Определение Аудит информационной безопасности ИС - это независимый, комплексный процесс анализа данных о текущем состоянии информационной системы предприятия, - презентация

1

2 Определение Аудит информационной безопасности ИС - это независимый, комплексный процесс анализа данных о текущем состоянии информационной системы предприятия, о действиях и событиях, происходящих в ней, который устанавливает уровень их соответствия определенному критерию.

3 Задача аудита ИБ Аудит ИБ - поводится с целью объективной оценки текущего состояния информационной безопасности компании, а также ее адекватности поставленным целям и задачам бизнеса с целью увеличения эффективности и рентабельности экономической деятельности компании.

4 Цели аудита ИБ 1.Выработка рекомендаций по результатам обследования. 2.Получение объективной и независимой оценки. 3.Получение максимальной отдачи от средств. 4.Оценка возможного ущерба. 5.Разработка требований. 6.Определение зон ответственности. 7.Расчет необходимых ресурсов. 8.Разработка порядка и последовательности внедрения системы ИБ.

5 Виды аудита ИБ Внешний аудит – разовое мероприятие, проводимое по инициативе руководства. Внутренний аудит – непрерывная деятельность, осуществляемая на основании «Положения о внутреннем аудите» и в соответствии с планом.

6 Варианты проведения аудита

7 Процесс аудита

8 Этапы проведения аудита ИБ

9 Этап обследования 1.Описание системы 2.Установка границ обследования 3.Сбор информации аудита

10 Базовые аспекты системы

11 Этап проведения оценки защищенности Первый подход – базируется на анализе рисков. Второй подход – базируется на использовании стандартов информационной безопасности. Третий подход – базируется на комбинации первых двух подходов.

12 Сценарий анализа рисков

13 Модель информационной технологией (COBIT)

14 Этап выработки рекомендаций 1.Организационный уровень 2.Программно-технический

15 Рекомендации организационного уровня 1.выбор местоположения и размещение; 2.физическая защита и организация охраны; 3.подбор и работа с персоналом; 4.организация инструктажа персонала; 5.организация учета оборудования и носителей; 6.выбор и работа с партнерами; 7.противопожарная охрана; 8.обеспечение надежного сервисного обслуживания.

16 Рекомендации программно- технического уровня

17 Аудит ИБ позволяет получить: -независимую и объективную оценку уровня информационной безопасности компании; -оценку и переоценку информационных рисков компании; -экспертизу и оптимизацию планов защиты компании; -экономическое обоснование инвестиций в систему защиты.

18 Вывод Вовремя проведенный аудит безопасности информационной системы позволит оперативно и объективно оценить текущее состояние информационной безопасности организации и своевременно принять соответствующие контрмеры на всех уровнях обеспечения безопасности.

19 Спасибо за внимание!