Практика проведения аудитов информационной безопасности на крупных предприятиях

Содержание

Слайд 2

Когда проводить аудит безопасности?

Перед внедрением комплексной системы безопасности для подготовки ТЗ на

Когда проводить аудит безопасности? Перед внедрением комплексной системы безопасности для подготовки ТЗ
её разработку и создание
После внедрения комплексной системы безопасности для оценки уровня её эффективности
Для приведения системы информационной безопасности в соответствие установленным требованиям (международные стандарты или требования российского законодательства)
Для систематизации и упорядочивания существующих мер защиты информации
Для проверки эффективности работы подразделений компании, ответственных за обеспечение ИБ
Для обоснования инвестиций в направление информационной безопасности

Получить независимую и объективную оценку текущего уровня информационной безопасности

ЦЕЛЬ:

Слайд 3

Конечные потребители результатов аудита

Внутренние пользователи:
Руководство компании
Подразделение информационной безопасности
Служба безопасности
Подразделение автоматизации предприятия
Служба внутреннего

Конечные потребители результатов аудита Внутренние пользователи: Руководство компании Подразделение информационной безопасности Служба
контроля/аудита
Внешние пользователи:
Акционеры компании
Регулирующие органы
Клиенты компании

Слайд 4

Внешний и внутренний аудит безопасности

Внутренний аудит:
Проводится внутренними подразделениями компании (отделом ИБ, отделом

Внешний и внутренний аудит безопасности Внутренний аудит: Проводится внутренними подразделениями компании (отделом
ИТ или службой внутреннего контроля)
Рекомендуется проводить не реже 1 раза в квартал
Внешний аудит:
Проводится с привлечением внешней организации
Рекомендуется проводить не реже 1 раза в год

Слайд 5

Варианты проведения аудита
Тест на проникновение (penetration testing)
Инструментальный анализ защищённости автоматизированной системы
Аудит безопасности,

Варианты проведения аудита Тест на проникновение (penetration testing) Инструментальный анализ защищённости автоматизированной
направленный на оценку соответствия требованиям стандарта ISO 27001
Аудит безопасности, направленный на оценку соответствия требованиям стандарта PCI DSS
Оценка соответствия стандарту Банка России
Оценка соответствия требованиям Федерального закона «О персональных данных»
Аудит наличия конфиденциальной информации в сети Интернет
Оценка и анализ рисков информационной безопасности
Комплексный аудит информационной безопасности

Слайд 6

Основные этапы работ

Заключение соглашения о неразглашении (NDA)
Разработка регламента, устанавливающего порядок и рамки

Основные этапы работ Заключение соглашения о неразглашении (NDA) Разработка регламента, устанавливающего порядок
проведения работ
Сбор исходной информации об автоматизированной системе компании
Анализ собранной информации с целью выявления технологических, эксплуатационных уязвимостей, а также недостатков организационно-правового обеспечения
Подготовка отчётных материалов
Презентация и защита результатов проекта

Слайд 7

Структура регламента

Состав рабочих групп от Исполнителя и Заказчика, участвующих в процессе проведения

Структура регламента Состав рабочих групп от Исполнителя и Заказчика, участвующих в процессе
аудита
Описание ролей участников рабочей группы и зоны их ответственности
Порядок обмена информацией по проекту
Порядок проведения совещаний по проекту

Слайд 8

Состав исходных данных

Информация об организационной структуре компании
Организационно-распорядительная и нормативно-методическая документация по вопросам

Состав исходных данных Информация об организационной структуре компании Организационно-распорядительная и нормативно-методическая документация
информационной безопасности
Информация об ИТ-активах, влияющих на бизнес-процессы компании
Информация об аппаратном, общесистемном и прикладном обеспечении хостов
Информация о средствах защиты, установленных в компании
Информация о топологии автоматизированной системы компании

Слайд 9

Методы сбора исходных данных

Предоставление опросных листов по определённой тематике, самостоятельно заполняемых сотрудниками

Методы сбора исходных данных Предоставление опросных листов по определённой тематике, самостоятельно заполняемых
Заказчика
Интервьюирование сотрудников Заказчика, обладающих необходимой информацией
Анализ существующей организационно-технической документации, используемой Заказчиком
Использование специализированных программных средств

Слайд 10

Критерии оценки безопасности

Нормативно-правовые документы предприятия, касающиеся вопросов информационной безопасности
Требования действующего российского законодательства

Критерии оценки безопасности Нормативно-правовые документы предприятия, касающиеся вопросов информационной безопасности Требования действующего
(РД ФСТЭК, СТР-К, ГОСТы)
Требования отраслевых стандартов (СТО БР ИББС 1.0, базовый уровень информационной безопасности операторов связи)
Рекомендации международных стандартов (ISO 17799, OCTAVE)
Рекомендации компаний-производителей программного и аппаратного обеспечения (Microsoft, Oracle, Cisco и т.д.)

Слайд 11

Структура итогового отчёта

Границы проведения аудита безопасности
Описание АС Заказчика
Методы и средства проведения аудита
Результаты

Структура итогового отчёта Границы проведения аудита безопасности Описание АС Заказчика Методы и
инструментального анализа защищенности
Результаты оценки соответствия требованиям международного стандарта ISO27001
Результаты оценки рисков безопасности
Результаты внешнего обследования (penetration testing)
Рекомендации по совершенствованию комплексной системы обеспечения информационной безопасности
План мероприятий по реализации рекомендаций в области информационной безопасности

Слайд 12

Продолжительность этапов

Продолжительность этапов

Слайд 13

Преимущества аудита безопасности

Лучшее понимание руководством и сотрудниками целей, задач, проблем организации в

Преимущества аудита безопасности Лучшее понимание руководством и сотрудниками целей, задач, проблем организации
области ИБ
Осознание ценности информационных ресурсов
Надлежащее документирование процедур и моделей ИС с позиции ИБ
Принятие ответственности за остаточные риски
Имя файла: Практика-проведения-аудитов-информационной-безопасности-на-крупных-предприятиях.pptx
Количество просмотров: 470
Количество скачиваний: 2
- Предыдущая
Проектная методика
Следующая -
Технологии организации исследовательской работы на уроках

Похожие презентации

Международные судебные органы по правам человека
Управление образования
ИННОВАЦИОННЫЙ ЦЕНТР «СКОЛКОВО»
4 funny and 1 usual facts about TV
Изображения на чертежах
Россия в период 1900-1917 год
Искусство Керамики
 ПОЛОЖЕНИЕО БАЛЛЬНО-РЕЙТИНГОВОЙ СИСТЕМЕ ОЦЕНКИ КАЧЕСТВА ОСВОЕНИЯТРЕБОВАНИЙ ФГОС ВПО И ОСНОВНЫХ ОБРАЗОВАТЕЛЬНЫХ ПРОГРАММ
Административное судопроизводство в российской федерации. Предмет и система судебного административного процессуального права
Д и ф т е р и я
Презентация на тему Будьте всегда вежливы
Презентация на тему Почему мы любим кошек и собак (1 класс)
Презентация на тему Диалектика как учение о развитии
Сусанинский район: жизнь возрождается?
Стиль китч в интерьере
Именинница! Именинница! Именинник! Сказка «Волк и семеро козлят!»
Disadvantages of photos to record crime scenes
Правила поведения на экскурсии
Возможности библиотеки и профилактика наркомании в молодёжной среде
Перпендикулярность плоскостей
Речь. Онтогенез речи
Цель жизни- жить
Пришивание пуговиц
Слова, обозначающие чувства и эмоции
Меню 2012 год в Российской Федерации объявлен Годом российской истории «В настоящее время обращение к страницам славного прошлого н
Классификация коммуникативных стратегий по цели
Священнослужители в рядах Русской армии
Лёгкая атлетика. Метание. Урок 4
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть