АУДИТ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ КОМП’ЮТЕРНИХ СИСТЕМ

81 Поняття аудиту інформаційної безпеки

Аудит інформаційної безпеки (ІБ) являє собою одне з найбільш актуальних і динамічно розвиваються напрямків стратегиче-ського і оперативного менеджменту в області безпеки КС і викликає постійний інтерес фахівців Його основне завдання – обєктивно оце-нитка поточний стан ІБ організації, а також її адекватність поставлений-ним цілям і завданням бізнесу

Під аудитом ІБ розуміється системний процес отримання обєктив-них якісних і кількісних оцінок поточного стану ІБ органі-зації відповідно до визначених критеріїв та показниками на всіх основних рівнях забезпечення безпеки: нормативно-методологічному, організаційно-управлінському, процедурному і програмно-технічному [19]

Результати кваліфіковано виконаного аудиту ІБ організації дозволяють побудувати оптимальну по ефективності і витратам систему забезпечення інформаційної безпеки (СОІБ), що представляє собою комплекс технічних засобів, а також процедурних, організаційних та правових заходів, обєднаних на основі моделі управління ІБ

У результаті проведення аудиту можуть бути отримані як якісно-

ві, так і кількісні оцінки При якісному оцінюванні, наприклад, може бути наведений перелік вразливостей в програмно-апаратному забезпе-печении з їх класифікацією за трирівневою шкалою небезпеки: висока, середня і низька Кількісні оцінки найчастіше застосовуються при оціню-ке ризику для активів організації, створюваного загрозами безпеці У ка-честве кількісних оцінок можуть виступати, наприклад, ціна ризику, імовірність ризику, розмір ризику і т п

Обєктивність аудиту забезпечується, зокрема, тим, що оцінка з-стояння ІБ здійснюється фахівцями на основі певної методики, що дозволяє обєктивно проаналізувати всі складові СОІБ

Аудит ІБ може являти собою послугу, яку пропонують спе-зованих фірми, проте в організації повинен проводитися внутрішній аудит ІБ, що виконується, наприклад, адміністраторами без-

ності

Традиційно виділяють три типи аудиту ІБ, які розрізняються пе-

Річковим аналізованих компонентів СОІБ і одержуваними результатами:

– Активний аудит

– Експертний аудит

– Аудит на відповідність стандартам ІБ

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*