Проведение аудита информационной безопасности на месте в организации
Зарегистрируйся в два клика и получи неограниченный доступ к материалам,а также
промокод
на новый заказ в Автор24. Это бесплатно.
При организации проведения аудита информационной безопасности необходимо учитывать, что аудиторский цикл исследования предполагает проведение несколько основных этапов [4, с. 105]. Подготовительный этап. Второй этап - это сбор и систематизация данных о видах информации, которая возникает, хранится и передается внутри компании, а также которой обмениваются с внешними контрагентами. Далее следует этап обследования информационного процесса. Следующий шаг - оценка аппаратного и программного обеспечения:
На пятом этапе, когда создается полная картина «как есть», ее сравнивают с тем, как она должна быть, то есть с техническим заданием на структуру и функции защищенной информационной системы. Последним этапом аудита является отчет для руководства (заказчика) с указанием недостатков и степени их опасности. Можно также составить план первоочередных мероприятий по борьбе с угрозами высокого риска. Отметим, что на основе документального оформления результатов аудита информационной безопасности позволяет повысить эффективность, а также достоверность повторного аудита информационной безопасности [2, с. 184].
Рассмотрим подробнее этап проведения аудита информационной безопасности на месте. Данный этап включает:
проведение предварительного совещания;
обмен информацией во время аудита ИБ;
назначение ролей и обязанностей сопровождающих и наблюдателей;
сбор свидетельств аудита ИБ;
оценка свидетельств аудита ИБ;
проведение заключительного совещания.
До начала проведения аудита информационной безопасности на месте необходимо провести вступительное совещание, в котором должны принимать участие аудиторская группа и лица, ответственные за функции или процессы, которые подлежат проверке
Зарегистрируйся, чтобы продолжить изучение работы
.
Цели совещания следующие:
подтверждение плана аудита ИБ;
краткое изложение действий по аудиту;
подтверждение каналов обмена информацией между аудиторской группой и представителями проверяемой организации.
В случае внутреннего аудита организации вступительное совещание может просто состоять из сообщения о том, что будет проведен аудит ИБ, и объяснения характера аудита. В других случаях аудита ИБ совещание должно быть официальным и должен быть составлен список присутствующих. Заседание должно проходить под председательством руководителя аудиторской группы.
В зависимости от объема и сложности аудита ИБ могут потребоваться формальные мероприятия для обеспечения связи между аудиторской группой и проверяемой организацией в ходе процесса аудита.
Аудиторская группа должна периодически встречаться для обмена информацией, оценки хода аудита ИБ и, при необходимости, перераспределения обязанностей между аудиторами. Руководитель аудиторской группы в ходе проведения аудита ИБ должен периодически информировать проверяемую организацию и клиента аудита о ходе аудита и любых возникающих проблемах. Свидетельства, которые были собраны в ходе аудита ИБ, выявляющие уязвимости, критически важные для ИБ аудируемой организации, должны быть немедленно доведены до сведения аудируемой организации и, по возможности, заказчика аудита.
Если имеющиеся аудиторские доказательства указывают на то, что цель аудита недостижима, руководитель группы аудита должен проинформировать лицо, запрашивающее аудит, и проверяемую организацию о причинах этого, чтобы определить дальнейшие действия
50% курсовой работы недоступно для прочтения
Закажи написание курсовой работы по выбранной теме всего за пару кликов. Персональная работа в кратчайшее время!
