Аудит інформаційних систем. Загрози інформаційної безпеки. Інформаційні технології
Аудит інформаційної безпеки
Аналіз, що дозволяє виявити загрози інформаційної безпеки, буває двох видів:
- зовнішній;
- внутрішній.
Перший передбачає одноразову процедуру. Організовує її керівник компанії. Рекомендовано регулярно практикувати таку міру, щоб тримати ситуацію під контролем. Ряд АТ, фінансових організацій ввели вимога зовнішнього аудиту ІТ-безпеки обов’язковим до виконання.
Внутрішній – це регулярно проводяться заходи, регламентовані локальним нормативним актом «Положення про внутрішній аудит». Для проведення формують річний план (його готує відділ, відповідальний за аудит), стверджує генеральний директор, інший керівник. ІТ-аудит – кілька категорій заходів, аудит безпеки займає не останнє місце за значимістю.
Цілі
Головна мета аудиту інформаційних систем в аспекті безпеки – це виявлення стосуються ІС ризиків, пов’язаних із загрозами безпеці. Крім того, заходи допомагають виявити:
- слабкі місця діючої системи;
- відповідність системи стандартів інформаційної безпеки;
- рівень захищеності на поточний момент часу.
При аудиті безпеки в результаті будуть сформульовані рекомендації, що дозволяють поліпшити поточні рішення і впровадити нові, зробивши тим самим діючу ІС безпечніше і захищені від різних загроз.
Якщо проводиться внутрішній аудит, покликаний визначити загрози інформаційної безпеки, тоді додатково розглядається:
- політика безпеки, можливість розробки нової, а також інших документів, що дозволяють захистити дані та спростити їх застосування у виробничому процесі корпорації;
- формування завдань забезпечення безпеки працівників ІТ-відділу;
- розбір ситуацій, пов’язаних з порушеннями;
- навчання користувачів корпоративної системи, обслуговуючого персоналу загальним аспектам безпеки.