Практика аудита информационной безопасности

Как на практике реализовать перечисленные возможности? По мнению специалистов - путем проведения аудита информационной безопасности. Здесь под термином «аудит информационной безопасности корпоративной системы Internet/Intranet» понимается системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности на всех основных уровнях обеспечения безопасности: методологическом, организационно-управленческом, технологическом и техническом. Таких оценок, которые позволяют выработать практические рекомендации по управлению и обеспе­чению информационной безопасности компании, адекватные ее поставленным целям и задачам развития бизнеса.

Возможные варианты аудита информационной безопасности:

1. Комплексный анализ ИС предприятия и подсистемы информационной безопасности на методологическом, организационно-управленческом, технологическом и техническом уровнях. Анализ рисков.

1.1. Исследование и оценка состояния информационной безопасности
КИС и подсистемы информационной безопасности предприятия.

• Комплексная оценка соответствия типовым требованиям РД
Гостехкомиссии РФ к системе информационной безопасности предприятия.

• Комплексная оценка соответствия типовым требованиям меж­
дународных стандартов ISO к системе информационной безопасности
предприятия.

• Комплексная оценка соответствия специальных требований заказчика
к системе информационной безопасности предприятия.

1.2. Работы на основе анализа рисков.

• Анализ рисков. Уровень управления рисками на основе качественных
оценок рисков.

• Анализ рисков. Уровень управления рисками на основе
количественных оценок рисков.

1.3. Инструментальные исследования.

• Инструментальное исследование элементов инфраструктуры
компьютерной сети и корпоративной информационной системы на наличие
уязвимостей.

• Инструментальное исследование защищенности точек доступа
предприятия в Internet.

1.4. Анализ документооборота предприятия.

2. Разработка комплексных рекомендаций по методологическому, организационно-управленческому, технологическому, общетехническому и программно-аппаратному обеспечению режима информационной безопасности предприятия.

2.1. Разработка концепции обеспечения информационной безопасности
предприятия.

2.2. Разработка корпоративной политики обеспечения информационной
безопасности предприятия на организационно-управленческом, правовом,
технологическом и техническом уровнях.

2.3. Разработка плана защиты предприятия заказчика.

2.4. Дополнительные работы по  анализу и созданию
методологического, организационно-управленческого, технологического
инфраструктурного и технического обеспечения режима информационной
безопасности предприятия заказчика.

Организационно-технологический анализ ИС предприятия

3.1. Организационно-технологический анализ ИС предприятия.
Оценка соответствия типовым требованиям руководящих документов

РФ к системе информационной безопасности предприятия в области организационно-технологических норм.

Анализ документооборота предприятия категории «конфиденциально» на соответствие требованиям концепции информационной безопасности, положению о коммерческой тайны, прочим внутренним требованиям предприятия по обеспечению конфиденциальности информации.

Дополнительные работы по исследованию и оценке информационной безопасности объекта,

.

Вопросы для самоконтроля

1. Аудит безопасности гостиничного предприятия и его содержание.

2. Последовательность проведения аудита безопасности гостиничного предприятия.

3. Условия успешного проведения аудита безопасности.

4. Масштабы аудита безопасности гостиничного предприятия.

5. Особенности аудита гостиничного предприятия.

6. Аудит информационной безопасности гостиничного предприятия и его содержание.

7. Задачи аудита информационной безопасности.

 

 

 

⇐ Предыдущая12131415161718192021

Поделиться: