Организационно-административное обеспечение информационной безопасности
Оценка рисков
Что делать, когда политику безопасности нарушают
Толкование политики безопасности
Распределение ответственности за информационную безопасность
Независимая ревизия состояния информационной безопасности
Отчетность по ресурсам
Отражение мер безопасности в должностных инструкциях
Сообщение о сбоях программного обеспечения
Возникновение и история развития проблемы защиты информации
Основные положения теории нечетких множеств
Неформальные методы оценивания
Неформальные методы поиска оптимальных решений
Угрозы безопасности автоматизированной системы обработки информации
Причины, виды и каналы утечки информации
Модели безопасности
Модель пятимерного пространства безопасности Хардстона
Средства разграничения доступа
ISACA
Практика проведения аудита КИС
Пути снижения рисков
Потенциальные угрозы
Обязательные правила
Пути снижения рисков
Использование средств удаленной диагностики
Перечень правовых актов Республики Беларусь, касающихся информационной безопасности
Навигация
ISACA
Интеллектуальные компьютерные технологии защиты информации
214673
знака
1
таблица
8
изображений
3.2.2 ISACA
Она основана в 1969 году и по состоянию на 2002 год объединяла более 23000 членов из более чем 100 стран. Ассоциация ISACA координирует деятельность более чем 26000 аудиторов информационных систем (CISA - Certified Information System Auditor и CISM - Certified Information Security Manager), имеет свою систему стандартов в этой области, ведет исследовательские работы, занимается подготовкой кадров, проводит конференции.
Основная декларируемая цель ассоциации - это исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами информационных систем.
В помощь профессиональным аудиторам, руководителям IT подразделений, администраторам и заинтересованным пользователям ассоциацией ISACA и привлеченными специалистами из ведущих мировых консалтинговых компаний был разработан стандарт CoBiT (Control Objectives for Information and Related Technology).
3.2.3 CoBiT
CoBiT - открытый стандарт, первое издание которого в 1996 году было продано в 98 странах по всему миру и облегчило работу профессиональных аудиторов в сфере информационных технологий. Стандарт связывает информационные технологии и действия аудиторов, объединяет и согласовывает многие другие стандарты в единый ресурс, позволяющий авторитетно, на современном уровне получить представление и управлять целями и задачами, решаемыми КИС. CoBiT учитывает все особенности информационных систем любого масштаба и сложности.
Главное правило, положенное в основу CoBiT, следующее: ресурсы КИС должны управляться набором естественно сгруппированных процессов для обеспечения организации необходимой и надежной информацией (рис. 3.1).
Рис. 3.1. Структура стандарта CoBIT
Теперь немного разъяснений по поводу того, какие ресурсы и критерии их оценки используются в стандарте CoBiT:
Трудовые ресурсы— под трудовыми ресурсами понимаются не только сотрудники организации, но также руководство организации и контрактный персонал. Рассматриваются навыки штата, понимание задач и производительность работы.
Приложения - прикладное программное обеспечение, используемое в работе организации. Технологии - операционные системы, базы данных, системы управления и т.д. Оборудование - все аппаратные средства КИС организации, с учетом их обслуживания.
Данные - данные в самом широком смысле - внешние и внутренние, структурированные и неструктурированные, графические, звуковые, мультимедиа и т.д.
Все эти ресурсы оцениваются CoBiT на каждом из этапов построения или аудита КИС по следующим критериям:
Эффективность - критерий, определяющий уместность и соответствие информации задачам бизнеса.
Технический уровень - критерий соответствия стандартам и инструкциям.
Безопасность - защита информации.
Целостность - точность и законченность информации.
Пригодность - доступность информации требуемым бизнес-процессам в настоящем и будущем. А также защита необходимых и сопутствующих ресурсов.
Согласованность - исполнение законов, инструкций и договоренностей, влияющих на бизнес-процесс, то есть внешние требования к бизнесу.
Надежность - соответствие информации, предоставляемой руководству организации, осуществление соответствующего управления финансированием и согласованность должностных обязанностей.
CoBiT базируется на стандартах аудита ISA и ISACF, но включает и другие международные стандарты, в том числе принимает во внимание утвержденные ранее стандарты и нормативные документы:
• технические стандарты;
• кодексы;
• критерии КИС и описание процессов;
• профессиональные стандарты;
• требования и рекомендации;
• требования к банковским услугам, системам электронной торговли и производству.
Применение стандарта CoBiT возможно как для проведения аудита КИС организации, так и для изначального проектирования КИС. Обычный вариант прямой и обратной задач. Если в первом случае -это соответствие текущего состояния КИС лучшей практике аналогичных организаций и предприятий, то в другом - изначально верный проект и, как следствие, по окончании проектирования - КИС, стремящаяся к идеалу. В дальнейшем мы будем рассматривать аудит КИС.
Несмотря на размер разработчики старались, чтобы стандарт был прагматичным и отвечал потребностям бизнеса, при этом сохраняя независимость от конкретных производителей, технологий и платформ.
На базовой блок-схеме CoBiT отражена последовательность, состав и взаимосвязь базовых групп. Бизнес-процессы (в верхней части схемы) предъявляют свои требования к ресурсам КИС, которые анализируются с использованием критериев оценки CoBiT на всех этапах построения и проведения аудита.
Четыре базовые группы (домена) содержат в себе тридцать четыре подгруппы, которые, в свою очередь состоят из трехсот двух объектов контроля. Объекты контроля предоставляют аудитору всю достоверную и актуальную информацию о текущем состоянии КИС.
Отличительные черты CoBiT:
• Большая зона охвата (все задачи от стратегического планирования и основополагающих документов до анализа работы отдельных элементов КИС).
• Перекрестный аудит (перекрывающиеся зоны проверки критически важных элементов).
• Адаптируемый, наращиваемый стандарт.
Рассмотрим преимущества CoBiT перед многочисленными западными разработками. Прежде всего, это его достаточность - наряду с возможностью относительно легкой адаптации к особенностям КИС. И, конечно же, то, что стандарт легко масштабируется и наращивается. CoBiT позволяет использовать любые разработки производителей аппаратно-программного обеспечения и анализировать полученные данные не изменяя общие подходы и собственную структуру.
Похожие работы
... (о чем речь пойдет далее). Анализ действующего Уголовного кодекса РФ показывает, что законодатель выделил из всего объема информационных отношений как подлежащие специальной охране отношения, возникающие в области компьютерной информации. В главу о преступлениях в сфере компьютерной информации введены термины и понятия, которых ранее не было не только в уголовно-правовой терминологии, но и в ...
... эта система будет неполной без интегрирования с ней системы видеонаблюдения, которая обеспечит визуальный просмотр времени и попыток несанкционированного доступа к информации и обеспечит идентификацию личности нарушителя. 2.4 Разработка системы видеонаблюдения объекта защиты Целевыми задачами видеоконтроля объекта защиты является: 1) обнаружение: - общее наблюдение за обстановкой; - ...
... техникой всех отраслей человеческой деятельности остро ставит вопрос о технологическом обеспечении информационных систем и технологий. Технологическое обеспечение реализует информационные процессы в автоматизированных системах организационного управления с помощью ЭВМ и других технических средств. Разработка технологического обеспечения требует учета особенностей структуры экономических систем. ...
... питания, уничтожители бумажных документов Заключение Цель курсового исследования достигнута путём реализации поставленных задач. В результате проведённого исследования по теме "Методы защиты информации в телекоммуникационных сетях" можно сделать ряд выводов: Проблемы, связанные с повышением безопасности информационной сферы, являются сложными, многоплановыми и взаимосвязанными. Они ...
0 комментариев