Обеспечение информационной безопасности (ИБ) корпоративных информационных систем (КИС) и сетей связи операторских компаний на протяжении многих лет является актуальной задачей.
Сегодня накоплен значительный опыт по защите отдельных компонентов информационных систем, оборудования и каналов связи и возникает необходимость оценить адекватность принятых мер по обеспечению информационной безопасности современным угрозам.
С другой стороны, возрастающая роль информационных технологий в поддержке бизнес-процессов, и, как следствие, возрастающая сложность информационных процессов и сетей связи требуют целостного взгляда на обеспечение информационной безопасности, сформировать которую невозможно без получения объективной информации о состоянии дел с защитой информации в компании.
1. Введение |
1.1. Актуальность проведения |
1.2. Общее понятие аудита информационной безопасности |
2. Цели и задачи аудита информационной безопасности |
2.1. Задачи, решаемые при проведении аудита информационной безопасности |
2.2. Цели аудита информационной безопасности |
2.3. Понятие контролируемых параметров |
2.4. Внешний контроль параметров |
2.5. Соотношение параметров информационной безопасности при внешнем контроле и аудите |
3. Виды аудита информационной безопасности |
3.1. Полная классификация видов аудита информационной безопасности |
3.2. Пассивный аудит |
3.3. Активный аудит |
3.4. Экспертный аудит |
3.5. Аудит на соответствие стандартам |
4. Мероприятия по аудиту информационной безопасности |
4.1. Инициирование процедуры аудита |
4.2. Сбор исходных данных |
4.2.1. Анкетирование |
4.2.2. Обследование |
4.2.3. Скрытый аудит |
4.3. Анализ данных аудита |
4.4. Использование методов анализа рисков |
4.5. Оценка соответствия требованиям стандарта |
4.6. Выработка рекомендаций |
4.7. Подготовка отчетных документов |
5. Стандарты в области аудита информационной безопасности |
5.1. ISO 17799: Code of Practice for Information Security Management |
5.2. ISO 15408: Common Criteria for Information Technology Security Evaluation |
5.3. SysTrust |
5.4. BSI\IT Baseline Protection Manual |
5.5. Практические стандарты SCORE и программа сертификации SANS / GIAC Site Certification |
6. Понятие окна безопасности |
6.1. Уровень безопасности |
6.2. Уровень безопасности и время жизни системы |
6.3. Окно безопасности |
7. Задачи аудита в терминах окна безопасности |
7.1. Периодичность контроля |
7.1.1. Плановый контроль |
7.1.2. Внеплановый контроль |
8. Комплексная методика проведения аудита информационной безопасности |
9. Указания по проведению аудита информационной безопасности на основе комплексной методики |
9.1. Цели аудита информационной безопасности |
9.2. Объект аудита |
9.3. Результаты аудита |
9.4. Руководства аудиторов при проведении аудита |
9.5. Объективность результатов аудита |
9.6. Время проведения аудита |
9.7. Аудит в организации, где есть свои квалифицированные специалисты по информационной безопасности и внедрена система управления информационной безопасностью в соответствии с международными стандартами |
9.8. Проведение аудита информационной безопасности наряду с ежегодной проверкой информационной безопасности |
9.9. "Внутренний" и "внешний" аудит |
9.10. Выбор специалистов-аудиторов, имеющих государственную лицензию на данный вид деятельности |
9.11. Длительность и стоимость аудита информационной безопасности |
Заключение |
Перечень приложений
Приложение 1. Структура отчета по результатам аудита безопасности ИС и анализу рисков
Приложение 2. Сертификация по ISO 17799
Приложение 3. Обзор программных продуктов, предназначенных для анализа и управления рисками
Приложение 4. Категории информации
Перечень таблиц
Таблица 1. Соотношение между объемом контролируемых параметров, возможностями аудитора, а также
достоинства и недостатки процедур
Таблица 2. Полная классификация видов аудита информационной безопасности
Таблица 3. Карта информационных активов
Таблица 4. Краткое описание каждой категории, ее возможностей (в том числе технических) и методов нанесения ущерба
Таблица 5. Карта представляется в виде таблицы
Перечень рисунков
Рис. 1. Система управления информационной безопасностью
Рис. 2. Окно безопасности
Рис. 3. Идеальная модель развития информационной системы
Рис. 4. Реальный уровень безопасности
Рис. 5. Соотношение контролируемых и неконтролируемых при сертификации и аттестации параметров информационной системы
Рис. 6. График зависимости уровня безопасности информационной системы от времени
Рис. 7. График реального уровня безопасности информационной системы
Рис. 8. Цикл жизни информационной системы в условиях регулярности проведения аудита информационной безопасности
Рис. 9. Этапы аудита информационной безопасности
