Организационно-административное обеспечение информационной безопасности
Оценка рисков
Что делать, когда политику безопасности нарушают
Толкование политики безопасности
Распределение ответственности за информационную безопасность
Независимая ревизия состояния информационной безопасности
Отчетность по ресурсам
Отражение мер безопасности в должностных инструкциях
Сообщение о сбоях программного обеспечения
Возникновение и история развития проблемы защиты информации
Основные положения теории нечетких множеств
Неформальные методы оценивания
Неформальные методы поиска оптимальных решений
Угрозы безопасности автоматизированной системы обработки информации
Причины, виды и каналы утечки информации
Модели безопасности
Модель пятимерного пространства безопасности Хардстона
Средства разграничения доступа
ISACA
Практика проведения аудита КИС
Пути снижения рисков
Потенциальные угрозы
Обязательные правила
Пути снижения рисков
Использование средств удаленной диагностики
Перечень правовых актов Республики Беларусь, касающихся информационной безопасности
Навигация
Практика проведения аудита КИС
Интеллектуальные компьютерные технологии защиты информации
214673
знака
1
таблица
8
изображений
3.2.4 Практика проведения аудита КИС
Представленная на рис. 3.2. блок-схема отражает, хотя и не в деталях, ключевые точки проведения аудита КИС. Рассмотрим их подробнее.
На этапе подготовки и подписания исходно-разрешительной документации определяются границы проведения аудита. Границы аудита определяются критическими точками КИС (элементами КИС), в которых наиболее часто возникают проблемные ситуации.
На основании результатов предварительного аудита всей КИС (в первом приближении) проводится углубленный аудит выявленных проблем.
В это же время создается команда проведения аудита, определяются ответственные лица со стороны заказчика. Создается и согласовывается необходимая документация.
Далее проводится сбор информации о текущем состоянии КИС с применением стандарта CoBiT, объекты контроля которого получают информацию обо всех нюансах функционирования КИС как в двоичной форме (Да/Нет), так и форме развернутых отчетов. Детальность информации определяется на этапе разработки исходно-разрешительной документации. Существует определенный оптимум между затратами (временными, стоимостными и т.д.) на получение информации и ее важностью и актуальностью.
Рис. 3.2. Общая последовательность проведения аудита КИС
Проведение анализа - наиболее ответственная часть проведения аудита КИС. Использование при анализе недостоверных, устаревших данных недопустимо, поэтому необходимо уточнение данных, углубленный сбор информации. Требования к проведению анализа определяются на этапе сбора информации. Методики анализа информации существуют в стандарте CoBiT, но если их не хватает не возбраняется использовать разрешенные ISACA разработки других компаний.
Результаты проведенного анализа являются базой для выработки рекомендаций, которые после предварительного согласования с заказчиком должны быть проверены на выполнимость и актуальность с учётом рисков внедрения.
Контроль выполнения рекомендаций - немаловажный этап, требующий непрерывного отслеживания представителями консалтинговой компании хода выполнения рекомендаций.
На этапе разработки дополнительной документации проводится работа, направленная на создание документов, отсутствие или недочеты в которых могут вызвать сбои в работе КИС. Например, отдельное углубленное рассмотрение вопросов обеспечения безопасности КИС.
Постоянное проведение аудита гарантирует стабильность функционирования КИС, поэтому создание плана-графика проведения последующих проверок является одним из результатов профессионального аудита.
3.2.5 Результаты проведения аудита КИС
Результаты аудита КИС организации можно разделить на три основные группы:
• Организационные - планирование, управление, документооборот функционирования КИС.
• Технические - сбои, неисправности, оптимизация работы элементов КИС, непрерывное обслуживание, создание инфраструктуры и т.д.
• Методологические - подходы к решению проблемных ситуаций, управлению и контролю, общая упорядоченность и структуризация.
Проведенный аудит позволит обоснованно создать следующие документы:
• Долгосрочный план развития КИС.
• Политика безопасности КИС организации.
• Методология работы и доводки КИС организации.
План восстановления КИС в чрезвычайной ситуации.
3.3 Управление паролями
Доступ сотрудников к данным или иным источникам в системе обычно контролируется комбинацией идентификаторов пользователей системы и паролей. Для того чтобы такой подход был эффективным, необходимо поддерживать целостность пароля в течение всего периода его действия. Если идентификатор пользователя не предназначен для использования более, чем одним лицом (нежелательная ситуация, которая снимает ответственность), пароль должен быть известен только владельцу идентификатора пользователя, к которому он относится.
Система или сеть будет подвергаться опасности, если пароль и, следовательно, идентификатор пользователя компрометируются. Серьезность такой опасности зависит от:
• функций, доступных данному идентификатору пользователя - чем привилегированнее идентификатор, тем больше угроза;
• степени уязвимости данных, к которым может быть получен доступ.
Возможность использования компьютера или терминала может быть ограничена паролем включения питания, который не позволяет пользоваться компьютером, пока не будет введен правильный пароль. Screen savers (первоначально предназначавшиеся для предохранения экранов от пережога во время неактивного использования) обычно имеют парольные средства для предотвращения несанкционированного доступа к машине в отсутствие оператора. Эти средства могут быть полезными для предотвращения случайного несанкционированного доступа, но зачастую их можно обойти, имея достаточные технические знания.
Пароли наиболее часто компрометируются из-за отсутствия должной осторожности. Они также могут компрометироваться посредством некоторой формы изощренной атаки с использованием программного обеспечения для сборки паролей.
3.3.1 Потенциальные угрозы Потеря конфиденциальности вследствие:
• несанкционированного доступа к данным из-за потери защиты пароля.
• Потеря целостности вследствие:
• несанкционированного изменения системы и/или ее данных из-за потери защиты пароля.Потеря доступности вследствие:
• незапоминания пароля;
• неправильного или несанкционированного изменения пароля.
Похожие работы
... (о чем речь пойдет далее). Анализ действующего Уголовного кодекса РФ показывает, что законодатель выделил из всего объема информационных отношений как подлежащие специальной охране отношения, возникающие в области компьютерной информации. В главу о преступлениях в сфере компьютерной информации введены термины и понятия, которых ранее не было не только в уголовно-правовой терминологии, но и в ...
... эта система будет неполной без интегрирования с ней системы видеонаблюдения, которая обеспечит визуальный просмотр времени и попыток несанкционированного доступа к информации и обеспечит идентификацию личности нарушителя. 2.4 Разработка системы видеонаблюдения объекта защиты Целевыми задачами видеоконтроля объекта защиты является: 1) обнаружение: - общее наблюдение за обстановкой; - ...
... техникой всех отраслей человеческой деятельности остро ставит вопрос о технологическом обеспечении информационных систем и технологий. Технологическое обеспечение реализует информационные процессы в автоматизированных системах организационного управления с помощью ЭВМ и других технических средств. Разработка технологического обеспечения требует учета особенностей структуры экономических систем. ...
... питания, уничтожители бумажных документов Заключение Цель курсового исследования достигнута путём реализации поставленных задач. В результате проведённого исследования по теме "Методы защиты информации в телекоммуникационных сетях" можно сделать ряд выводов: Проблемы, связанные с повышением безопасности информационной сферы, являются сложными, многоплановыми и взаимосвязанными. Они ...
0 комментариев