Разделы презентаций

Аудит информационной безопасности

Содержание

Понятие аудита безопасности и цели его проведения Аудит информационной безопасности — системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности в соответствии с определенными критериями и показателями безопасности

Слайды и текст этой презентации

Слайд 1Аудит информационной безопасности

Аудит информационной безопасности

Слайд 2Понятие аудита безопасности и цели его проведения

Аудит информационной безопасности —

системный процесс получения объективных качественных и количественных оценок о текущем

состоянии информационной безопасности в соответствии с определенными критериями и показателями безопасности
Понятие аудита безопасности и цели его проведения Аудит информационной безопасности — системный процесс получения объективных качественных и количественных

Слайд 3Аудит
Внешний аудит – это разовое мероприятие, проводимое по инициативе руководства

организации или акционеров
Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется

на основании «Положения о внутреннем аудите» и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации
АудитВнешний аудит – это разовое мероприятие, проводимое по инициативе руководства организации или акционеровВнутренний аудит представляет собой непрерывную

Слайд 4Целями проведения аудита безопасности являются:
анализ рисков, связанных с возможностью осуществления

угроз безопасности в отношении ресурсов ИС
оценка текущего уровня защищенности ИС;
локализация

узких мест в системе защиты ИС;
оценка соответствия ИС существующим стандартам в области информационной безопасности;
выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.

Целями проведения аудита безопасности являются:анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИСоценка текущего

Слайд 5Дополнительные задачи внутренних аудиторов:
участие в их внедрении в работу организации;
постановка

задач для ИТ персонала, касающихся обеспечения защиты информации;
участие в обучении

пользователей и обслуживающего персонала ИС вопросам обеспечения информационной безопасности;
участие в разборе инцидентов, связанных с нарушением информационной безопасности;
Дополнительные задачи внутренних аудиторов:участие в их внедрении в работу организации;постановка задач для ИТ персонала, касающихся обеспечения защиты

Слайд 7Этапность работ по проведению аудита безопасности информационных систем
Инициирование процедуры аудита
Сбор

информации аудита
Анализ данных аудита
Выработка рекомендаций
Подготовка аудиторского отчета

Этапность работ по проведению аудита безопасности информационных системИнициирование процедуры аудитаСбор информации аудитаАнализ данных аудитаВыработка рекомендацийПодготовка аудиторского отчета

Слайд 8Инициирование процедуры аудита
Аудит проводится не по инициативе аудитора, а по

инициативе руководства компании, которое в данном вопросе является основной заинтересованной

стороной. Поддержка руководства компании является необходимым условием для проведения аудита.
Аудит представляет собой комплекс мероприятий, в которых помимо самого аудитора, оказываются задействованными представители большинства структурных подразделений компании
Инициирование процедуры аудита Аудит проводится не по инициативе аудитора, а по инициативе руководства компании, которое в данном вопросе

Слайд 9На этапе инициирования процедуры аудита должны быть решены следующие организационные

вопросы:
права и обязанности аудитора должны быть четко определены и документально

закреплены в его должностных инструкциях, а также в положении о внутреннем (внешнем) аудите;
аудитором должен быть подготовлен и согласован с руководством план проведения аудита;
в положении о внутреннем аудите должно быть закреплено, в частности, что сотрудники компании обязаны оказывать содействие аудитору и предоставлять всю необходимую для проведения аудита информацию.
На этапе инициирования процедуры аудита должны быть решены следующие организационные вопросы:права и обязанности аудитора должны быть четко

Слайд 10Границы проведения обследования определяются в следующих терминах:
Список обследуемых физических, программных

и информационных ресурсов;
Площадки (помещения), попадающие в границы обследования;
Основные виды угроз

безопасности, рассматриваемые при проведении аудита;
Организационные (законодательные, административные и процедурные), физические, программно-технические и прочие аспекты обеспечения безопасности, которые необходимо учесть в ходе проведения обследования, и их приоритеты (в каком объеме они должны быть учтены).

Границы проведения обследования определяются в следующих терминах:Список обследуемых физических, программных и информационных ресурсов;Площадки (помещения), попадающие в границы

Слайд 11Сбор информации аудита
Этап сбора информации аудита, является наиболее сложным и

длительным. Это связано с большим объемом необходимой документации на информационную

систему и с необходимостью плотного взаимодействия аудитора со многими должностными лицами организации.
Сбор информации аудита Этап сбора информации аудита, является наиболее сложным и длительным. Это связано с большим объемом необходимой

Слайд 12 Обеспечение информационной безопасности организации – это комплексный процесс, требующий четкой

организации и дисциплины. Он должен начинаться с определения ролей и

распределения ответственности среди должностных лиц, занимающихся информационной безопасностью.
Обеспечение информационной безопасности организации – это комплексный процесс, требующий четкой организации и дисциплины. Он должен начинаться с

Слайд 13Анализ данных аудита
Используемые аудиторами методы анализа данных определяются выбранными подходами

к проведению аудита, которые могут существенно различаться.

Анализ данных аудита Используемые аудиторами методы анализа данных определяются выбранными подходами к проведению аудита, которые могут существенно различаться.

Слайд 14 Первый подход, самый сложный, базируется на анализе рисков. Опираясь на

методы анализа рисков, аудитор определяет для обследуемой ИС индивидуальный набор

требований безопасности, в наибольшей степени учитывающий особенности данной ИС, среды ее функционирования и существующие в данной среде угрозы безопасности.
Первый подход, самый сложный, базируется на анализе рисков. Опираясь на методы анализа рисков, аудитор определяет для обследуемой

Слайд 15 Второй подход, самый практичный, опирается на использование стандартов информационной безопасности.

Стандарты определяют базовый набор требований безопасности для широкого класса ИС,

который формируется в результате обобщения мировой практики. Стандарты могут определять разные наборы требований безопасности, в зависимости от уровня защищенности ИС, который требуется обеспечить, ее принадлежности (коммерческая организация, либо государственное учреждение), а также назначения (финансы, промышленности, связь и т.п.)
Второй подход, самый практичный, опирается на использование стандартов информационной безопасности. Стандарты определяют базовый набор требований безопасности для

Слайд 16 Третий подход, наиболее эффективный, предполагает комбинирование первых двух. Базовый набор

требований безопасности, предъявляемых к ИС, определяется стандартом. Дополнительные требования, в

максимальной степени учитывающие особенности функционирования данной ИС, формируются на основе анализа рисков.
Третий подход, наиболее эффективный, предполагает комбинирование первых двух. Базовый набор требований безопасности, предъявляемых к ИС, определяется стандартом.

Слайд 17 Анализ рисков - это то, с чего должно начинаться построение

любой системы информационной безопасности. Он включает в себя мероприятия по

обследованию безопасности ИС, с целью определения того какие ресурсы и от каких угроз надо защищать, а также в какой степени те или иные ресурсы нуждаются в защите. Определение набора адекватных контрмер осуществляется в ходе управления рисками. Риск определяется вероятностью причинения ущерба и величиной ущерба, наносимого ресурсам ИС, в случае осуществления угрозы безопасности.
Анализ рисков - это то, с чего должно начинаться построение любой системы информационной безопасности. Он включает в

Слайд 18Процесс анализа рисков :
Идентификация ключевых ресурсов ИС;
Определение важности тех или

иных ресурсов для организации;
Идентификация существующих угроз безопасности и уязвимостей, делающих

возможным осуществление угроз;
Вычисление рисков, связанных с осуществлением угроз безопасности.
Процесс анализа рисков :Идентификация ключевых ресурсов ИС;Определение важности тех или иных ресурсов для организации;Идентификация существующих угроз безопасности

Слайд 19Ресурсы ИС можно разделить на следующие категории:
Информационные ресурсы;
Программное обеспечение;
Технические средства

(серверы, рабочие станции, активное сетевое оборудование и т. п.);
Персонал(сотрудники, пользователи).

Ресурсы ИС можно разделить на следующие категории:Информационные ресурсы;Программное обеспечение;Технические средства (серверы, рабочие станции, активное сетевое оборудование и

Слайд 20 В каждой категории ресурсы делятся на классы и подклассы. Необходимо

идентифицировать только те ресурсы, которые определяют функциональность ИС и существенны

с точки зрения обеспечения безопасности. Важность (или стоимость) ресурса определяется величиной ущерба, наносимого в случае нарушения конфиденциальности, целостности или доступности этого ресурса.
В каждой категории ресурсы делятся на классы и подклассы. Необходимо идентифицировать только те ресурсы, которые определяют функциональность

Слайд 21Виды ущерба:
Данные были раскрыты, изменены, удалены или стали недоступны;
Аппаратура была

повреждена или разрушена;
Нарушена целостность программного обеспечения.

Виды ущерба:Данные были раскрыты, изменены, удалены или стали недоступны;Аппаратура была повреждена или разрушена;Нарушена целостность программного обеспечения.

Слайд 22Угрозы безопасности:
локальные и удаленные атаки на ресурсы ИС;
стихийные бедствия;
ошибки, либо

умышленные действия персонала ИС;
сбои в работе ИС, вызванные ошибками в

программном обеспечении или неисправностями аппаратуры.

Угрозы безопасности:локальные и удаленные атаки на ресурсы ИС;стихийные бедствия;ошибки, либо умышленные действия персонала ИС;сбои в работе ИС,

Слайд 23Использование методов анализа рисков:
Анализ ресурсов ИС, включая информационные ресурсы, программные

и технические средства, а также персонал
Анализ групп задач, решаемых системой,

и бизнес процессов
Построение (неформальной) модели ресурсов ИС, определяющей взаимосвязи между информационными, программными, техническими ресурсами и персоналом, их взаимное расположение и способы взаимодействия
Оценка критичности информационных ресурсов, а также программных и технических средств
Определение критичности ресурсов с учетом их взаимозависимостей
Определение наиболее вероятных угроз безопасности в отношении ресурсов ИС и уязвимостей защиты, делающих возможным осуществление этих угроз
Оценка вероятности осуществления угроз, величины уязвимостей и ущерба, наносимого организации в случае успешного осуществления угроз
Определение величины рисков для каждой тройки: угроза – группа ресурсов – уязвимость
Использование методов анализа рисков:Анализ ресурсов ИС, включая информационные ресурсы, программные и технические средства, а также персоналАнализ групп

Слайд 24Оценка соответствия требованиям стандарта:
В случае проведения аудита безопасности на соответствие

требованиям стандарта, аудитор, полагаясь на свой опыт, оценивает применимость требований

стандарта к обследуемой ИС и ее соответствие этим требованиям. Данные о соответствии различных областей функционирования ИС требованиям стандарта, обычно, представляются в табличной форме. Из таблицы видно, какие требования безопасности в системе не реализованы. Исходя из этого, делаются выводы о соответствии обследуемой ИС требованиям стандарта и даются рекомендации по реализации в системе механизмов безопасности, позволяющих обеспечить такое соответствие.

Оценка соответствия требованиям стандарта: В случае проведения аудита безопасности на соответствие требованиям стандарта, аудитор, полагаясь на свой опыт,

Слайд 25Выработка рекомендаций
Рекомендации, выдаваемые аудитором по результатам анализа состояния ИС, определяются

используемым подходом, особенностями обследуемой ИС, состоянием дел с информационной безопасностью

и степенью детализации, используемой при проведении аудита.
Выработка рекомендаций Рекомендации, выдаваемые аудитором по результатам анализа состояния ИС, определяются используемым подходом, особенностями обследуемой ИС, состоянием дел

Слайд 26Подготовка отчетных документов
Аудиторский отчет является основным результатом проведения аудита. Структура

отчета может существенно различаться в зависимости от характера и целей

проводимого аудита.
Подготовка отчетных документов Аудиторский отчет является основным результатом проведения аудита. Структура отчета может существенно различаться в зависимости от

Слайд 27 Основные пункты:
описание целей проведения аудита;
характеристику обследуемой ИС;
указание границ проведения

аудита и используемых методов;
результаты анализа данных аудита;
выводы, обобщающие эти

результаты и содержащие оценку уровня защищенности ИС или соответствие ее требованиям стандартов;
рекомендации аудитора по устранению существующих недостатков и совершенствованию системы защиты.

Основные пункты:описание целей проведения аудита;характеристику обследуемой ИС; указание границ проведения аудита и используемых методов;результаты анализа данных аудита;

Слайд 28Спасибо за внимание 

Спасибо за внимание 

Похожие презентации

ФОРМИРОВАНИЕ ЕДИНЫХ ГОСУДАРСТВ В ЕВРОПЕ И РОССИИ ФОРМИРОВАНИЕ ЕДИНЫХ ГОСУДАРСТВ В ЕВРОПЕ И РОССИИ 382
Размножение организмов Размножение организмов 505
Семья Ротари Семья Ротари 229
Новые приоритеты государственной образовательной политики в ХХ I веке Новые приоритеты государственной образовательной политики в ХХ I веке 304
ГОСУДАРСТВЕННАЯ ВЛАСТЬ В ДЕМОКРАТИЧЕСКИХ СТРАНАХ ГОСУДАРСТВЕННАЯ ВЛАСТЬ В ДЕМОКРАТИЧЕСКИХ СТРАНАХ 261
Исследование силовой подготовки девушек и женщин, занимающихся фитнесом Исследование силовой подготовки девушек и женщин, занимающихся фитнесом 211
Установки для электронно-лучевой сварки Установки для электронно-лучевой сварки 307
Проведение мероприятий в Коворкинг Центре Аспект командой PARTY MUSIC MAGIC Проведение мероприятий в Коворкинг Центре Аспект командой PARTY MUSIC MAGIC 207
Оргтехника для обработки служебных документов Оргтехника для обработки служебных документов 246
Бразилия: блеск и нищета гиганта Бразилия: блеск и нищета гиганта 456
Официально-деловой стиль. Составление резюме для поступления на работу Официально-деловой стиль. Составление резюме для поступления на работу 257
Типы химических связей Типы химических связей 265
Дисциплина: Технологии разработки и производства рекламного и PR Дисциплина: Технологии разработки и производства рекламного и PR 306
Чего можно достичь с помощью Интеграции 1С и телефонии Чего можно достичь с помощью Интеграции 1С и телефонии 197
Verben mit Pr äfix Verben mit Pr äfix 176
Подготовка к сочинению 15.2 в 9 классе Подготовка к сочинению 15.2 в 9 классе 416
Управление людскими ресурсами. Изменение трудового законодательства. Ирина Управление людскими ресурсами. Изменение трудового законодательства. Ирина 287
Действия сухопутных войск России на территории восточной Пруссии в период Действия сухопутных войск России на территории восточной Пруссии в период 218
Рефлексия как этап современного урока в условиях ФГОС Рефлексия как этап современного урока в условиях ФГОС 722
Реконструкция игры ВЛАСТИЛИН ЗАМКА Реконструкция игры ВЛАСТИЛИН ЗАМКА 169

Обратная связь

Если не удалось найти и скачать доклад-презентацию, Вы можете заказать его на нашем сайте. Мы постараемся найти нужный Вам материал и отправим по электронной почте. Не стесняйтесь обращаться к нам, если у вас возникли вопросы или пожелания:

Email: Нажмите что бы посмотреть 

Что такое TheSlide.ru?

Это сайт презентации, докладов, проектов в PowerPoint. Здесь удобно  хранить и делиться своими презентациями с другими пользователями.

Для правообладателей

Яндекс.Метрика