Экспертный аудит

предназначен для оценивания текущего состояния ИБ   на   нормативно-методологическом,  организационно-управленческом  и процедурном   уровнях.   Экспертный   аудит   проводится   преимущественно внешними аудиторами, его выполняют силами специалистов по системному управлению. Сотрудники организации-аудитора совместно с представителями заказчика проводят следующие виды работ:

?    сбор исходных данных об АИС, ее функциях и особенностях, исполь- зуемых технологиях автоматизированной обработки и передачи информации (с учетом ближайших перспектив развития);

?    сбор  информации  об  имеющихся  организационно-распорядительных документах по обеспечению ИБ и их анализ;

?    определение защищаемых активов, ролей и процессов СОИБ.

Важнейшим инструментом экспертной оценки является сбор данных об АИС путем интервьюирования технических специалистов и руководства за- казчика.

Основные цели интервьюирования руководящего состава организации:

?    определение политики и стратегии руководства в вопросах обеспечения

ИБ;

?    выявление целей, которые ставятся перед СОИБ;

?    выяснение требований, которые предъявляются к СОИБ;

?    получение оценок критичности тех или иных подсистем обработки ин-

формации, оценок финансовых потерь при возникновении тех или иных ин-

цидентов.

Основные цели интервьюирования технических специалистов:

?    сбор информации о функционировании АИС;

?    получение схемы информационных потоков в АИС;

?    получение информации о технической части СОИБ;

?    оценка эффективности работы СОИБ.

В  рамках  экспертного  аудита  проводится  анализ  организационно- распорядительных документов, таких как политика безопасности, план защи- ты,     различного    рода     положения    и     инструкции.    Организационно- распорядительные документы оцениваются на предмет достаточности и не- противоречивости декларируемым целям и мерам ИБ, а также на предмет со- ответствия стратегической политике руководства в вопросах ИБ.

Результаты экспертного аудита могут содержать рекомендации по со-

вершенствованию          нормативно-методологических,          организационно-

управленческих и процедурных компонентов СОИБ.

Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий