Название отчета | Разработка "Методологических указаний по проведению аудита информационной безопасности компании-оператора сети GSM" |
Код исследования | 952 |
Тип работы | Маркетинговое исследование |
Регион | Россия |
Отрасль | Безопасность, Телекоммуникации |
Дата выхода отчета | 03.07.2006 |
Количество страниц | 84 |
Язык отчета | Русский |
Стоимость | 9000 Российский рубль |
Краткое описание отчета | Обеспечение информационной безопасности (ИБ) корпоративных информационных систем (КИС) и сетей связи операторских компаний на протяжении многих лет является актуальной задачей. |
Полное описание отчета | Сегодня накоплен значительный опыт по защите отдельных компонентов информационных систем, оборудования и каналов связи и возникает необходимость оценить адекватность принятых мер по обеспечению информационной безопасности современным угрозам.
С другой стороны, возрастающая роль информационных технологий в поддержке бизнес-процессов, и, как следствие, возрастающая сложность информационных процессов и сетей связи требуют целостного взгляда на обеспечение информационной безопасности, сформировать которую невозможно без получения объективной информации о состоянии дел с защитой информации в компании. |
Подробное оглавление | Содержание:
1. Введение.................................................................................................................................... 4
1.1. Актуальность проведения...................................................................................................... 4
1.2. Общее понятие аудита информационной безопасности.................................................... 5
2. Цели и задачи аудита информационной безопасности..................................................... 7
2.1 Задачи, решаемые при проведении аудита информационной безопасности.................... 7
2.2 Цели аудита информационной безопасности....................................................................... 8
2.3 Понятие контролируемых параметров................................................................................ 10
2.4. Внешний контроль параметров........................................................................................... 11
2.5 Соотношение параметров информационной безопасности при внешнем контроле
и аудите......................................................................................................................................... 12
3. Виды аудита информационной безопасности................................................................. 15
3.1. Полная классификация видов аудита информационной безопасности.......................... 15
3.2. Пассивный аудит.................................................................................................................. 17
3.3. Активный аудит.................................................................................................................... 21
3.4 Экспертный аудит................................................................................................................. 23
3.5 Аудит на соответствие стандартам...................................................................................... 25
4. Мероприятия по аудиту информационной безопасности............................................. 28
4.1 Инициирование процедуры аудита..................................................................................... 28
4.2. Сбор исходных данных........................................................................................................ 29
4.2.1 Анкетирование.................................................................................................................... 31
4.2.2 Обследование...................................................................................................................... 31
4.2.3 Скрытый аудит.................................................................................................................... 32
4.3. Анализ данных аудита.......................................................................................................... 33
4.4 Использование методов анализа рисков............................................................................. 34
4.5 Оценка соответствия требованиям стандарта.................................................................... 35
4.6. Выработка рекомендаций.................................................................................................... 35
4.7 Подготовка отчетных документов........................................................................................ 36
5. Стандарты в области аудита информационной безопасности..................................... 37
5.1 ISO 17799: Code of Practice for Information Security Management........................................... 38
5.2. ISO 15408: Common Criteria for Information Technology Security Evaluation........................... 39
5.3 SysTrust.................................................................................................................................... 40
5.4 BSIIT Baseline Protection Manual............................................................................................ 42
5.5 Практические стандарты SCORE и программа сертификации SANS/GIAC
Site Certification.............................................................................................................................. 43
6. Понятие окна безопасности................................................................................................. 45
6.1. Уровень безопасности.......................................................................................................... 45
6.2. Уровень безопасности и время жизни системы................................................................ 46
6.3. Окно безопасности............................................................................................................... 46
7. Задачи аудита в терминах окна безопасности.................................................................. 50
7.1 Периодичность контроля...................................................................................................... 53
7.1.1 Плановый контроль............................................................................................................ 53
7.1.2 Внеплановый контроль...................................................................................................... 54
8. Комплексная методика проведения аудита информационной безопасности........... 57
9. Указания по проведению аудита информационной безопасности на основе
комплексной методики............................................................................................................. 64
9.1 Цели аудита информационной безопасности..................................................................... 64
9.2 Объект аудита......................................................................................................................... 64
9.3 Результаты аудита.................................................................................................................. 65
9.4 Руководства аудиторов при проведении аудита................................................................ 66
9.5 Объективность результатов аудита...................................................................................... 66
9.6 Время проведения аудита..................................................................................................... 67
9.7 Аудит в организации, где есть свои квалифицированные специалисты по
информационной безопасности и внедрена система управления информационной
безопасностью в соответствии с международными стандартами.......................................... 67
9.8 Проведение аудита информационной безопасности наряду с ежегодной
проверкой информационной безопасности.............................................................................. 68
9.9 "Внутренний" и "внешний" аудит......................................................................................... 68
9.10 Выбор специалистов-аудиторов, имеющих государственную лицензию на
данный вид деятельности........................................................................................................... 69
9.11 Длительность и стоимость аудита информационной безопасности.............................. 69
10. Заключение........................................................................................................................... 70
Приложение 1. Структура отчета по результатам аудита безопасности ИС и
анализу рисков............................................................................................................................. 71
Приложение 2. Сертификация по ISO 17799............................................................................ 73
Приложение 3. Обзор программных продуктов, предназначенных для анализа
и управления рисками................................................................................................................. 78
Приложение 4. Категории информации.................................................................................... 84 |
Приложения | Перечень приложений:
Рисунки:
Рис. 1. Система управления информационной безопасностью.
Рис. 2. Окно безопасности.
Рис. 3. Идеальная модель развития информационной системы.
Рис. 4. Реальный уровень безопасности.
Рис. 5. Соотношение контролируемых и неконтролируемых при сертификации и аттестации параметров информационной системы.
Рис. 6. График зависимости уровня безопасности информационной системы от времени.
Рис. 7. График реального уровня безопасности информационной системы.
Рис. 8. Цикл жизни информационной системы в условиях регулярности проведения аудита информационной безопасности.
Рис. 9. Этапы аудита информационной безопасности.
Таблицы:
Табл. 1. Соотношение между объемом контролируемых параметров, возможностями аудитора, а также достоинства и недостатки процедур.
Табл. 2. Полная классификация видов аудита информационной безопасности.
Табл. 3. Карта информационных активов.
Табл. 4. Краткое описание каждой категории, ее возможностей (в том числе технических) и методов нанесения ущерба.
Табл. 5. Карта представляется в виде таблицы.
Приложения:
Приложение 1. Структура отчета по результатам аудита безопасности ИС и анализу рисков.
Приложение 2. Сертификация по ISO 17799.
Приложение 3. Обзор программных продуктов, предназначенных для анализа и управления рисками.
Приложение 4. Категории информации. |
Способ предоставления | Печатный или электронный вид |