Исследование аудита информационной безопасности
Зарегистрируйся в два клика и получи неограниченный доступ к материалам,а также промокод на новый заказ в Автор24. Это бесплатно.
Введение
Следует начать с того, что в наше время, обеспечение информационной безопасности предприятия является одной из важнейших задач для поддержания бесперебойной работы. Приостановка производства повлечет утери потенциальной прибыли компании. Поэтому, нельзя упускать из-под контроля ни один из аспектов информационной безопасности. Так же не секрет, что на любом предприятии имеется конфиденциальная информация, которая требует особой защиты, ведь утечка этой информации либо искажение, может повлечь за собой серьезные последствия впредь до уголовной ответственности. Актуальность данной работы состоит в том, что одним из главных инструментов, позволяющим оценить реальную защищенность активов, включая и ИТ-активы) организации, сегодня выступает аудит информационной безопасности. Благодаря полученным результатам аудита можно создать или же улучшить имеющуюся систему информационной безопасности. Обеспечение информационной безопасности в современных организациях представляет собой непрерывный процесс, другими словами, в условиях всегда меняющейся обстановки в сфере информационных технологий, возникновения совершенно новых угроз конфиденциальности информации и, безусловно, появления новых как технических, так и программных средств, которые предназначаются для реализации данных угроз, необходим постоянный контроль надежности системы защиты. Объект исследования – система обеспечения защиты информации в компании «ИТ-Безопасность». Предметом исследования является этапы проведения аудита информационной безопасности на месте в «ИТ-Безопасность». Целью данной работы является исследование аудита информационной безопасности. Поставленная цель предполагает решение следующих задач: рассмотреть основные аспекты аудита информационной безопасности; исследовать проведение аудита информационной безопасности на месте. При написании работы использовались теоретическое обоснование темы, изучение научных источников, а также их сравнительный анализ.
Основные аспекты аудита информационной безопасности
Аудит информационной безопасности – это систематический, независимый и документируемый процесс получения свидетельств деятельности организации по обеспечению информационной безопасности и установлению степени выполнения в организации критериев информ...
Открыть главуПроведение аудита информационной безопасности на месте в «ИТ-Безопасность»
Аудит информационной безопасности - системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности [3, с. 697...
Заключение
степень соответствия проверяемой организации критериям аудита ИБ; оценка системы внутреннего контроля и (или) мониторинга ИБ проверяемой организации; способность со стороны руководства обеспечить постоянную пригодность, адекватность, результативность системы внутреннего контроля и (или) мониторинга ИБ и ее совершенствование. Аудиторской группой при этом может быть подготовлено четыре типа заключений: безусловно положительное; условно положительное; отрицательное; отказ от выражения заключения. В случае, если по результатам аудита ИБ будет сформировано аудиторское заключение, отличное от безусловно положительного, должны быть изложены причины, приведшие к составлению данного заключения. Отказ от выражения заключения возникает тогда, когда ограничение области аудита настолько существенно и глубоко, что аудитор не может получить достаточных доказательств и, следовательно, не в состоянии оценить показатели, отражающие соответствие ИБ организации критериям аудита. Заведомо ложное аудиторское заключение признается таковым только по решению суда. В конце аудита ИБ должно быть проведено заключительное совещание. При проведении внутреннего аудита информационной безопасности в небольшой организации итоговое совещание может состоять только из сообщения результатов аудита и выводов по результатам аудита. В других случаях заседание должно быть официальным, с протоколом и списком участников. Совещание должно проходить под председательством руководителя аудиторской группы. Он должен представлять выводы аудита ИБ и выводы, основанные на результатах аудита, таким образом, чтобы они были понятны и признаны аудируемой организацией. Участниками заключительного совещания должны быть представители аудируемой организации, а также заказчик аудита и другие стороны. Если в процессе аудита возникают ситуации, которые могут повлиять на достоверность аудиторских заключений, руководитель аудиторской группы обязан проинформировать об этом проверяемую организацию. Любые разногласия относительно выводов аудита и/или выводов, основанных на результатах аудита ИБ, между аудиторской группой и проверяемой организацией должны обсуждаться и, по возможности, разрешаться. В противном случае все мнения должны быть зарегистрированы. На совещании должны быть представлены рекомендации по улучшению состояния информационной безопасности проверяемой организации. Отчет (или акт) по результатам аудита составляет руководитель аудиторской группы с помощью остальных членов группы. Отчёт должен быть написан сразу после проведения аудита на объекте. Целесообразно предусмотреть представление подробного отчета об аудите наиболее важных объектов или объектов, на которых выявлены значительные проблемы. В таблице 1 представлен план проведения аудита информационной безопасности на месте в «ИТ-Безопасность». Таблица 1 – План проведения аудита информационной безопасности в «ИТ-Безопасность» № этапа Наименование Сроки, дней 1 Проведение предварительного совещания 1 2 Обмен информацией во время аудита ИБ 7 3 Назначение ролей и обязанностей сопровождающих и наблюдателей 1 4 Сбор свидетельств аудита ТБ 7 5 Оценка свидетельств аудита ИБ 7 6 Проведение заключительного совещания 1 Аудит считается завершённым после выполнения всех запланированных мероприятий и рассылки отчёта по аудиту. Проверка выполнения и результативности корректирующих действий обычно является объектом следующего аудита. Заключение Таким образом, по итогам данного исследования были решены следующие задачи: рассмотрены основные аспекты аудита информационной безопасности; исследовано проведение аудита информационной безопасности на месте. Резюмируя вышесказанное, отметим, что информационная безопасность на предприятии должна постоянно развиваться. На основе проведенного аудита информационной безопасности, выявленных в ходе его проведения и своевременно устраненных недостатков можно разработать эффективную и надежную систему информационной безопасности предприятия. В заключение остается лишь отметить то, что аудит информационной безопасности в современных условиях является одним из наиболее эффективных инструментов получения независимой и объективной оценки текущего уровня защищенности любого хозяйствующего субъекта как от существующих, так и от потенциальных угроз. Однако следует понимать, что применение аудита информационной безопасности на практике должно быть не эпизодическим, а регулярным, позволяющим не только выявлять уже свершившиеся факты, но и предвидеть потенциальные угрозы.
Список литературы
1. ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения. 2. Козьминых, С.И. Аудит информационной безопасности / С.И. Козьминых, П.С. Козьминых // Вестник Московского университета МВД России. – 2016. - № 1. – С. 181-186. 3. Кравчук, Д.И. Аудит безопасности корпоративных информационных систем / Д.И. Кравчук, Д.А. Коркушко // Молодой ученый. - 2015. - № 10 (90). - С. 697-700. 4. Оладько, В.С. Аудит информационной безопасности в электронной коммерции / В.С. Оладько // Технические науки. – 2015. - № 11(42). – С. 76-78. 5. Ситнов, А.А. Организация аудита информационной безопасности / А.А. Ситнов // Учет. Анализ. Аудит. – 2016. - № 6. – С. 102-110.