МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах
РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ" ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах Гендерна антидискримінаційна експертиза може зробити нас моральними рабами ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів
Контакти
Тлумачний словник Авто Автоматизація Архітектура Астрономія Аудит Біологія Будівництво Бухгалтерія Винахідництво Виробництво Військова справа Генетика Географія Геологія Господарство Держава Дім Екологія Економетрика Економіка Електроніка Журналістика та ЗМІ Зв'язок Іноземні мови Інформатика Історія Комп'ютери Креслення Кулінарія Культура Лексикологія Література Логіка Маркетинг Математика Машинобудування Медицина Менеджмент Метали і Зварювання Механіка Мистецтво Музика Населення Освіта Охорона безпеки життя Охорона Праці Педагогіка Політика Право Програмування Промисловість Психологія Радіо Регилия Соціологія Спорт Стандартизація Технології Торгівля Туризм Фізика Фізіологія Філософія Фінанси Хімія Юриспунденкция |
|
|||||||
Аутсорсинг у сфері інформаційних технологійАудит на відповідність стандартам. Суть даного виду аудиту найбільш наближена до тих формулювань, які існують у фінансовій сфері. При проведенні даного виду аудиту стан ІБ порівнюється з абстрактним описом, який подається у стандартах. Активний аудит. Одним з найпоширеніших видів аудиту є активний аудит. Це дослідження стану захищеності ІС з точки зору зловмисника, який володіє високою кваліфікацією в області ІТ. Найчастіше компанії-постачальники послуг активного аудиту іменують його інструментальним аналізом захищеності, щоб виокремити цей вид аудиту від інших. Суть активного аудиту полягає в тому, що за допомогою спеціального програмного забезпечення (у тому числі систем аналізу захищеності) і спеціальних методів здійснюється збір інформації про стан системи захисту. При здійсненні даного виду аудиту на захист ІС моделюється максимальна кількість атак, які може здійснити зловмисник. При цьому аудитор штучно ставиться саме в ті умови, в яких працює зловмисник, – йому надається мінімум інформації, тільки та, яку можна отримати з відкритих джерел. Після закінчення активного аудиту подаються рекомендації з модернізування системи захисту, що надасть можливість підвищити рівень захищеності ІС від дій ″зовнішнього″ зловмисника за мінімальних витратах на ІБ. Активний аудит – послуга, яка може, і повинна, замовлятися періодично. Виконання активного аудиту, наприклад, раз на рік, дозволяє впевнитися, що рівень системи безпеки залишається на колишньому рівні. Активний аудит умовно можна поділити на два види – ″зовнішній″ і ″внутрішній″. При ″зовнішньому″ активному аудиті фахівці моделюють дії ″зовнішнього″ зловмисника. У даному випадку проводяться такі процедури: · визначення доступних з зовнішніх мереж IP-адрес замовника; · сканування даних адрес з метою визначення працюючих сервісів і служб, а також призначення відсканованих хостів; · збір інформації про ІБ замовника з відкритих джерел; · аналіз отриманих даних з метою виявлення загроз. ″Внутрішній″ активний аудит за складом робіт аналогічний до ″зовнішнього″. Однак, при його проведенні за допомогою спеціальних програмних засобів моделюються дії ″внутрішнього″ зловмисника. Іноді в ході активного аудиту замовнику пропонується ряд додаткових послуг, безпосередньо пов'язаних з оцінюванням стану системи ІБ, зокрема – проведення спеціалізованих досліджень. Найчастіше організація у своїй ІС використовує спеціалізоване програмне забезпечення (ПЗ) власної розробки, призначене для вирішення нестандартних завдань (наприклад, корпоративний інформаційний портал, різні бухгалтерські системи або системи документообігу). Подібне ПЗ унікальне, тому будь-яких готових засобів і технологій для аналізу їх захищеності та відмовостійкості не існує. У даному випадку проводяться спеціалізовані дослідження, спрямовані на оцінку рівня захищеності конкретного ПЗ. Ще один вид послуг, пропонованих в ході активного аудиту, – дослідження продуктивності та стабільності системи, або стрес-тестування. Воно спрямоване на визначення критичних точок навантаження, за якого ІС внаслідок атаки на відмову в обслуговуванні або підвищеної завантаженості перестає адекватно реагувати на легітимні запити користувачів. Тестування включає в себе симулювання атак на відмову в обслуговуванні, запитів до системи і загальний аналіз продуктивності ІС. Експертний аудит. Експертний аудит можна умовно подати як порівняння стану ІБ з ″ідеальним″ описом. При виконанні експертного аудиту працівники компанії-аудитора спільно з представниками замовника проводять такі види робіт: · збір початкових даних про ІС, її функції та особливості, використовувані технології автоматизованого оброблення та передавання даних; · збір інформації про наявні організаційно-розпорядчі документи щодо забезпечення ІБ та їх аналіз; · визначення точок відповідальності систем, пристроїв і серверів ІС; · формування переліку підсистем кожного підрозділу організації з категоріювання критичної інформації і схемами інформаційних потоків. Один з найбільш об'ємних видів робіт, які проводяться при експертному аудиті, – збір даних про ІС шляхом інтерв'ювання працівників замовника і заповнення ними спеціальних анкет. Основна мета інтерв'ювання технічних фахівців – збір інформації про функціонування ІС, а керівного складу – з'ясування вимог до системи ІБ. Ключовий етап експертного аудиту – аналіз проекту ІС та технології оброблення інформації. За результатами робіт даного етапу пропонуються зміни в існуючій ІС і технології оброблення інформації, спрямовані на усунення виявлених недоліків з метою досягнення необхідного рівня ІБ. Наступний етап – аналіз інформаційних потоків організації. На даному етапі визначаються типи інформаційних потоків в ІС організації та складається їх діаграма, де для кожного інформаційного потоку вказуються його цінність. На підставі результатів даного етапу робіт пропонується захист або підвищення рівня захищеності тих компонент ІС, які беруть участь в найбільш важливих процесах передавання, зберігання та оброблення інформації. Для менш цінної інформації рівень захищеності залишається тим самим. Застосування аналізу інформаційних потоків організації дає можливість спроектувати систему забезпечення ІБ, яка відповідає принципу розумної достатності. У рамках експертного аудиту проводиться аналіз організаційно-розпорядчих документів, таких як політика безпеки, план захисту і різних настанов. Організаційно-розпорядчі документи оцінюються на предмет достатності та несуперечності декларованим цілям і заходам ІБ. Особлива увага на етапі аналізу інформаційних потоків надається визначенню повноважень і відповідальності конкретних осіб за забезпечення ІБ різних ділянок ІС. Повноваження і відповідальність повинні бути закріплені положеннями організаційно-розпорядчих документів. Результати експертного аудиту можуть містити різнопланові пропозиції з побудови та модернізування системи забезпечення інформаційної безпеки, наприклад: · зміни в інфраструктурі ІС і технології оброблення інформації; · рекомендації з вибору і застосування систем захисту інформації та додаткових спеціальних технічних засобів; · пропозиції щодо вдосконалення пакету організаційно-розпорядчих документів; · рекомендації до кожного з етапів створення системи ІБ; · орієнтовні витрати на створення і вдосконалення системи забезпечення ІБ. Організаційно-правова структура інформаційного аудиту системи ІБ у ІС формується відповідно до рекомендацій міжнародних стандартів та з дотриманням положень чинного законодавства України. Такими стандартами є: ISO/IEC 27002:2005 Інформаційні технології. Методи захисту. Кодекс практики для управління інформаційною безпекою; ISO/IEC 27003:2010 Інформаційні технології. Методи захисту. Керівництво з застосування системи менеджменту захисту інформації; ISO/IEC 27004:2009 Інформаційні технології. Методи захисту. Вимірювання; ISO/IEC 27005:2008 Інформаційні технології. Методи забезпечення безпеки. Управління ризиками інформаційної безпеки; ISO/IEC 27006:2007 Інформаційні технології. Методи забезпечення безпеки. Вимоги до органів аудиту і сертифікування систем управління ІБ. Офіційний звіт, підготований у результаті проведення даного виду аудиту, включає наступну інформацію: · ступінь відповідності ІС обраним стандартам; · ступінь відповідності власним внутрішнім вимогам в області ІБ; · кількість і категорії отриманих невідповідностей і зауважень; · рекомендації з побудови або модифікування системи забезпечення ІБ, що дозволяють привести її у відповідність з даним стандартом; · докладне посилання на основні документи замовника, включаючи політику безпеки, опис процедур забезпечення ІБ, додаткові обов'язкові і необов'язкові стандарти і норми, які застосовуються до даної організації. Причини проведення аудиту на відповідність стандарту (і сертифікування) можна умовно поділити за ступенем обов'язковості даної послуги у відношенні до організації: · обов'язкове сертифікування; · сертифікування, викликане ″зовнішніми″ об'єктивними причинами; · сертифікування, яке дає змогу отримати переваги у довгостроковій перспективі; · добровільне сертифікування. Державні організації, які обробляють відомості, що становлять державну таємницю, відповідно до чинного законодавства зобов'язані проводити атестування ІС. Однак, найчастіше вони користуються не послугою аудиту на відповідність стандартам, а в обов'язковому порядку проводять атестування власних ІС. Останнім часом вищий менеджмент організацій розглядає отримання сертифікату, який підтверджує високий рівень ІБ, як додатковий чинник довіри у боротьбі за поважного клієнта або ділового партнера. У цьому випадку доцільним є проведення аудиту з подальшим сертифікуванням на відповідність тим стандартам, які є значущими для клієнта або ділового партнера. На закінчення відзначимо, що при плануванні перевірки стану системи ІБ важливо не тільки точно вибрати вид аудиту, виходячи з потреб і можливостей організації, але і не помилитися з вибором виконавця. Якщо аудит проводить консалтингова компанія, яка крім консалтингової діяльності займається ще й розробленням власних систем захисту інформації, вона, зі зрозумілих причин, зацікавлена в тому, щоб результати аудиту рекомендували замовнику використовувати її продукти. Для того щоб настанови на основі аудиту були дійсно об'єктивними, необхідно, щоб компанія-аудитор була незалежною у виборі використовуваних систем захисту інформації і мала великий досвід роботи в галузі ІБ. Аутсорсинг у сфері інформаційних технологій – передавання сторонньому підряднику ряду внутрішніх послуг і (або) внутрішніх сервісів установи-замовника, у тому числі на основі використання програмних продуктів, додатків, технічних засобів і фрагментів інфраструктури. Аутсорсинг може розглядатися як сервіс, організований певною компанією, де кілька послуг надаються комплексно для повного охоплення потреб клієнта. На практиці, зазвичай, акцент ставиться на одну з конкретних обраних послуг. Обслуговування інформаційних систем. Обслуговування ІС – найбільш поширений на практиці вид аутсорсингу в сфері ІТ. За такого обслуговування замовнику пропонується комплексний набір послуг, що дозволяє йому обійтися без власного системного адміністратора або ж значно знизити його завантаженість. Обслуговування ІС, як правило, включає у себе наступні види послуг: · налаштування і оновлення апаратної частини ІС; · супровід програмного забезпечення; · створення захисту проти несанкціонованого доступу до активів ІС. Читайте також:
|
||||||||
|