсов, оценку текущего уровня защищенности автоматизированных систем (АС), локализацию узких мест в системе их защиты, оценку соответствия ИС требованиям нормативных документов и существующим стандартам в области информационной безопасности и выработку рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.

Аудит - форма независимого, нейтрального контроля какого-либо направления деятельности организации.

Если говорить о главной цели аудита информационной безопасности, то можно ее определить как проведение оценки уровня безопасности автоматизированной системы организации для управления им в целом с учетом перспектив его развития.

В представленном пособии рассмотрена теория и методика проведения аудита информационной безопасности и представлен курс лабораторных работ по консалтингу аудита информационной безопасности, включающий анализ рисков.

1. Понятие консалтинга Определение понятия «консалтинг»

Консультирование в широком смысле, как предоставление независимых советов, появилось сотни лет назад, но как вид профессиональной деятельности консалтинг оформился совсем недавно. «Золотой век» этой отрасли пришелся на 50-60-е гг. 20 века, когда консалтинг выделился в отдельный сектор услуг.

Круг проблем, решаемых консалтингом, весьма широк, кроме того, специализация компаний, предоставляющих консалтинговые услуги может быть различной: от узкой, ограничивающейся каким – либо одним направлением консалтинговых услуг (например, аудит), до самой широкой, охватывающей полный спектр услуг в этой области.

Консалтинг – это вид интеллектуальной деятельности, основная задача которого заключается в анализе, обосновании перспектив развития и использования научно-технических и организационно-экономических инноваций с учётом предметной области и проблем клиентов.

Потребность в консалтинге возникает, когда требуется понять, что тормозит развитие компании и в каком направлении следует развиваться. Вопросы, с которыми сталкиваются компании, крайне разнообразны:

Как действовать, если мы хотим вывести на рынок новый товар?

Как правильно провести рекламную кампанию?

Как эффективно организовать структуру управления фирмой?

Основная цель консалтинга заключается в улучшении качества руководства, повышении эффективности деятельности компаний в целом и увеличении индивидуальной производительности труда каждого работника.

В каких случаях клиенты обращаются за помощью в консалтинговую компанию?

Согласно распространённому мнению, к услугам внешних консультантов обращаются в основном и в первую очередь те организации, которые оказались в критическом положении. Однако помощь в критических ситуациях – отнюдь не основная функция консалтинга. В каких же случаях и кто обращается за помощью в консалтинговую компанию?

Во-первых, в тех случаях, когда предприятие, имеющее статус надежного, намечает перестройку всей системы, связанную либо с расширением, либо с изменением формы собственности, либо коренным изменением спектра деятельности предприятия и переориентации ее на более перспективные и/или выгодные направления бизнеса.

Во- вторых, в случаях, когда предприятие, имеющее статус надёжного, с целью утверждения своих позиций на рынке и создание необходимого имиджа в глазах потенциальных партнеров, обращается к услугам консультантов (например, аудитора), проводит ревизию своей деятельности (например, аудиторскую проверку) и затем делает её результаты достоянием гласности.

И, наконец, в-третьих, в тех случаях, когда предприятие находится в критическом положении (или даже на грани краха) и своими силами из этого положения выбраться не в состоянии ввиду отсутствия опыта и внутренних ресурсов для адекватной и своевременной реакции на создавшуюся ситуацию. Услуги консультанта (консалтинговой фирмы) в этом случае носят характер кризис – консалтинга.

Консалтинг – это работа независимых экспертов на рыночных условиях в рыночной экономике.

В СССР при отсутствии конкуренции спрос на такие услуги был низок. Также, предприятия не всегда были заинтересованы в повышении эффективности производственных процессов.

Требования, предъявляемые к консалтинговой компании

Деятельность квалифицированного консультанта или серьезной консалтинговой фирмы, предоставляющей широкий спектр услуг, должна быть подчинена ряду требований, основными из которых являются следующие:

1. Консультант (он же консалтер) обязан владеть отработанной технологией решения задач и необходимыми навыками в формулировании организационного диагноза, стратегическом планировании, использовании информационных систем, а также методами анализа и прогнозирования экономического положения, диагностики общей производственной ситуации, установления контактов (общения и утверждения) и т.п.

2. Консультант (либо консалтинговая компания) должен быть независим от поставщиков продуктов и решений в избранной области, от традиций, не писанных законов, бытующих в организации, политики управленческого аппарата. Мнение консультанта должно носить свободный и объективный характер.

3. Консалтинговая компания должна являть собой структуру, внешнюю по отношению к консультируемой организации.

4. Консультант (либо консалтинговая компания) обязан оказывать заказчикам помощь в использовании их собственного опыта для непрерывного совершенствования своей деятельности.

5. С целью накопления, анализа, переработки и использования получаемого опыта консультант (либо консалтинговая компания) должен работать со многими клиентами.

6. Консультант (либо консалтинговая компания) должен обладать обучающим воздействием на клиентов.

Обобщенная классификация консалтинговых услуг:

1. Консалтинг в области налогообложения и юридические услуги.

2. Аудит, бухгалтерский учёт, отчётность и ревизионная деятельность.

3. Консалтинг в области управления.