Аудит безопасности и создание структуры безопасности ИС
Как известно, аудит представляет собой независимую экспертизу отдельных областей функционирования организации.
Различают внешний и внутренний аудит. Внешний аудит - это, как правило, разовое мероприятие, проводимое по инициативе руководства организации или акционеров. Внешний аудит рекомендуется (а для ряда финансовых учреждений и акционерных обществ требуется) проводить регулярно.
Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании документа, обычно носящего название "Положение о внутреннем аудите", и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации. Аудит безопасности информационных систем является одной из составляющих ИТ-аудита.
Целями проведения аудита безопасности являются:
- анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС;
- оценка текущего уровня защищенности ИС;
- локализация узких мест в системе защиты ИС;
- оценка соответствия ИС существующим стандартам в области информационной безопасности;
- выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.
Этим, пожалуй, и исчерпывается набор целей проведения аудита безопасности, но только в том случае, если речь идет о внешнем аудите.