Носов В.В. "Технології аудиту інформаційних систем"

Лекція 1. Основні положення щодо аудиту інформаційної безпеки інформаційних систем

Навчальні питання

1. Предмет дисципліни 1

2. Організація аудиту інформаційної безпеки 2

3. Підходи до аудиту інформаційної безпеки 5

Література

1. Курило А.П., Зефиров С.Л., Голованов В.Б. и др. Аудит информационной безопасности. - М.: Издательская группа "БДЦ-пресс", 2006. - 304с., с вкл.

Вступ

	Сем­естр	Усього	Аудит	Лек	ПЗ	ЛР	Кур­сова	Вид контр.
Технології аудиту інформаційних систем	7	90	48	24		24	РГЗ	і

1. Предмет дисципліни

Дисциплина называется "Технологии аудита информационных систем". Рассмотрим определения терминов, входящих в название дисциплины.

Что такое аудит?

Слово "аудит" в переводе с латинского означает "слушание" и применяется в мировой практике для обозначения проверки, ревизии. Можно сформулировать и привести такие определения.

Аудит (проверка) - систематический, независимый и документированный процесс, получения свидетельств (фактов) и объективного их оценивания с целью установления соответствия проверяемой системы (объекта) установленным стандартам (критериям).

Аудит (аудиторская проверка) — независимая проверка с целью выражения мнения о достоверности. Под аудитом понимают всякую выполняемую независимым экспертом проверку какого-либо явления или деятельности. Отдельные виды аудита близки по значению к сертификации.

Датой рождения аудита принято считать 1844 г., когда в Англии приняли закон об акционерных компаниях, согласно которому их правления должны были ежегодно отчитываться перед акционерами, причем отчет должен был быть проверен и подтвержден специальным человеком — независимым аудитором.

Что такое технология?

Технология (от греч. techne — искусство, мастерство, умение и греч. logos — изучение) — совокупность методов и инструментов для достижения желаемого результата; метод преобразования данного в необходимое; способ производства.

Что такое информационная система?

Информационная система (ИС) – система, реализующая автоматизированный сбор, обработку и манипулирование данными, и включающая: технические средства, программное обеспечение, соответствующий персонал и вспомогательные средства (рис. 1).

Рис. 1.

Предметом данной дисциплины являются методы и инструменты проверки ИС на установление степени её информационной безопасности, т.е. речь пойдет об аудите информационной безопасности (АИБ).

Информационная безопасность ИС не является данностью, а создается путем построения системы защиты информации (СЗИ) в ИС. В соответствии с нормативными документами и общепринятой практикой можно выделить следующие этапы построения СЗИ.

1. Определение информационных ресурсов (ИР), подлежащих защите.

2. Выявление полного множества угроз безопасности ИР, подлежащих защите.

3. Проведение оценки уязвимости и рисков для ИР, подлежащих защите, при выявленном множестве угроз.

4. Разработка проекта (плана) системы защиты информации, снижающего по выбранному критерию риски для ИР, подлежащих защите, при выявленном множестве угроз.

5. Реализация проекта (плана) защиты информации.

6. Определение качества реализованной системы защиты.

7. Осуществление контроля функционирования и управление системой защиты.

Прохождение этапов необходимо в той или иной степени осуществлять непрерывно и по замкнутому циклу, с проведением соответствующего анализа состояния СЗИ и уточнением требований к ней после каждого шага (рис. 2).

Рис. 2

Аудит информационной безопасности при создании СЗИ целесообразно осуществлять:

• на третьем этапе при оценке уязвимости ИР в составе ИС;

• на шестом этапе при определении качества реализованной системы защиты;

• на седьмом этапе периодически при осуществлении контроля функционирования СЗИ.