Подякувати Студентському архіву довільною сумою
Admin
26.02.2023 12:38
Дякуємо, що користуєтесь нашим архівом!
Проведення аудиту системи менеджменту інформаційної безпеки
Інформація про навчальний заклад
ВУЗ:
Національний університет Львівська політехніка
Інститут:
ІКТА
Факультет:
Не вказано
Кафедра:
Не вказано
Інформація про роботу
Рік:
2012
Тип роботи:
Курсова робота
Предмет:
Інші
Частина тексту файла (без зображень, графіків і формул):
НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»
ІКТА
кафедра ЗІ
Курсова робота
на тему:
«Проведення аудиту системи менеджменту інформаційної безпеки»
План
Вступ.
Підготовка аудитора.
Вступна нарада.
Документи на аудит.
Методика аудиту.
Оцінка аудиту, звітність.
Висновок.
Література.
1.Вступ
Аудит інформаційної безпеки – це системний процес одержання об'єктивних якісних і кількісних оцінок поточного стану безпеки інформаційної системи або інформаційно-телекомунікаційної системи, комплексна оцінка рівня інформаційної безпеки замовника з урахуванням трьох основних факторів: персоналу, процесів та технологій. Порівняльний аналіз поточного стану інформаційної системи, що визначається за підсумками анкетування, з тестовою моделлю вимог стандарту ISO 27001.
Проведення аудиту та надання інших аудиторських послуг здійснюється аудиторами, аудиторськими фірмами, які набули права на здійснення аудиторської діяльності відповідно до Закону України «Про аудиторську діяльність».
Аудитором може бути фізична особа, яка має сертифікат, що визначає її кваліфікаційну придатність на заняття аудиторською діяльністю на території України.
Згідно міжнародного стандарту ISO/IEC 27006 -2008 керівництво органу сертифікації повинно провести необхідні процедури та ресурси для визначення компетентності окремих аудиторів щодо завдань, які вони повинні виконати в області сертифікації, в рамках якої вони діють. Компетентність аудиторів може бути встановлена на основі підтвердженого досвіду чи спеціального навчання або шляхом співбесіди.
2. Підготовка аудитора
Підготовка аудитора полягає у його обізнаності в сфері проведення сертифікації.
Для якісної оцінки аудитор повинен бути перевірений на:
- знання стандарту СМІБ та інших відповідних нормативних документів;
розуміння питань інформаційної безпеки;
- розуміння оцінки ризику та менеджменту ризику з точки зору діяльності;
- технічні знання про діяльність, що підлягає аудиту;
- знання систем менеджменту;
- загальне знання нормативних вимог щодо СМІБ;;
- розуміння принципів аудиту, заснованих на ИСО 19011:2002;
- знання аналізу ефективності СМІБ та вимірювання ефективності засобів контролю.
При необхідності аудиторська група може доповнятись технічними експертами, які повинні володіти спеціальними знаннями в області технології, що підлягає аудиту. Необхідно зазначити, що технічних експертів не можна використовувати замість аудиторів СМІБ. але вони можуть консультувати аудиторів з питань технічної адекватності в контексті системи менеджменту, яка піддається аудиту.
3. Вступна нарада
На вступній нараді оголошуються етапи робіт,які проводитиме
аудитор ,а саме:
· обстеження об’єкту сертифікації;
· аналіз інформаційних ризиків;
· обробка даних та підготовка рекомендацій;
· складення та надання звіту про аудит.
Встановлюються області проведення аудиту,інформація до якої аудитор має право доступу,термін проведення сертифікації.
4. Документи на аудит
Орган сертифікації повинен надати кожній зі своїх організацій-клієнтів, чия СМІБ сертифікується, документи з сертифікації, як лист або сертифікат, підписаний уповноваженою посадовою особою. Для організації-клієнта і кожної з її сертифікованих інформаційних систем ці документи повинні визначати область дії сертифікації та складу стандарту ISO / IEC 27001 по СМІБ , за яким ця СМІБ сертифікована. Крім того, в сертифікаті має бути посилання на певну версію Положення про застосування.
Список сертифікованих клієнтів. Застосовуються вимоги ISO / IEC 17021:2006. Посилання на сертифікацію та використання маркування.
Застосовуються вимоги ISO / IEC 17021:2006. Крім того, застосовуються ще деякі специфічні для СМІБ вимоги і положення.
Доступ до документів організації
Перед проведенням аудиту орган сертифікації повинен зробити запит організації-клієнта про наявність документів про СМІБ , які не можуть бути надані для перевірки аудиторської групи, так як вони містять конфіденційну або секретну інформацію. Орган сертифікації повинен визначити чи може бути адекватним проведення аудиту СМІБ при відсутності цих документів. Якщо орган сертифікації приходить до висновку, що неможливо провести аудит СМІБ адекватно без перевірки конфіденційних або секретних документів, він повинен попередити організацію-клієнта, що сертифікаційний аудит не може бути проведений до тих пір, доки не буде забезпечений доступ до цих документів. Обмін інформацією між органом сертифікації і його клієнтами застосовуються вимоги ISO / IEC 17021:2006.
5.Методика аудиту
Орган сертифікації повинен передбачати процедури, що дозволяють вимагати від організації-клієнта можливість продемонструвати, що внутрішні аудити СМІБ сплановані, а програма і процедури їх проведення стають чинними. Процедури органу сертифікації не повинні припускати особливого способу реалізації СМІБ або особливого формату для документації і записів. Процедури сертифікації повинні концентруватися на встановленні того, що СМІБ організації-клієнта відповідатиме вимогам стандарту ISO / IEC 27001, а також політиці і цілям організації-клієнта.
План аудиту має визначати методи аудиту із застосуванням мережевих технологій, які будуть при необхідності під час аудиту.
Примітка
Методи аудиту із застосуванням мережевих технологій можуть включати, наприклад, телеконференції, Інтернет-наради, інтерактивний зв'язок на базі Інтернет-технологій та віддалений електронний доступ до документації СМІБ та / або процесам СМІБ. Метою застосування таких методів має бути підвищення ефективності та продуктивності аудиту, а також підтримання цілісності процесу аудиту.
6. Оцінка аудиту, звітність
(ведення записів,невідповідності,)
Орган сертифікації може використовувати різні процедури, пов'язані з складанням звітів, що відповідають його потребам, але ці процедури, як мінімум, повинні забезпечити наступне: до того, як аудиторська група покине територію організації-клієнта, проводиться зустріч аудиторської групи та керівництва організації-клієнта, в ході якої аудиторська група:
- в письмовій або усній формі повідомляє про відповідність СМІБ організації-клієнта визначеним вимогам сертифікації;
- надає можливість представникам організації-клієнта задавати питання про зроблені висновки і про підстави для них;
- подає до органу сертифікації звіт про результати аудиту щодо відповідності СМІБ організації-клієнта всім вимогам сертифікації.
У звіті про результати аудиту повинна бути представлена наступна інформація:
- короткий аналіз документів;
- аналіз ступеня ризику інформаційної безпеки організації-клієнта;
- загальний час, витрачений на аудит, і докладний опис часу, витраченого на аналіз документів, оцінку аналізу ризиків, аудит на місцях та складання звітів про результати аудиту: питання аудиту, основна причина їхнього вибору і застосована методологія.
Звіт про результати аудиту, представлений органу сертифікації, повинен бути достатньо докладним для спрощення прийняття рішення про сертифікацію та його підтримку і повинен містити:
- області, включені в аудит (наприклад, вимоги сертифікації та перевірені об'єкти), включаючи значущі контрольні записи і використані методи аудиту;
- спостереження як позитивного (наприклад, що заслуговують уваги особливості), так і негативного (наприклад, потенційні невідповідності) характеру;
- подробиці виявлених невідповідностей, підтверджені об'єктивними даними, і посилання цих невідповідностей на відповідні вимоги стандарту ISO / IEC 27001 по СМІБ або інші документи, необхідні для сертифікації:
Складовою частиною звіту про результати аудиту можуть бути заповнені опитувальні листи, переліки контрольних питань, результати спостереження, журнали реєстрації або зауваження аудитора. У випадку використання відповідних методів ці документи мають подаватися до органу сертифікації як свідчення для підтримки рішення про сертифікацію. Інформацію по вибірках, оцінених під час аудиту, слід включити в звіт про результати аудиту або в іншу документацію по сертифікації.
У звіті повинна розглядатися правильність внутрішньої структури і процедур, прийнятих організацією-клієнтом для забезпечення довіри до СМІБ.
На додаток до вимог, що пред'являються до складання звітів ISO / IEC 17021:2006. звіт повинен містити :
- ступінь довіри до внутрішніх аудитів СМІБ і перевіркам з боку керівництва;
- короткий виклад найбільш важливих спостережень як позитивного, так і негативного характеру,що стосуються впровадження та результативності СМІБ;
- рекомендацію аудиторської групи щодо того, чи слід сертифікувати СМІБ організації-клієнта з інформацією для обгрунтування цієї рекомендації.
7. Висновок
Проведення перевірки системи менеджменту є надзвичайно необхідним процесом, адже від дозволяє дослідити стан СМІБ. Виявити недоліки, які необхідно врахувати і виправити для позитивного функціонування.
Але підходити до проведення перевірки потрібно дуже ретельно. Необхідно підбирати кваліфікованих аудиторів, перевіряти їх рівень знань. Обирати оптимальні етапи для проведення перевірки та надання всіх необхідних умов для якісної сертифікації об’єкта. Уважно слідкувати за веденням документації. А також робити висновки та реалізовувати їх у СМІБ.
Проведення аудиту також є обов’язковим згідно законодавства України.
Список літератури
http://search.ligazakon.ua/l_doc2.nsf/link1/T312500.html
Закон України «Про аудиторську діяльність» (від 7 липня 2011 р.)
http://forum.ptraffer.ru/viewtopic.php?f=22&t=378
Стандарт ISO/IEC 27006-2008
http://www.uss.gov.ua/index.php/audit-of-information-security.html
http://eiid.kiev.ua/oglyady/audyt-informacijnoji-bezpeky-osnova-efektyvnogo-zaxystu-pidpryyemstva/
17.03.2013 13:03-
Ділись своїми роботами та отримуй миттєві бонуси!
0%
Оголошення від адміністратора