Аудит информационной безопасности организаций и систем Выполнил студент группы КЗО-201 Чумблер С. А.
План 1. Международные стандарты ИБ 2. Аудит ИБ 3. Анализ угроз безопасности 4. Модель реализации угроз 5. Методы оценивания ИБ 6. Модель зрелости
Международные стандарты ИБ В связи с тем, что существует множество стандартов в области информационной безопасности, организации нередко сталкиваются с проблемой выбора наиболее для них подходящего. Поскольку для организаций, к которым предъявляются требования SOX, институт ITGI определил подходящие меры контроля в области информационных технологий (ИТ) и безопасности на основе стандарта COBIT, представляется, что данным организациям имеет смысл начинать с внедрения этого стандарта.
Стандарт ISO/IEC Наиболее известными и широко используемыми стандартами управления информационной безопасностью и доказательством соблюдения нормативных актов и законодательства являются международные стандарты серии ISO/IEC 2700 X по управлению информационной безопасностью.
Аудит информационной безопасности Аудит информационной безопасности организации -систематический, независимый и документируемый процесс получения свидетельств аудита ИБ и объективного их оценивания с целью установления степени соответствия ИБ организации установленным критериям аудита ИБ. Для процесса осознания аудита ИБ входными данными являются: 1) виды бизнеса (деятельности), продукты и услуги организации; 2) описание бизнес-процессов; 3) информация о внутренней и внешней среде организации; 4) информация о текущем состоянии процессов СМИБ.
Проведение аудита ИБ Наряду с перечнем проверок ИБ, графиком их выполнения программа аудита ИБ содержит указания по проведению аудита в ИБ. Рассмотрим процесс проведения аудита ИБ, воспользовавшись схемой процесса оценки (рис. 8), и, где необходимо, отметим особенности внутреннего и внешнего аудита ИБ. Процесс проведения аудита ИБ включает следующие аспекты: - определение входных данных для аудита, таких, как назначение, область аудита, ограничения и особенности и др. ; - определение основных ролей и ресурсов для проведения аудита; - предоставление: программы аудита ИБ; руководства для планирования, сбора данных, проверки достоверности данных и сообщения результатов аудита; руководства для оценивания атрибутов процессов и степени выполнения требований ИБ; - мероприятия по проведению аудита ИБ; - фиксирование выходных данных аудита ИБ.
Элементы аудита ИБ
Совершенствование программы аудита ИБ В организации должны проводиться контроль внедрения программы аудита ИБ, анализ достижения целей программы аудита ИБ и определение возможностей для ее совершенствования. О результатах анализа информируется руководство организации БС РФ. Контроль и анализ программы аудита ИБ включают в себя: - проверку возможностей аудиторских групп, служб или лиц по реализации аудита ИБ и самооценки ИБ; - анализ действий аудиторских групп в сходных ситуациях; - анализ отчетов и заключений по результатам аудита ИБ и самооценки ИБ; - анализ достижения целей аудитов ИБ, самооценок ИБ и программы аудита ИБ в целом.
Анализ угроз безопасности Анализ угроз безопасности информации включает: - определение приоритетности целей информационной безопасности; - анализ информационных потоков ИС, точек их пересечения, точек обработки и хранения; - определение перечня актуальных источников угроз; - определение перечня актуальных уязвимостей; - оценку взаимосвязи угроз, источников угроз и уязвимостей; - определение перечня возможных атак на объект; - описание возможных последствий реализации угроз; - подготовку предложений по изменению структуры информационных потоков для повышения уровня защищенности ИС (при необходимости).
Модель реализации угроз
Методы оценивания ИБ Определяющим элементом процесса проведения аудита ИБ организаций и систем (рис. 6. 10) является модель оценки процессов обеспечения ИБ. Модель оценки задает перечень и эталонную модель оцениваемых процессов объекта аудита ИБ, определяет критерии аудита ИБ и показатели ИБ, способ оценивания процессов с помощью показателей, способ отображения результатов оценивания.
Модель зрелости процессов ISO/EC 15504 Международный стандарт ISO/IEC 15504 определяет основные понятия, сущности и деятельности для оценки зрелости процессов как программирования, так и жизненного цикла Стандарт включает 4 части, определяющих: ◦ 1) общее введение в понятие «оценка процесса» и глоссарий терминов, связанных с оценкой зрелости; 2) минимальные требования к проведению оценки, обеспечивающие согласованность и воспроизводимость рейтингов; 3) руководство для интерпретации требований к проведению оценки зрелости; 4) оценки процесса как мероприятий, которые могут выполняться либо как часть инициативы по совершенствованию процесса, либо как часть подхода определения возможностей процесса, где целью совершенствования процесса является постоянное улучшение эффективности и результативности организации. систем.
Взаимосвязи модели оценки процесса
Спасибо за внимание!
Скачать презентацию Аудит информационной безопасности организаций и систем Выполнил студент
Обзор моделей безопасности бизнеса.pptx