Експертний аудит

призначений для оцінювання поточного стану ІБ на нормативно-методологічному, організаційно-управлінському і процедурному рівнях проводиться переважно зовнішніми аудиторами, його виконують силами фахівців з системного управління Співробітники організації-аудитора спільно з представниками замовника проводять такі види робіт:

– Збір вихідних даних про АІС, її функціях і особливостях, викорис-зуемих технологіях автоматизованої обробки і передачі інформації (з урахуванням найближчих перспектив розвитку)

– Збір інформації про наявні організаційно-розпорядчих документах щодо забезпечення ІБ і їх аналіз

– Визначення захищаються активів, ролей і процесів СОІБ

Найважливішим інструментом експертної оцінки є збір даних про АІС шляхом інтервювання технічних фахівців і керівництва за-казчика

Основні цілі інтервювання керівного складу організації:

– Визначення політики і стратегії керівництва в питаннях забезпечення

ІБ

– Виявлення цілей, які ставляться перед СОІБ

– Зясування вимог, які предявляються до СОІБ

– Отримання оцінок критичності тих чи інших підсистем обробки ін-

формації, оцінок фінансових втрат при виникненні тих чи інших ін-

цідентов

Основні цілі інтервювання технічних фахівців:

– Збір інформації про функціонування АІС

– Отримання схеми інформаційних потоків в АІС

– Отримання інформації про технічну частину СОІБ

– Оцінка ефективності роботи СОІБ

У рамках експертного аудиту проводиться аналіз організаційно-розпорядчих документів, таких як політика безпеки, план захисту пра-ти, різного роду положення та інструкції Організаційно-розпорядчі документи оцінюються на предмет достатності і не-суперечливості декларованим цілям і заходам ІБ, а також на предмет со-відповідності стратегічній політиці керівництва в питаннях ІБ

Результати експертного аудиту можуть містити рекомендації щодо со-

лення нормативно-методологічних, організаційно-

управлінських та процедурних компонентів СОІБ

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*