Организация и проведение аудита системы обеспечения информационной безопасности организации

Введение

Аудит информационной безопасности - это системный процесс получения качественных и количественных объективных оценок текущего состояния информационной безопасности предприятия (организации, предприятия) в соответствии с определенными критериями и показателями безопасности.
Информационная безопасность - это непрерывный процесс, то есть в постоянно меняющейся среде в области информационных технологий, в условиях появления новых угроз конфиденциальности информации, а также новых технических и программных инструментов, используемых для реализации от этих угроз необходимо постоянно следить за надежностью системы защиты. Именно эту функцию выполняет аудит информационной безопасности. Это вызывает вопросы о методах и результатах аудита, ответы на которые представлены в этом проекте. В данном случае речь идет не о постоянном внутреннем аудите, который должна проводить каждая организация, пытающаяся повысить свою информационную безопасность, а о внешнем аудите, проводимом сторонней организацией, который отличается своей независимостью и полнотой.
Если говорить об основной цели аудита информационной безопасности, то его можно определить как оценку уровня защищенности информационной системы предприятия для управления в целом с учетом перспектив ее развития. В современных условиях, когда информационные системы пересекают все сферы деятельности предприятия и, учитывая необходимость подключения их к интернету, открыты для внутренних и внешних угроз, проблема информационной безопасности становится не менее важной, чем экономическая или физическая безопасность.



1.Аудит информационной безопасности и необходимость его проведения

В настоящее время информация является одним из наиболее ценных ресурсов любого предприятия (организации, предприятия), а для некоторых - и основным производственным ресурсом, поскольку информационная безопасность и бесперебойный доступ к ней часто зависят от важных технологических и бизнес-процессов. Но с развитием информационных технологий также быстро возрастает риск утечки информации, внешнего вмешательства в работу информационно-телекоммуникационной системы (ИТС) и заражения вирусами. Важно осознавать реальное состояние сохранности ценных ресурсов ИТС, чтобы противостоять внешним и внутренним угрозам его безопасности. В этом случае вам может помочь независимое исследование состояния безопасности ИТС - аудит безопасности.
Аудит информационной безопасности - это систематический процесс получения качественных и количественных объективных оценок текущего состояния ИТС предприятия в соответствии с критериями информационной безопасности.
Чтобы оценить реальное состояние безопасности ИТ-ресурсов и их способность противостоять внешним и внутренним угрозам безопасности, необходимо регулярно проводить аудиты информационной безопасности.
Аудит информационной безопасности можно разделить на два типа:
- экспертный аудит информационной безопасности, который выявляет недостатки в системе мер защиты информации на основе опыта экспертов, участвующих в аудиторской процедуре;[2]
-аудит информационной безопасности на соответствие международному стандарту ISO / IEC 27001: 2005 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования", разработанные международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) на основе британского стандарта BS 7799-2:2002 «системы управления информационной безопасностью. Спецификация и руководство пользователя».
К числу задач, которые решаются в рамках аудита информационной безопасности, относятся:
-сбор и анализ исходных данных об организационной и функциональной структуре ИТС организации, необходимых для оценки состояния информационной безопасности;
- анализ текущей политики в области информационной безопасности для обеспечения ее полноты и эффективности;
- анализ информационных и технологических рисков, связанных с реализацией угроз информационной безопасности;