Как анализируются возможные риски?

Аудит информационной безопасности организаций проводится также с целью выявления реальных угроз и их последствий. По окончании этого этапа должен сформироваться перечень мероприятий, которые позволят избежать или хотя бы минимизировать возможность информационных атак. Чтобы предотвратить нарушения, касающиеся конфиденциальности, необходимо проанализировать отчет, полученный в конце предыдущего этапа. Благодаря этому можно определить, возможно ли реальное вторжение в пространство фирмы. Выносится вердикт о надежности и работоспособности действующих технических защитных средств. Так как все организации имеют различные направления работы, то и перечень требований к безопасности не может быть идентичен. Для проверяемого учреждения разрабатывается список в индивидуальном порядке. На этом этапе также определяются слабые места, клиенту предоставляются данные о потенциальных злоумышленниках и нависающих угрозах. Последнее необходимо для того, чтобы знать, с какой стороны ждать подвоха, и уделить этому больше внимания. Заказчику также важно знать, насколько действенными окажутся нововведения и результаты работы экспертной комиссии. Анализ возможных рисков преследует следующие цели: классификация источников информации; определение уязвимых моментов рабочего процесса; составление прототипа возможного мошенника. Анализ и аудит позволяют определить, насколько возможна успешность информационных атак. Для этого оценивается критичность слабых мест и способы пользования ими в незаконных целях.

 В чем заключается последний этап аудита?

 Завершающая стадия характеризуется письменным оформлением результатов работы. Документ, который получается на выходе, называется аудиторским отчетом. Он закрепляет вывод об общем уровне защищенности проверяемой фирмы. Отдельно идет описание эффективности работы информационно-технологической системы в отношении безопасности. Отчет дает указания и о потенциальных угрозах, описывает модель возможного злоумышленника. Также в нем прописываются возможности несанкционированного вторжения за счет внутренних и внешних факторов. Стандарты аудита информационной безопасности предусматривают не только оценку состояния, но и дачу рекомендаций экспертной комиссии на проведение необходимых мероприятий. Именно специалисты, которые провели комплексную работу, проанализировали информационную инфраструктуру, могут сказать, что необходимо делать для того, чтобы защититься от кражи информации. Они укажут на те места, которые нужно усилить. Эксперты дают указания и в отношении технологического обеспечения, то есть оборудования, серверов и межсетевых экранов. Рекомендации представляют собой те изменения, которые необходимо произвести в конфигурации сетевых устройств и серверов. Возможно, указания будут касаться непосредственно выбранных методов обеспечения безопасности. Если это потребуется, то эксперты пропишут комплекс мер, направленных на дополнительное усиление механизмов, обеспечивающих защиту. В компании также должна быть проведена специальная разъяснительная работа, выработана политика, направленная на конфиденциальность. Возможно, должны быть проведены реформы в отношении службы безопасности. Немаловажным моментом является и нормативно-техническая база, которая обязана закреплять положения о безопасности фирмы. Коллектив необходимо проинструктировать должным образом. Между всеми работниками делятся сферы влияния и возлагаемая ответственность. Если это целесообразно, то лучше провести курс для повышения образованности коллектива в отношении информационной безопасности.

⇐ Предыдущая1234Следующая ⇒

Поделиться: