Правила проведения внутреннего аудита информационной безопасности информационной системы «Система экстренного вызова при авариях и катастрофах на базе технологий gps/глонасс, umts/gsm»


План проведения внутреннего аудита



жүктеу/скачать 82,41 Kb.
бет12/26
Дата06.01.2022
өлшемі82,41 Kb.
#12045
түріПравила
1   ...   8   9   10   11   12   13   14   15   ...   26
План проведения внутреннего аудита

на 20___ год


Проверяемое подразделение

Тема проверки

ФИО, ответственного за проведение внутренней проверки

Месяцы года

1

2

3

4

5

6

7

8

9

10

11

12
















































































































































































































































































Согласованно ______________ __________________ ________________

(должность) подпись ФИО дата
Приложение 2

к Правилам

проведения внутреннего аудита информационной безопасности

информационной системы

«Система экстренного вызова при авариях и катастрофах на базе технологий GPS/ГЛОНАСС, UMTS/GSM»




«УТВЕРЖДАЮ»




Руководитель ДТОО «ИКТТ»




________________ Д. Ахмедов

«___» _______ 20__г.


Программа проведения внутреннего аудита

________________________________________

наименование аудиторской проверки


Проверяемое подразделение:__________________________

ФИО руководителя подразделения:_____________________

Основание для проверки:

Дата и время проведения проверки:

Цель проверки:

Критерии аудита:

Сведения о членах группы внутренних аудитов

Состав группы

ФИО

Должность

Подразделение

Руководитель группы ВА










Внутренний аудитор










Внутренний аудитор










Консультант (при необходимости)










Сведения о представителях проверяемого подразделения

ФИО

Должность

За что отвечает




























Проверяемые разделы НТД:

Вопросы:













Проверяемые документы:

Срок сдачи отчета о проверке:

Руководитель группы __________________ ___________________________

подпись, дата инициалы, фамилия

Приложение 3

к Правилам

проведения внутреннего аудита информационной безопасности

информационной системы

«Система экстренного вызова при авариях и катастрофах на базе технологий GPS/ГЛОНАСС, UMTS/GSM»


Методические рекомендации для проведения аудита ИБ
Сбор исходных данных

Качество аудита безопасности во многом зависит от полноты и точности информации, полученной в процессе сбора исходных данных. Поэтому в нее необходимо включить следующее: организационно-распорядительную документацию, касающуюся вопросов информационной безопасности, сведения о программно-аппаратном обеспечении ИС, информацию о средствах защиты, установленных в ИС, и т. д. Более подробный перечень исходных данных представлен в табл. 1.



Таблица 1. Перечень исходных данных, необходимых для аудита безопасности

Тип информации

Состав исходных данных

Организационно-распорядительная документация по вопросам информационной безопасности

  • политика информационной безопасности ИС;
    руководящие документы (приказы, распоряжения, инструкции) по вопросам хранения, порядка доступа и передачи информации;
    регламенты работы пользователей с информационными ресурсами ИС

Информация об аппаратном обеспечении хостов

  • перечень серверов, рабочих станций и коммуникационного оборудования, установленного в ИС;

  • аппаратные конфигурации серверов и рабочих станций;

  • сведения о периферийном оборудовании

Информация об общесистемном ПО

  • сведения об ОС, установленных на рабочих станциях и серверах;

  • сведения о СУБД, установленных в ИС

Информация о прикладном ПО

  • перечень прикладного ПО общего и специального назначения, установленного в ИС;

  • описание функциональных задач, решаемых с помощью прикладного ПО

Информация о средствах защиты, установленных в ИС

  • производитель средства защиты;

  • конфигурационные настройки средства защиты;

  • схема установки средства защиты

Информация о топологии ИС

  • карта локальной вычислительной сети, включая схему распределения серверов и рабочих станций по сегментам сети;

  • типы каналов связи, используемых в ИС;

  • используемые в ИС сетевые протоколы;

  • схема информационных потоков ИС

Для сбора исходных данных применяются следующие методы:

  1. интервьюирование сотрудников заказчика, обладающих необходимой информацией. Интервью обычно проводятся как с техническими специалистами, так и с руководителями подразделений. Перечень вопросов, которые планируется обсудить в процессе интервью, согласовывается заранее.

  2. предоставление опросных листов по определенной тематике, которые сотрудники заказчика заполняют самостоятельно. В тех случаях, когда представленные материалы не полностью отвечают на необходимые вопросы, проводится дополнительное интервьюирование.

  3. анализ организационно-технической документации.

  4. аудит на месте – проверка исполнения требований ИБ в настройках ОС, ИС, сетевых устройств и т.д.

Метод сбора и анализа действующей документации заключается в сборе и анализе:

    1. технической документации в областях обеспечения и управления ИБ (проектная, рабочая, эксплуатационная), описывающей обследуемые объекты, системы обеспечения обработки данных, ИТ-инфраструктуру, системы обеспечения и управления ИБ, и используемые технические и программные СЗИ;

    2. нормативно-методической и организационно-распорядительной документации (положения, регламенты, инструкции), в том числе устанавливающих требования к ИС и действующих политик ИБ, регламентирующих:

- порядок администрирования и поддержки работоспособности ИТ-инфраструктуры, систем обеспечения и управления ИБ,

- регламентирующей порядок обработки и защиты информации у Заказчика,

- регламентирующей действия персонала для определения степени участия сотрудников в процессах обеспечения и управления ИБ.

В ходе анализа документации анализируются организационно-распорядительные и нормативно-правовые документы в области защиты информации на их соответствие следующим критериям:



  • комплектность (полнота) и достаточность;

  • соответствие реальным условиям эксплуатации;

  • соответствие реальным процессам обработки информации;

  • соответствие действующему законодательству РК, национальным стандартам СТ РК 27001-2015, СТ РК 27002-2009.

Задача анализа документации заключается также в выявлении уязвимостей в применяемых организационных мерах обеспечения и управления ИБ, и включает подзадачи:

  • изучение и оценка процессов систем обеспечения и управления ИБ, включая, но, не ограничиваясь, процессами разработки и ввода в действие политик безопасности, управления событиями и инцидентами, ознакомления и обучения пользователей и т.п.;

  • анализ политик ИБ;

  • анализ правил и инструкций, регламентирующих использование средств и методов защиты информации (по организации парольной защиты, антивирусной защиты, резервного копирования, доступа к информации и ресурсам сети Интернет, и др.);

  • анализ организационной структуры обслуживающего персонала и должностных инструкций.

При обсуждении некоторых вопросов может быть запрошено документальное подтверждение. Так, если доступ к ИС предоставляется по заявкам – необходимо запросить форму заявки.

жүктеу/скачать 82,41 Kb.

Достарыңызбен бөлісу:
1   ...   8   9   10   11   12   13   14   15   ...   26



©emirsaba.org 2024
әкімшілігінің қараңыз
    Басты бет
Lessons
Curriculum vitae
Documents