Справочник от Автор24
Найди эксперта для помощи в учебе
Найти эксперта
+2

Цель и задача аудита информационной безопасности

Замечание 1

Аудит информационной безопасности — это системный процесс получения объективной качественной и количественной оценки текущего состояния информационной безопасности автоматизированной системы согласно определенным критериям и показателям безопасности.

Введение

Современную жизнь уже нельзя себе представить без персональных компьютеров, всемирной сети Интернет и различных других устройств, которыми люди пользуются практически ежедневно. Они стали неотъемлемой составляющей, которая сопровождает человека в его повседневных делах, причем как в быту, так и на работе. Практически любой процесс в современном обществе перетекает в информационные системы, которые призваны играть ключевую роль в обеспечении эффективной деятельности коммерческих, государственных структур и образовательных учреждений.

Повсеместное применение информационных систем, которые служат для хранения, обработки и трансляции информации, сделало актуальными проблемы защиты и сохранности информации. А если учитывать непрерывно возрастающее количество атак на организации, которые способны привести к существенным финансовым и материальным потерям, то возникает еще одна актуальная проблема, исследованием и работой над которой сегодня занимаются многие компании. А именно, это проблема, связанная с объективной оценкой уровня безопасности информационной системы, а также действующей политики информационной безопасности в организации.

Услуги таких компаний используются для осуществления какого-либо одного из известных типов аудита информационной безопасности, а также и для выполнения комплексного аудита систем безопасности в организации, по итогам которого может быть выдано комплексное заключение об обнаруженных рисках и совокупность практических рекомендаций по их предотвращению и предупреждению.

Цели и задачи аудита информационной безопасности

«Цель и задача аудита информационной безопасности» 👇
Помощь эксперта по теме работы
Найти эксперта
Решение задач от ИИ за 2 минуты
Решить задачу
Помощь с рефератом от нейросети
Написать ИИ

Область информационной безопасности была образована и получила повсеместное распространение и всеобщую популярность в связи с непрерывно возрастающим количеством информационных атак вместе с необходимостью защиты от них и разнообразных рисков. Риском информационной безопасности следует обобщенно считать возможность того, что может случиться какое-либо неблагоприятное событие, которое обладает определенным размером нанесенного ущерба и ожидаемой вероятностью его наступления с наличием негативных последствий. Главными рисками информационной безопасности считаются следующие моменты:

  1. Риски утечек конфиденциальных данных.
  2. Риски потери и (или) недоступности важной информации.
  3. Риски нарушения целостности информации и (или) важных данных.
  4. Риски неправомочной эксплуатации информационных ресурсов.
  5. Риски распространения информации, которая дискредитирует организацию во внешней среде и угрожает ее репутации.

Главными типами угроз безопасности, которые следует рассматривать при осуществлении аудита информационной безопасности, считаются:

  1. Организационные угрозы законодательного, административного или процедурного типа. К примеру, это может быть отсутствие контроля и (или) неэффективно используемые меры управления такими процессами как управление конфигурациями, управление изменениями, управление обновлениями и так далее, а также атаки через привлекаемые подрядные организации.
  2. Угрозы эксплуатационного типа, такие как, к примеру, неподдерживаемые и (или0 нелицензионные варианты операционных систем, системного программного обеспечения, программных продуктов, а также уязвимости веб-серверов и (или) применение небезопасных протоколов управления (применение SSL и TLS способно привести к перехвату транслируемой информации об аутентификации) и передачи информации. Кроме того, это наличие слабых паролей и (или) недостаточно эффективная парольная политика в организации.
  3. Программно-технический тип угроз, то есть, архитектурные угрозы. Это может быть к примеру, возможность подключения корпоративных устройств к незащищенным сегментам гостевых беспроводных сетей компании, а также наличие неконтролируемых информационных потоков.
  4. Другие аспекты обеспечения информационной безопасности, которые следует учитывать в процессе реализации аудита, для определения их приоритетов.

Термины информационная безопасность и аудит информационной безопасности имеют существенные отличия. Информационной безопасностью является состояние сохранности информационных ресурсов и защищенности законных прав личности и общества в информационной области. Аудитом информационной безопасности является системный процесс определения объективных качественных и количественных оценок о текущем состоянии информационной безопасности организации согласно определенным критериям и показателям безопасности.

Если связать воедино оба этих термина, то в результате получится обобщенное определение аудита информационной безопасности, которое выступает как процесс сбора и анализа информации об информационной системе для качественной и количественной оценки уровня ее защищенности от атак злоумышленников.

Главными целями и задачами при осуществлении аудита информационной безопасности могут считаться следующие аспекты:

  1. Осуществление анализа рисков информационной безопасности, которые непосредственно связаны с возможностью реализации угроз безопасности для организации в отношении ресурсов информационной системы.
  2. Выполнение оценки текущего состояния уровня защищенности информационной системы организации.
  3. Выявление «узких мест» в системе безопасности информационной системы организации.
  4. Осуществление оценки информационной системы предприятия с точки зрения соответствия существующим стандартам и нормативно-правовой документации в сфере информационной безопасности.
  5. Выработка рекомендаций по внедрению новых и (или) увеличению эффективности имеющихся механизмов безопасности информационной системы организации.
Дата написания статьи: 08.11.2022
Найди решение своей задачи среди 1 000 000 ответов
Крупнейшая русскоязычная библиотека студенческих решенных задач
Все самое важное и интересное в Telegram

Все сервисы Справочника в твоем телефоне! Просто напиши Боту, что ты ищешь и он быстро найдет нужную статью, лекцию или пособие для тебя!

Перейти в Telegram Bot