- •Содержание
- •Введение
- •Понятие консалтинга Определение понятия «консалтинг»
- •Виды консалтинга.
- •Стили консалтинга
- •Экспертное
- •Обучающее
- •Процессное
- •Субъекты, виды и объекты консультирования
- •3. Понятие аудита информационной безопасности Определение понятия «аудит информационной безопасности»
- •4. Виды аудита информационной безопасности Активный аудит
- •Сопроводительные услуги
- •Экспертный аудит
- •Аудит на соответствие стандартам
- •Комплексный аудит
- •5. Состав работ по аудиту информационной безопасности
- •1. Организационные характеристики:
- •2. Организационно-технические характеристики:
- •3. Технические характеристики, связанные с архитектурой ис:
- •4. Технические характеристики, связанные с конфигурацией сетевых устройств и серверов ис:
- •5. Технические характеристики, связанные с использованием встроенных механизмов информационной безопасности:
- •Использование методов анализа рисков
- •Методология оценки угроз безопасности
- •Стандарты проведения аудита иб
- •Стандарты, которые помогут на этапе планирования
- •Стандарты, которые помогут на этапе проведения аудита иб
- •Стандарты, которые помогут на этапе анализа
- •Стандарты, которые помогут на этапе разработки рекомендаций по повышению уровня защиты
- •Лабораторный практикум лабораторная работа № 1
- •Общие сведения
- •Задание на лабораторную работу № 1
- •Отчет по лабораторной работе № 1
- •Лабораторная работа № 2
- •Общие сведения Подходы к оценке, анализу и управлению рисками иб
- •Табличные методы оценки и анализа рисков иб
- •Пример проведения табличной оценки рисков
- •Ранжирование угроз
- •Оценка негативного воздействия угрозы
- •Разделение рисков на приемлемые и неприемлемые
- •Задание на лабораторную работу № 2
- •Лабораторная работа № 3
- •Общие сведения оценка риска от digital security
- •Пример расчета рисков иб на основе модели угроз и уязвимостей
- •Контрольные вопросы
- •Задание на лабораторную работу № 3
- •Отчет по лабораторной работе № 3
- •Лабораторная работа № 4
- •Общие сведения
- •Контрольные вопросы
- •Задание на лабораторную работу № 4
- •Отчет по лабораторной работе № 4
- •Лабораторная работа № 5
- •Общие сведения
- •Отчет по лабораторной работе № 5
- •Задание для самостоятельной работы студента
- •I. Работа с теоретическим материалом.
- •II. Работа с дополнительными программами.
- •III. Оценка затрат на зи в организации.
- •Методика оценки затрат на зи с использованием весовых коэффициентов
- •Отчет по самостоятельной работе
- •Варианты организаций
- •Заключение
- •Список рекомендуемой и используемой литературы
Комплексный аудит
Комплексный аудит информационной безопасности – независимая экспертиза текущего состояния системы ИБ предприятия, устанавливающая уровень ее соответствия выбранным критериям, и предоставление результатов в виде рекомендаций.
Таким образом, комплексный аудит информационной безопасности дает ответ на вопросы:
комплексной оценки состояния системы информационной безопасности предприятия;
соответствия системы информационной безопасности выбранным критериям;
локализации имеющихся проблем;
формирования оптимальной и эффективной программы построения системы обеспечения информационной безопасности организации.
Комплексный аудит включает в себя:
Анализ механизмов безопасности организационного уровня.
Анализ политики безопасности организации и организационно-распорядительной документации.
Проведение оценки соответствия механизмов и политик безопасности требованиям нормативных документов и адекватности существующим рискам.
Инструментальный анализ защищенности внешнего периметра и внутренней ИТ-инфраструктуры организации.
Комплексный аудит информационной безопасности проводится с обязательным привлечением штатного персонала, ответственного за обеспечение функционирования системы информационной безопасности, что помогает в случае необходимости в дальнейшем проводить периодические аудиты внутренними силами.
Ценность в совместной работе состоит в том, что, работая по проектам аудита, проводится независимая оценка, что повышает степень объективности результатов. Кроме того, высокая квалификация и больший опыт подобной работы позволяет провести работу в кратчайшие сроки с заданным качеством.
Таким образом, комплексный аудит ИБ включает в себя комбинацию всех перечисленных выше видов аудита.
5. Состав работ по аудиту информационной безопасности
В общем случае аудит безопасности вне зависимости от вида и формы его проведения состоит из четырёх основных этапов:
Разработка регламента проведения аудита
Сбор исходных данных
Анализ полученных данных
Разработка рекомендаций по повышению уровня защиты автоматизированной системы
На первом этапе совместно с заказчиком разрабатывается регламент, устанавливающий состав и порядок проведения работ. Основная задача регламента заключается в определении границ, в рамках которых будет проведено обследование. Регламент является тем документом, который позволяет избежать взаимных претензий по завершении аудита, поскольку чётко определяет обязанности сторон.
На данном этапе проводятся сбор исходных данных от заказчика, их предварительный анализ, а также организационные мероприятия по подготовке проведения аудита:
Уточняются цели и задачи аудита
Формируется рабочая группа
Подготавливается и согласовывается техническое задание на проведение аудита
Целью аудита может быть как комплексный аудит системы защиты информации компании-заказчика, так и аудит информационной безопасности отдельных ИТ-систем (сетей передачи данных, вычислительных систем и систем хранения данных, и др.). На этом этапе цели проведения аудита уточняются и планируются все последующие шаги.
В состав рабочей группы должны входить специалисты компании исполнителя (компании проводящей аудит) и сотрудники компании заказчика. Сотрудники заказчика обеспечивают представление всей необходимой информации, контролируют процессы проведения обследования, а также участвуют в согласовании его результатов (промежуточных и конечных). Специалисты исполнителя отвечают за квалифицированное проведение работ по обследованию предметных областей в соответствии с определенными целями и задачами проекта, согласуют процессы и результаты проведения обследования.
Этап постановки задачи завершается разработкой, согласованием и утверждением технического задания (ТЗ). В ТЗ на аудит фиксируется состав и содержание работ по аудиту и требования к разрабатываемым документам. Кроме того, в ТЗ вносят сроки проведения работ, а при необходимости — план-график.
На втором этапе в соответствии с согласованным регламентом осуществляется сбор исходной информации. Методы сбора информации включают интервьюирование сотрудников заказчика, анализ предоставленной организационно-распорядительной и технической документации, использование специализированных инструментальных средств.
На этом этапе собирается информация и дается оценка следующих мер и средств:
организационных мер в области информационной безопасности;
программно-технических средств защиты информации;
обеспечения физической безопасности.
Анализируются следующие характеристики построения и функционирования корпоративной информационной системы:
Организационные характеристики
Организационно-технические характеристики
Технические характеристики, связанные с архитектурой ИС
Технические характеристики, связанные с конфигурацией сетевых устройств и серверов ИС
Технические характеристики, связанные с использованием встроенных механизмов информационной безопасности