Лекция: «Аудит безопасности предприятия (фирмы)»
684.50K
Category: financefinance

Лекция: «Аудит безопасности предприятия (фирмы)»

1. Лекция: «Аудит безопасности предприятия (фирмы)»

2.

Аудит
Аудит безопасности
безопасности коммерческого
коммерческого предприятия
предприятия (организации)
(организации) желательно
желательно
рассматривать
как
исключительно
внутренний
инструмент
управления,
рассматривать как исключительно внутренний инструмент управления,
исключающий
исключающий вв целях
целях конспирации
конспирации возможность
возможность предоставления
предоставления информации
информации оо
результатах
результатахего
егодеятельности
деятельностисторонним
стороннимлицам
лицамииорганизациям.
организациям.
Последовательность
Последовательностьдействий
действий проведения
проведенияаудита
аудитабезопасности
безопасностифирмы:
фирмы:
1.1.Подготовка
к
проведению
аудита
безопасности:
Подготовка к проведению аудита безопасности:
•выбор
•выборобъекта
объектааудита
аудита(фирма,
(фирма,отдельные
отдельныездания
зданияиипомещения,
помещения,отдельные
отдельныесистемы
системы
или
их
компоненты);
или их компоненты);
•составление
•составлениекоманды
командыаудиторов-экспертов;
аудиторов-экспертов;
•определение
объема
и
масштаба
•определение объема и масштабааудита
аудитаииустановление
установлениеконкретных
конкретныхсроков
сроковработы.
работы.
2.2.Проведение
аудита:
Проведение аудита:
•общий
•общийанализ
анализсостояния
состояниябезопасности
безопасностиобъекта
объектааудита;
аудита;
•регистрация,
сбор
и
проверка
статистических
•регистрация, сбор и проверка статистических данных
данных ии результатов
результатов
инструментальных
измерений
опасностей
и
угроз;
инструментальных измерений опасностей и угроз;
•оценка
•оценкарезультатов
результатовпроверки;
проверки;
•составление
отчета
•составление отчетаоорезультатах
результатахпроверки
проверкипо
поотдельным
отдельнымсоставляющим.
составляющим.
3.3.Завершение
аудита:
Завершение аудита:
•составление
•составлениеитогового
итоговогоотчета;
отчета;
•разработка
плана
мероприятий
•разработка плана мероприятий по
по устранению
устранению узких
узких мест
мест ии недостатков
недостатков вв
обеспечении
обеспечениибезопасности
безопасностифирмы.
фирмы.
Условиями
Условиямиуспешного
успешногопроведения
проведенияаудита
аудитабезопасности
безопасностиявляются:
являются:
- -активное
участие
руководства
фирмы
в
его
проведении;
активное участие руководства фирмы в его проведении;
- - объективность
объективность ии независимость
независимость аудиторов
аудиторов (экспертов),
(экспертов), их
их компетентность
компетентность ии
высокая
высокаяпрофессиональность;
профессиональность;
- -четко
структурированная
четко структурированнаяпроцедура
процедурапроверки;
проверки;
- -активная
реализация
предложенных
мер
активная реализация предложенных меробеспечения
обеспеченияииусиления
усилениябезопасности.
безопасности.

3.

Аудит
Аудит безопасности
безопасности является
является действенным
действенным инструментом
инструментом оценки
оценки
безопасности
безопасности ии управления
управления рисками.
рисками. Предотвращение
Предотвращение угроз
угроз безопасности
безопасности
означает,
означает, вв том
том числе
числе ии защиту
защиту экономических,
экономических, социальных
социальных ии
информационных
информационных интересов
интересов фирмы.
фирмы. Отсюда
Отсюда вывод,
вывод, что
что аудит
аудит
безопасности
безопасностистановится
становитсяинструментом
инструментомэкономического
экономическогоменеджмента.
менеджмента.
ВВ зависимости
зависимости от
от того,
того, кто
кто проводит
проводит аудит
аудит безопасности
безопасности -- сотрудники
сотрудники
фирмы
фирмы или
или независимая
независимая аудиторская
аудиторская компания,
компания, -- его
его также
также можно
можно разделить
разделить
на
навнутренний
внутреннийиивнешний.
внешний.
Масштабы
Масштабыаудита:
аудита:
аудит
аудитбезопасности
безопасностивсей
всейфирмы
фирмыввкомплексе;
комплексе;
аудит
аудит безопасности
безопасности отдельных
отдельных зданий
зданий ии помещений
помещений (выделенные
(выделенные
помещения);
помещения);
аудит
аудитоборудования
оборудованияиитехнических
техническихсредств
средствконкретных
конкретныхтипов
типовиивидов;
видов;
аудит
аудит отдельных
отдельных видов
видов ии направлений
направлений деятельности:
деятельности: экономической,
экономической,
экологической,
экологической,информационной,
информационной,финансовой
финансовойиит.
т.д.д.
Внутренний аудит позволяет оценить:
соблюдение законодательных требований по безопасности;
выполнение требований стандартов и норм по безопасности;
наличие узких мест в системе безопасности фирмы и спланировать работу по их
устранению;
состояние культуры безопасности в среде специалистов и сотрудников фирмы;
возможные экономические потери и нанесение ущерба в любой сфере
деятельности.

4.

Особенности
Особенности аудита:
аудита:
1.Научной
1.Научной основой
основой аудита
аудита безопасности
безопасности является
является системный
системный подход
подход кк
объекту
объекту защиты
защиты сс изучением,
изучением, выявлением
выявлением ии применением
применением
закономерностей,
закономерностей,общих
общихдля
длясистем
системтипичного
типичногоуровня.
уровня.
2.Проблемы
2.Проблемы безопасности
безопасности относятся
относятся кк числу
числу творческих
творческих задач,
задач, решаемых
решаемых
на
наоснове
основекомплексных
комплексныхподходов
подходовккрешению
решениюслабоструктурированных
слабоструктурированныхзадач
задач
ввсоциально-экономических
социально-экономическихсистемах.
системах.
3.Результативность
3.Результативность ии качество
качество аудита
аудита безопасности
безопасности зависят
зависят от
от
человека,
человека, решающего
решающего эти
эти задачи,
задачи, от
от его
его мыслительной
мыслительной деятельности.
деятельности.
Процесс
Процесс решения
решения слабоструктурированной
слабоструктурированной задачи
задачи -- это
это сложный
сложный
субъективный
субъективныйпроцесс.
процесс.
4.Результатом
4.Результатом аудита
аудита безопасности
безопасности является
является оценка
оценка соответствия
соответствия
безопасности
безопасноститребованиям,
требованиям,установленным
установленнымна
наобъекте
объектезащиты.
защиты.
5.Основой
5.Основой решения
решения слабоформализованных
слабоформализованных задач
задач является
является соответствие
соответствие
формализованной
модели
требований
безопасности
реальному
формализованной
модели
требований
безопасности
реальному
формализованному
формализованномусостоянию.
состоянию.
6.Объектом
6.Объектом исследования
исследования аудита
аудита безопасности
безопасности является
является фирма
фирма
(организация,
(организация,предприятие).
предприятие).

5.

6.

Варианты
Вариантыаудита
аудита информационной
информационнойбезопасности:
безопасности:
1.1. Комплексный
Комплексный анализ
анализ ИС
ИС предприятия
предприятия ии подсистемы
подсистемы информационной
информационной
безопасности
безопасности на
на методологическом,
методологическом, организационно-управленческом,
организационно-управленческом,
технологическом
и
техническом
уровнях.
Анализ
технологическом и техническом уровнях. Анализрисков.
рисков.
1.1.
1.1.Исследование
Исследованиеииоценка
оценкасостояния
состоянияинформационной
информационнойбезопасности
безопасностиИС
ИСии
подсистемы
подсистемыинформационной
информационнойбезопасности
безопасностипредприятия.
предприятия.
Комплексная
Комплексная оценка
оценка соответствия
соответствия типовым
типовым требованиям
требованиям РД
РД ФСТЭК
ФСТЭК РФ
РФ кк
системе
системеинформационной
информационнойбезопасности
безопасностипредприятия.
предприятия.
Комплексная
Комплексная оценка
оценка соответствия
соответствия типовым
типовым требованиям
требованиям международных
международных
стандартов
стандартовISO
ISOкксистеме
системеинформационной
информационнойбезопасности
безопасностипредприятия.
предприятия.
Комплексная
Комплексная оценка
оценка соответствия
соответствия специальных
специальных требований
требований заказчика
заказчика кк
системе
системеинформационной
информационнойбезопасности
безопасностипредприятия.
предприятия.
1.2. Работы на основе анализа рисков.
Уровень управления рисками на основе качественных оценок рисков.
Уровень управления рисками на основе количественных оценок рисков.
1.3. Инструментальные исследования.
Инструментальное исследование элементов инфраструктуры компьютерной
сети и корпоративной информационной системы на наличие уязвимостей.
Инструментальное исследование защищенности точек доступа предприятия в
Internet.
1.4. Анализ документооборота предприятия.

7.

2.2. Разработка
Разработка комплексных
комплексных рекомендаций
рекомендаций по
по методологическому,
методологическому,
организационно-управленческому,
организационно-управленческому, технологическому,
технологическому, общетехническому
общетехническому
ии программно-аппаратному
программно-аппаратному обеспечению
обеспечению режима
режима информационной
информационной
безопасности
предприятия.
безопасности предприятия.
1.Разработка
1.Разработкаконцепции
концепцииобеспечения
обеспеченияинформационной
информационнойбезопасности
безопасностипредприятия.
предприятия.
2.Разработка
корпоративной
политики
обеспечения
информационной
2.Разработка
корпоративной
политики
обеспечения
информационной
безопасности
безопасности предприятия
предприятия на
на организационно-управленческом,
организационно-управленческом, правовом,
правовом,
технологическом
технологическомиитехническом
техническомуровнях.
уровнях.
3.Разработка
3.Разработкаплана
планазащиты
защитыпредприятия
предприятиязаказчика.
заказчика.
4.Дополнительные
4.Дополнительные работы
работы по
по анализу
анализу ии созданию
созданию методологического,
методологического,
организационно-управленческого,
технологического,
инфраструктурного
организационно-управленческого,
технологического,
инфраструктурного ии
технического
технического обеспечения
обеспечения режима
режима информационной
информационной безопасности
безопасности предприятия
предприятия
заказчика.
заказчика.
3. Организационно-технологический анализ ИС предприятия.
3.1. Организационно-технологический анализ ИС предприятия.
Оценка соответствия типовым требованиям руководящих документов РФ к
системе информационной безопасности предприятия в области организационнотехнологических норм.
Анализ документооборота предприятия категории «конфиденциально» на
соответствие требованиям концепции информационной безопасности,
положению о коммерческой тайны, прочим внутренним требованиям
предприятия по обеспечению конфиденциальности информации.
Дополнительные работы по исследованию и оценке информационной
безопасности объекта.

8.

3.2.
3.2. Разработка
Разработка рекомендации
рекомендации по
по организационно-управленческому,
организационно-управленческому,
технологическому,
общетехническому
обеспечению
режима
технологическому,
общетехническому
обеспечению
режима
информационной
информационнойбезопасности
безопасностипредприятия.
предприятия.
•• Разработка
Разработка элементов
элементов концепции
концепции обеспечения
обеспечения информационной
информационной
безопасности
безопасностипредприятия.
предприятия.

Разработка
элементов
корпоративной
политики
обеспечения
Разработка
элементов
корпоративной
политики
обеспечения
информационной
безопасности
предприятия
на
организационноинформационной
безопасности
предприятия
на
организационноправленческом,
правленческом,правовом
правовомиитехнологическом
технологическомуровнях.
уровнях.
4. Экспертиза решений и проектов.
4.1. Экспертиза решений и проектов автоматизации на соответствие
требованиям по обеспечению информационной безопасности экспертнодокументальным методом.
4.2. Экспертиза проектов подсистем информационной безопасности на
соответствие требованиям по безопасности экспертно-документальным
методом.
5. Работы по анализу документооборота и поставке типовых
комплектов организационно-распорядительной документации.
5.1. Анализ документооборота предприятия категории «конфиденциально» на
соответствие требованиям концепции информационной безопасности,
положению о коммерческой тайне, прочим внутренним требованиям
предприятия по обеспечению конфиденциальности информации.
5.2.
Поставка
комплекта
типовой
организационно-распорядительной
документации в соответствии с рекомендациями корпоративной политики ИБ
предприятия на организационно-управленческом и правовом уровнях

9.

6.6.Работы,
Работы,поддерживающие
поддерживающиепрактическую
практическуюреализацию
реализациюплана
планазащиты.
защиты.
1.1. Разработка
Разработка технического
технического проекта
проекта модернизации
модернизации средств
средств защиты
защиты ИС,
ИС,
установленных
установленных уу заказчика
заказчика по
по результатам
результатам проведенного
проведенного комплексного
комплексного
аналитического
аналитическогоисследования
исследованиякорпоративной
корпоративнойсети.
сети.
2.2. Разработка
Разработка системы
системы поддержки
поддержки принятия
принятия решений
решений на
на предприятии
предприятии
заказчика
заказчика по
по обеспечению
обеспечению информационной
информационной безопасности
безопасности предприятия
предприятия на
на
основе
системных
и
программных
средств.
основе системных и программных средств.
3.3.Подготовка
Подготовкапредприятия
предприятияккаттестации.
аттестации.
•• Подготовка
Подготовка «под
«под ключ»
ключ» предприятия
предприятия кк аттестации
аттестации объектов
объектов
информатизации
заказчика
на
соответствие
требованиям
РД
РФ.
информатизации заказчика на соответствие требованиям РД РФ.
••Подготовка
Подготовкапредприятия
предприятияккаттестации
аттестацииИС
ИСна
насоответствие
соответствиетребованиям
требованиям
по
по безопасности
безопасности международных
международных стандартов
стандартов ISO
ISO при
при обеспечении
обеспечении
требований
информационной
безопасности
предприятия.
требований информационной безопасности предприятия.
4.4. Разработка
Разработка организационно-распорядительной
организационно-распорядительной ии технологической
технологической
документации.
документации.
••Разработка
Разработкарасширенного
расширенногоперечня
перечнясведений
сведенийограниченного
ограниченногораспространения
распространения
как
какчасти
частиполитики
политикибезопасности.
безопасности.
•• Разработка
Разработка пакета
пакета организационно-распорядительной
организационно-распорядительной документации
документации (ОРД)
(ОРД)
ввсоответствии
с
рекомендациями
корпоративной
политики
ИБ
предприятия
соответствии с рекомендациями корпоративной политики ИБ предприятия
на
наорганизационно-управленческом
организационно-управленческомииправовом
правовомуровнях.
уровнях.
•• Поставка
Поставка комплекта
комплекта типовой
типовой организационно-распорядительной
организационно-распорядительной
документации
документации вв соответствии
соответствии сс рекомендациями
рекомендациями корпоративной
корпоративной политики
политики
ИБ
ИБпредприятия
предприятияна
наорганизационно-управленческом
организационно-управленческомииправовом
правовомуровнях.
уровнях.

10.

7.7.Повышение
Повышениеквалификации
квалификациииипереподготовка
переподготовкаспециалистов.
специалистов.
1.1. Тренинги
Тренинги вв области
области организационно-правовой
организационно-правовой составляющей
составляющей
защиты
информации.
защиты информации.
2.2.Обучение
Обучениеосновам
основамэкономической
экономическойбезопасности.
безопасности.
3.3.Тренинги
Тренингиввобласти
областитехнологии
технологиизащиты
защитыинформации.
информации.
4.4.Тренинги
Тренингипо
поприменению
применениюпродуктов
продуктов(технических
(техническихсредств)
средств)защиты
защиты
информации.
информации.
5.5.Обучение
Обучениедействиям
действиямпри
припопытке
попыткевзлома
взломаинформационных
информационныхсистем.
систем.
6.6. Обучение
Обучение ии тренинги
тренинги по
по восстановлению
восстановлению работоспособности
работоспособности
системы
после
нарушения
штатного
режима
ее
функционирования,
системы после нарушения штатного режима ее функционирования, аа
также
такжепо
повосстановлению
восстановлениюданных
данныхиипрограмм
программиз
изрезервных
резервныхкопий.
копий.
8.8. Сопровождение
Сопровождение системы
системы информационной
информационной безопасности
безопасности после
после
проведенного
проведенного комплексного
комплексного анализа
анализа или
или анализа
анализа элементов
элементов системы
системы
ИБ
ИБпредприятия.
предприятия.
9.9.Ежегодная
Ежегоднаяпереоценка
переоценкасостояния
состоянияИБ.
ИБ.

11.

Оценка
Оценкасостояния
состояниязащищенности
защищенностипредприятия
предприятия(фирмы)
(фирмы)
Для оценки состояния защищенности фирмы выбраны основные
направления обеспечения безопасности:
1.Состав и структура службы безопасности.
2.Правовое обеспечение безопасности.
3.Организационные меры защиты.
4.Инженерно-техническое обеспечение безопасности.
5.Управление безопасностью.
В каждом направлении выделены функционально ориентированные
классы мер защиты и обеспечения безопасности, каждый из которых
наделяется условной количественной оценкой по 6-балльной шкале.
0 - полное отсутствие каких-либо мероприятий обеспечения
безопасности;
1 - отдельные несистематизированные мероприятия;
2 - отдельные мероприятия, проводимые по единому плану
обеспечения безопасности;
3 - минимальный объем мероприятий по единому плану;
4 - расширенные мероприятия по отражению вероятных угроз;
5 - полный набор мероприятий, увязанный с наращиванием мер по
отражению непредвиденных опасностей угроз.

12.

Матрица
Матрицакомплексной
комплекснойоценки
оценкисостояния
состояниябезопасности
безопасности
Классы
1. СТРУКТУРА СЛУЖБЫ БЕЗОПАСНОСТИ
1.1. Подразделение охраны
1.2. Подразделение режима
1.3. Выделенное подразделение по подбору и расстановке кадров,
допущенных к конфиденциальной информации
1.4. Подразделение специальных документов и коммерческих секретов
1.5. Подразделение инженерно-технического обеспечения безопасности
1.6. Подразделение информационно-аналитической работы
2. ПРАВОВАЯ ЗАЩИТА
2.1. Наличие требований по обеспечению безопасности в уставе
предприятия
2.2. Регламентация мер по безопасности в коллективном договоре
2.3. Регламентация мер по безопасности в правилах внутреннего
трудового распорядка
2.4. Регламентация мер безопасности в трудовом договоре
2.5. Регламентация мер безопасности в положениях структурных
подразделений
2.6. Регламентация мер безопасности в функциональных обязанностях
сотрудников
2.7. Перечень сведений, составляющих коммерческую тайну
3. ОРГАНИЗАЦИОННАЯ ЗАЩИТА
3.1. Охрана персонала
0
1
2
3
4
5

13.

3.2. Охрана материальных ценностей
3.3. Охрана финансовых ресурсов
3.4. Защита информации
3.5. Охрана зданий и помещений
3.6. Режим допуска и пребывания на объекте
3.7. Режим допуска к коммерческим секретам
3.8. Режим подбора и расстановки кадров
3.9. Мониторинг сотрудников
3.10. Мониторинг конкурентов
4. ИНЖЕНЕРНО-ТЕХНИЧЕСКАЯ ЗАЩИТА
4.1. Используются физические средства охраны
4.2. Используются технические средства контроля доступа в
помещения, здания
4.3. Используются технические средства защиты информации
4.4. Используются средства мониторинга лояльности персонала
4.5.
Используются
средства
активного
противодействия
электронному шпионажу
5. УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ
5.1. Наличие совета по безопасности
5.2. Текущее планирование деятельности СБ
5.3. Планы по обеспечению безопасности в кризисных ситуациях
5.4. Взаимодействие с другими СБ и органами МВД

14.

КЛАССИФИКАТОР ОБЕСПЕЧЕННОСТИ:
ОБЕСПЕЧЕННОСТИ
Правовая:
1.
Положение
2.
Инструкция
3.
Руководство
4.
Наставление
5.
Рекомендации
Организационно-функциональная 1:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
Система
охранной
и
пожарной
сигнализации
Система телевидения и наблюдения
Система ограничения доступа
Система
информационной
безопасности
Система
сбора,
накопления
и
обработки информации
Система
детективной
и
аналитической работы
Система
противодействия
промышленному шпионажу
Система связи и оповещения
Система бесперебойного питания
Система
вспомогательного
обеспечения
Система дежурного освещения
Организационнофункциональная 2:
1.Средства охраны
2.Средства телевизионного
наблюдения
3.Средства контроля доступа
4.Средства связи
5.Средства защиты документов
6.Средства акустического контроля
7.Средства радиоконтроля
8.Аппаратура поиска каналов утечки
информации
9.Оборудование защиты переговоров
10.Средства защиты информации от
разглашения
11.Средства защиты информации от
утечки
12.Средства защиты информации от
НСД
13.Средства криптографической
защиты информации
14.Антитеррористические средства
15.Досмотровое оборудование
English     Русский Rules