Студопедия
Новини освіти і науки:
МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах


РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання


ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ"


ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ


Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків


Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні


Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах


Гендерна антидискримінаційна експертиза може зробити нас моральними рабами


ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ


ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів



Аутсорсинг у сфері інформаційних технологій

Аудит на відповідність стандартам. Суть даного виду аудиту найбільш наближена до тих формулювань, які існують у фінансовій сфері. При прове­денні даного виду аудиту стан ІБ порівнюється з абстрактним описом, який подається у стандартах.

Активний аудит. Одним з найпоширеніших видів аудиту є активний аудит. Це дослідження стану захищеності ІС з точки зору зловмисника, який володіє високою кваліфікацією в області ІТ.

Найчастіше компанії-постачальники послуг активного аудиту іменують його інструментальним аналізом захищеності, щоб виокремити цей вид аудиту від інших.

Суть активного аудиту полягає в тому, що за допомогою спеціального програмного забезпечення (у тому числі систем аналізу захищеності) і спеціальних методів здійснюється збір інформації про стан системи захисту. При здійсненні даного виду аудиту на захист ІС моделюється максимальна кількість атак, які може здійснити зловмисник. При цьому аудитор штучно ставиться саме в ті умови, в яких працює зловмисник, – йому надається мінімум інформації, тільки та, яку можна отримати з відкритих джерел.

Після закінчення активного аудиту подаються рекомендації з модернізування системи захисту, що надасть можливість підвищити рівень захище­ності ІС від дій ″зовнішнього″ зловмисника за мінімальних витратах на ІБ.

Активний аудит – послуга, яка може, і повинна, замовлятися періодично. Виконання активного аудиту, наприклад, раз на рік, дозволяє впевни­тися, що рівень системи безпеки залишається на колишньому рівні.

Активний аудит умовно можна поділити на два види – ″зовнішній″ і ″внутрішній″.

При ″зовнішньому″ активному аудиті фахівці моделюють дії ″зов­ніш­нього″ зловмисника. У даному випадку проводяться такі процедури:

· визначення доступних з зовнішніх мереж IP-адрес замовника;

· сканування даних адрес з метою визначення працюючих сервісів і служб, а також призначення відсканованих хостів;

· збір інформації про ІБ замовника з відкритих джерел;

· аналіз отриманих даних з метою виявлення загроз.

″Внутрішній″ активний аудит за складом робіт аналогічний до ″зовніш­нього″. Однак, при його проведенні за допомогою спеціальних програмних засобів моделюються дії ″внутрішнього″ зловмисника.

Іноді в ході активного аудиту замовнику пропонується ряд додаткових послуг, безпосередньо пов'язаних з оцінюванням стану системи ІБ, зокрема – проведення спеціалізованих досліджень.

Найчастіше організація у своїй ІС використовує спеціалізоване програмне забезпечення (ПЗ) власної розробки, призначене для вирішення нестан­дартних завдань (наприклад, корпоративний інформаційний портал, різні бух­галтерські системи або системи документообігу). Подібне ПЗ унікальне, тому будь-яких готових засобів і технологій для аналізу їх захищеності та відмовостійкості не існує. У даному випадку проводяться спеціалізовані дос­лідження, спрямовані на оцінку рівня захищеності конкретного ПЗ.

Ще один вид послуг, пропонованих в ході активного аудиту, – дослідження продуктивності та стабільності системи, або стрес-тестування. Воно спрямоване на визначення критичних точок навантаження, за якого ІС внаслідок атаки на відмову в обслуговуванні або підвищеної завантаженості перестає адекватно реагувати на легітимні запити користувачів. Тестування включає в себе симулювання атак на відмову в обслуговуванні, запитів до системи і загальний аналіз продуктивності ІС.

Експертний аудит. Експертний аудит можна умовно подати як порівняння стану ІБ з ″ідеальним″ описом.

При виконанні експертного аудиту працівники компанії-аудитора спіль­но з представниками замовника проводять такі види робіт:

· збір початкових даних про ІС, її функції та особливості, використовувані технології автоматизованого оброблення та передавання даних;

· збір інформації про наявні організаційно-розпорядчі документи щодо забезпечення ІБ та їх аналіз;

· визначення точок відповідальності систем, пристроїв і серверів ІС;

· формування переліку підсистем кожного підрозділу організації з категоріювання критичної інформації і схемами інформаційних потоків.

Один з найбільш об'ємних видів робіт, які проводяться при експертному аудиті, – збір даних про ІС шляхом інтерв'ювання працівників замовника і заповнення ними спеціальних анкет.

Основна мета інтерв'ювання технічних фахівців – збір інформації про функціонування ІС, а керівного складу – з'ясування вимог до системи ІБ.

Ключовий етап експертного аудиту – аналіз проекту ІС та технології оброблення інформації. За результатами робіт даного етапу пропонуються зміни в існуючій ІС і технології оброблення інформації, спрямовані на усунення виявлених недоліків з метою досягнення необхідного рівня ІБ.

Наступний етап – аналіз інформаційних потоків організації. На даному етапі визначаються типи інформаційних потоків в ІС організації та складається їх діаграма, де для кожного інформаційного потоку вказуються його цінність. На підставі результатів даного етапу робіт пропонується захист або підвищення рівня захищеності тих компонент ІС, які беруть участь в найбільш важливих процесах передавання, зберігання та оброблення інформації. Для менш цінної інформації рівень захищеності залишається тим самим. Застосування аналізу інформаційних потоків організації дає можливість спроектувати систему забезпечення ІБ, яка відповідає принципу розумної достатності.

У рамках експертного аудиту проводиться аналіз організаційно-розпо­рядчих документів, таких як політика безпеки, план захисту і різних наста­нов. Організаційно-розпорядчі документи оцінюються на предмет достатнос­ті та несуперечності декларованим цілям і заходам ІБ.

Особлива увага на етапі аналізу інформаційних потоків надається визначенню повноважень і відповідальності конкретних осіб за забезпечення ІБ різних ділянок ІС. Повноваження і відповідальність повинні бути закріп­лені положеннями організаційно-розпорядчих документів.

Результати експертного аудиту можуть містити різнопланові пропозиції з побудови та модернізування системи забезпечення інформаційної безпеки, наприклад:

· зміни в інфраструктурі ІС і технології оброблення інформації;

· рекомендації з вибору і застосування систем захисту інформації та додаткових спеціальних технічних засобів;

· пропозиції щодо вдосконалення пакету організаційно-розпорядчих документів;

· рекомендації до кожного з етапів створення системи ІБ;

· орієнтовні витрати на створення і вдосконалення системи забезпечення ІБ.

Організаційно-правова структура інформаційного аудиту системи ІБ у ІС формується відповід­но до рекомендацій міжнародних стан­дартів та з дотри­ман­ням положень чинного законодавства України.

Такими стандартами є: ISO/IEC 27002:2005 Інформаційні технології. Методи захисту. Кодекс пра­к­тики для уп­рав­ління інформаційною безпекою; ISO/IEC 27003:2010 Інфор­маційні техно­ло­гії. Мето­ди захисту. Керівництво з засто­су­вання сис­теми ме­нед­жменту захисту інфор­мації; ISO/IEC 27004:2009 Інформаційні тех­нології. Методи захисту. Ви­мі­рю­вання; ISO/IEC 27005:2008 Інформаційні технології. Методи забезпечення безпеки. Управ­лін­ня ри­зи­ками інформаційної безпеки; ISO/IEC 27006:2007 Інформаційні технології. Методи забезпе­чення безпеки. Вимоги до органів ауди­ту і сертифікування систем управління ІБ.

Офіційний звіт, підготований у результаті проведення даного виду аудиту, включає наступну інформацію:

· ступінь відповідності ІС обраним стандартам;

· ступінь відповідності власним внутрішнім вимогам в області ІБ;

· кількість і категорії отриманих невідповідностей і зауважень;

· рекомендації з побудови або модифікування системи забезпечення ІБ, що дозволяють привести її у відповідність з даним стандартом;

· докладне посилання на основні документи замовника, включаючи полі­тику безпеки, опис процедур забезпечення ІБ, додаткові обов'язкові і необов'язкові стандарти і норми, які застосовуються до даної організації.

Причини проведення аудиту на відповідність стандарту (і сертифікування) можна умовно поділити за ступенем обов'язковості даної послуги у відношенні до організації:

· обов'язкове сертифікування;

· сертифікування, викликане ″зовнішніми″ об'єктивними причинами;

· сертифікування, яке дає змогу отримати переваги у довгостроковій перспективі;

· добровільне сертифікування.

Державні організації, які обробляють відомості, що становлять державну таємницю, відповідно до чинного законодавства зобов'язані проводити атес­ту­вання ІС. Однак, найчастіше вони користуються не послугою аудиту на відповідність стандартам, а в обов'язковому порядку проводять атесту­вання власних ІС.

Останнім часом вищий менеджмент організацій розглядає отримання сертифікату, який підтверджує високий рівень ІБ, як додатковий чинник довіри у боротьбі за поважного клієнта або ділового партнера. У цьому випадку доцільним є проведення аудиту з подальшим сертифікуванням на відповідність тим стандартам, які є значущими для клієнта або ділового партнера.

На закінчення відзначимо, що при плануванні перевірки стану системи ІБ важливо не тільки точно вибрати вид аудиту, виходячи з потреб і можливостей організації, але і не помилитися з вибором виконавця.

Якщо аудит проводить консалтингова компанія, яка крім консалтингової діяльності займається ще й розробленням власних систем захисту інформації, вона, зі зрозумілих причин, зацікавлена в тому, щоб результати аудиту рекомендували замовнику використовувати її продукти. Для того щоб настанови на основі аудиту були дійсно об'єктивними, необхідно, щоб ком­панія-аудитор була незалежною у виборі використовуваних систем захисту інформації і мала великий досвід роботи в галузі ІБ.

Аутсорсинг у сфері інформаційних технологій – передавання сторонньому підряднику ряду внутрішніх по­с­луг і (або) внутрішніх сервісів уста­нови-замовника, у то­му числі на основі використання програмних продуктів, до­датків, технічних засобів і фраг­ментів інфраструктури.

Аутсорсинг може розглядатися як сервіс, організований певною компанією, де кілька послуг надаються комп­лексно для повного охоплення потреб клієнта. На прак­ти­ці, зазвичай, акцент ставиться на одну з конкретних обра­них послуг.

Обслуговування інформаційних систем. Обслуговування ІС – найбільш поширений на практиці вид аут­сорсингу в сфері ІТ. За такого обслу­говування за­мовнику пропонується комплексний набір послуг, що доз­воляє йому обійтися без власного системного адмі­ністра­тора або ж значно знизити його завантаженість. Обслуго­вування ІС, як правило, включає у себе нас­тупні види послуг:

· налаштування і оновлення апаратної частини ІС;

· супровід програмного забезпечення;

· створення захисту проти несанкціонованого дос­ту­пу до активів ІС.


Читайте також:

  1. Аналіз, звітність і аудит у сфері праці
  2. Аудит захищеності інформаційних систем
  3. Аудит інформаційних систем.
  4. Аудит у сфері праці
  5. Аудиторські ризики, пов’язані з використанням комп’ютерних інформаційних систем
  6. Багатоцільова багатокритеріальна модель обґрунтування рішень в полі кількох інформаційних ситуацій
  7. Банківська діяльність у сфері надання фінансових послуг
  8. Банківська діяльність у сфері надання фінансових послуг.
  9. Безпека інформаційних систем
  10. Безпека праці користувачів комп’ютерних технологій
  11. Більш широке залучення до управлінської діяльності талановитої молоді, жінок, а також виховання лідерів у сфері освіти.




Переглядів: 1456

<== попередня сторінка | наступна сторінка ==>
Аудит захищеності інформаційних систем | На практиці аутсорсери надають супутні послуги – створення VPN-мереж, IP-телефонія, ІТ-аудит та ІТ-кон­сал­тинг.

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

  

© studopedia.com.ua При використанні або копіюванні матеріалів пряме посилання на сайт обов'язкове.


Генерація сторінки за: 0.019 сек.