АНАЛИЗ СТАНДАРТОВ АУДИТА БЕЗОПАСНОСТИ КОРПОРАТИВНЫХ ИНФОРМАЦИОННЫХ СИСТЕМ

Малявка О.В., Губенко Н.Е.
Донецкий национальный технический университет


Источник: Інформатика та комп'ютерні технології - 2007 / Матеріали IV науково-технічної конференції молодих учених та студентів. - Донецьк, ДонНТУ - 2008, с. 77-78.


Современные корпоративные сети имеют сложную структуру. Увеличение количества используемых системно-технических платформ и большого набора сетевых сервисов приводит к расширению списка уязвимостей и повышает требования к средствам защиты. Использование стандартных средств защиты, таких как межсетевые экраны, виртуальные частные сети, средства защиты от несанкционированного доступа является необходимым, но уже не достаточным условием построения надежной и эффективной системы информационной безопасности.

Аудит позволяет всесторонне исследовать информационную систему организации, оценить текущий уровень информационной безопасности, выявить уязвимые места в системе защиты, создать модели возможных угроз информационные системы, проверить правильность подбора и настройки средств защиты. В процессе проведения аудита выявляются технологические потоки как электронной, так и бумажной информации, топология сети, незащищенные или неправильные сетевые соединения, производится анализ настроек межсетевых экранов и других средств защиты. Результатом проведения аудита является ряд организационных документов, которые в дальнейшем могут явиться основой для построения надежной и эффективной системы защиты [1].

Аудит информационной безопасности - это системный процесс получения объективных качественных и количественных оценок текущего состояния корпоративной информационной системы в соответствии с определенными критериями информационной безопасности.

Основная задача аудита - объективно оценить текущее состояние информационной безопасности компании, а также ее адекватность поставленным целям и задачам бизнеса по увеличению эффективности и рентабельности экономической деятельности компании.

Результаты аудита позволяют построить оптимальную по эффективности и затратам систему защиты корпоративной информации, адекватную текущим задачам и целям бизнеса.

Возможные методики аудита безопасности компьютерных информационных систем.

Они являются наиболее современными стандартами в области информационной безопасности и оказывают влияние на методику проведения аудита безопасности. В соответствие с рассмотренными стандартами, обеспечение информационной безопасности в любой компании предполагает следующее.

Во-первых, определение целей обеспечения информационной безопасности компьютерных систем.

Во-вторых, создание эффективной системы управления информационной безопасностью.

В-третьих, расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия информационной безопасности заявленным целям.

В-четвертых, применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния.

В пятых, использование методик проведения аудита информационной безопасности (с обоснованной системой метрик и мер), позволяющих объективно оценить текущее состояние дел.

Аудит безопасности внешнего периметра корпоративной сети

Аудит безопасности внешнего периметра корпоративной сети позволяет получить оценку уровня защищенности информационной инфраструктуры организации от атак со стороны сети Интернет [1]. Такая оценка производится как методом эмуляции действий потенциального злоумышленника по осуществлению удаленных атак, так и путем анализа конфигурации оборудования составляющего периметр корпоративной сети.

Аудит безопасности сети целесообразно проводить в случаях:

Аудит безопасности периметра корпоративной сети проводят, решая следующие задачи:

Цена проведения аудита определяется в зависимости от количества проверяемых устройств и например, для 10 компьютеров, 1 сервера, 1 факса, 1 мини-АТС и 1 свича будет стоить около 2000 тыс. грн.

Техническая экспертиза продуктов и решений по обеспечению информационной безопасности

Вопрос выбора оптимальных решений по защите информации, учитывающих особенности конкретной организации, является актуальным для любого заказчика. Цель данной услуги – оптимизация и планирование затрат на обеспечение информационной безопасности [2].

Если у заказчика уже используются решения по обеспечению безопасности, то проводится обследование этих средств, чтобы определить соответствуют ли эти решения задачам, и насколько эффективно они используются.

Если у заказчика таких решений нет, то наши эксперты готовы оказать квалифицированную помощь в выборе этих средств и дать рекомендации по внедрению выбранных продуктов и решений.

Консультационные услуги касаются не только непосредственно средств обеспечения безопасности, но всего спектра решений, обеспечивающих безопасную и непрерывную работу информационные технологии -инфрастуктуры предприятия:

Заключение.

Изучив стандарты можно сделать вывод, что после проведении аудита состояние информационной безопасности сравнивается с неким абстрактным описанием, приводимым в стандартах.

Официальный отчет, подготовленный в результате проведения данного вида аудита, включает следующую информацию:

Литература

  1. Курило А. П. Аудит информационной безопасности. - БДЦ-пресс. 2006. - 304 с.
  2. Деднев М.А, Дыльнов Д.В. Защита информации в банковском деле и электронном бизнесе. – М.: КУДИЦ-ОБРАЗ, 2004. - 512с.

Вернуться в раздел Библиотека