В тесте 4 курса "Аудит ИТ-инфраструктуры" замечены ошибки в ответах: 1) Для оценки мехнизма управления Cobit рекомендуется использовать: классическую модель аудиторского цикла (лекция 6 этого курса). Однако этот ответ отмечен как неправильный. 2)Логическим завершением этапа планирования аудита ИТ является : разработка стратегической модели аудиторского исследования (далее в этом же курсе, но не в лекции 4, к которой дан этот вопрос). Ответ отмечен как ошибочный. Вопрос: как проходить тест, если ответы, взятые из этого курса, являются ошибочными? P.S. В тексте курса большое количество ошибок пунктуации (отсутствуют запятые), описок. |
Принципы проведения аудита информационных технологий
Оценка соответствия требованиям стандартов.
В случае проведения аудита безопасности на соответствие требованиям стандарта, аудитор, полагаясь на свой опыт, оценивает применимость требований стандарта к обследуемой ИС и ее соответствие этим требованиям. Данные о соответствии различных областей функционирования ИС требованиям стандарта, обычно, представляются в табличной форме. Из таблицы видно, какие требования безопасности в системе не реализованы. Исходя из этого, делаются выводы о соответствии обследуемой ИС требованиям стандарта и даются рекомендации по реализации в системе механизмов безопасности, позволяющих обеспечить такое соответствие.
Выработка рекомендаций
- Рекомендации, выдаваемые аудитором по результатам анализа состояния ИС, определяются используемым подходом, особенностями обследуемой ИС, состоянием дел с информационной безопасностью и степенью детализации, используемой при проведении аудита.
- В любом случае, рекомендации аудитора должны быть конкретными и применимыми к данной ИС, экономически обоснованными, аргументированными (подкрепленными результатами анализа) и отсортированными по степени важности. При этом мероприятия по обеспечению защиты организационного уровня практически всегда имеют приоритет над конкретными программно-техническими методами защиты.
- В то же время, наивно ожидать от аудитора, в качестве результата проведения аудита, выдачи технического проекта подсистемы информационной безопасности, либо детальных рекомендаций по внедрению конкретных программно технических средств защиты информации. Это требует более детальной проработки конкретных вопросов организации защиты, хотя, внутренние аудиторы могут принимать в этих работах самое активное участие.
Структура отчета по результатам аудита и анализу рисков
1. Вводная часть
1.1. Введение
1.2. Цели и задачи проведения аудита
1.3. Описание ИС
1.3.1. Назначение и основные функции системы
1.3.2. Группы задач, решаемых в системе
1.3.3. Классификация пользователей ИС
1.3.4. Организационная структура обслуживающего персонала ИС
1.3.5. Структура и состав комплекса программно-технических средств ИС
1.3.6. Виды информационных ресурсов, хранимых и обрабатываемых в системе
1.3.7. Структура информационных потоков
1.3.8. Характеристика каналов взаимодействия с другими системами и точек входа
1.4. Границы проведения аудита
1.4.1. Компоненты и подсистемы ИС, попадающие в границы проведения аудита
1.4.2. Размещение комплекса программно-технических средств ИС по площадкам (помещениям)
1.4.3. Основные классы угроз безопасности, рассматриваемых в ходе проведения аудита
1.5. Методика проведения аудита
1.5.1. Методика анализа рисков
1.5.2. Исходные данные
1.6. Структура документа
2. Оценка критичности ресурсов ИС
2.1. Критерии оценки величины возможного ущерба, связанного с осуществлением угроз безопасности
2.2. Оценка критичности информационных ресурсов
2.2.1. Классификация информационных ресурсов
2.2.2. Оценка критичности по группам информационных ресурсов
2.3. Оценка критичности технических средств
2.4. Оценка критичности программных средств
2.5. Модель ресурсов ИС, описывающая распределение ресурсов по группам задач
3. Анализ рисков, связанных с осуществлением угроз безопасности в отношении ресурсов ИС
3.1. Модель нарушителя информационной безопасности
3.1.1. Модель внутреннего нарушителя
3.1.2. Модель внешнего нарушителя
3.2. Модель угроз безопасности и уязвимостей информационных ресурсов
3.2.1. Угрозы безопасности, направленные против информационных ресурсов
3.2.1.1. Угрозы несанкционированного доступа к информации при помощи программных средств
3.2.1.2. Угрозы, осуществляемые с использованием штатных технических средств
3.2.1.3. Угрозы, связанные с утечкой информации по техническим каналам
3.2.2. Угрозы безопасности, направленные против программных средств
3.2.3. Угрозы безопасности направленные против технических средств
3.3. Оценка серьезности угроз безопасности и величины уязвимостей
3.1. Критерии оценки серьезности угроз безопасности и величины уязвимостей
3.3.2. Оценка серьезности угроз
3.3.3. Оценка величины уязвимостей
3.4. Оценка рисков для каждого класса угроз и группы ресурсов
4. Выводы по результатам обследования
5. Рекомендации
5.1. Рекомендуемые контрмеры организационного уровня
5.2. Рекомендуемые контрмеры программно-технического уровня