Аудит інформаційних систем. Загрози інформаційної безпеки. Інформаційні технології

Аудит інформаційної безпеки

Аналіз, що дозволяє виявити загрози інформаційної безпеки, буває двох видів:

• зовнішній;
• внутрішній.

Перший передбачає одноразову процедуру. Організовує її керівник компанії. Рекомендовано регулярно практикувати таку міру, щоб тримати ситуацію під контролем. Ряд АТ, фінансових організацій ввели вимога зовнішнього аудиту ІТ-безпеки обов’язковим до виконання.

Внутрішній – це регулярно проводяться заходи, регламентовані локальним нормативним актом «Положення про внутрішній аудит». Для проведення формують річний план (його готує відділ, відповідальний за аудит), стверджує генеральний директор, інший керівник. ІТ-аудит – кілька категорій заходів, аудит безпеки займає не останнє місце за значимістю.

Цілі

Головна мета аудиту інформаційних систем в аспекті безпеки – це виявлення стосуються ІС ризиків, пов’язаних із загрозами безпеці. Крім того, заходи допомагають виявити:

• слабкі місця діючої системи;
• відповідність системи стандартів інформаційної безпеки;
• рівень захищеності на поточний момент часу.

При аудиті безпеки в результаті будуть сформульовані рекомендації, що дозволяють поліпшити поточні рішення і впровадити нові, зробивши тим самим діючу ІС безпечніше і захищені від різних загроз.

Якщо проводиться внутрішній аудит, покликаний визначити загрози інформаційної безпеки, тоді додатково розглядається:

• політика безпеки, можливість розробки нової, а також інших документів, що дозволяють захистити дані та спростити їх застосування у виробничому процесі корпорації;
• формування завдань забезпечення безпеки працівників ІТ-відділу;
• розбір ситуацій, пов’язаних з порушеннями;
• навчання користувачів корпоративної системи, обслуговуючого персоналу загальним аспектам безпеки.