Аудит безопасности критической инфраструктуры специальными информационными воздействиями. Монография

Общие подходы к проведению аудита

Download 2,43 Mb.

Pdf ko'rish

bet	10/80
Sana	03.03.2022
Hajmi	2,43 Mb.
	#480965
Turi	Монография

1 ... 6 7 8 9 10 11 12 13 ... 80

Bog'liq
makarenko-audit ib 2018

1.5.
Общие подходы к проведению аудита
На основании анализа работ по аудиту ИБ [4-12] можно выделить следу-
ющие основные подходы к проведению аудита:
-
практический подход к проведению аудита;
-
теоретический подход к проведению аудита.
Общая классификация подходов представлена на рис. 2. Рассмотрим дан-
ные подходы более подробно.
Практический подход
На основе анализа
рисков
На основе анализа
стандартов ИБ
Комбинированный, на
основе как анализа
рисков, так и
стандартов ИБ
На основе
экспериментальных
исследований системы
или ее прототипа
Теоритический подход
Процессный подход
Подход на основе
модели оценки
IDEF0
IDEF1
IDEF2
IDEF3
Подход на основе
модели зрелости
ISO/IEC 15504
ISO/IEC 21827
COBIT
URSIT
Классификация, основанная на
формализации процесса анализа
Классификация, основанная на
степени доступности
информации об объекте аудита
«Белый ящик»
«Серый ящик»
«Черный ящик»
Общие подходы к проведению аудита
Рис. 2. Классификация общих подходов к проведению аудита ИБ

20
1.5.1.
Практические подходы к проведению аудита
Общими практическими подходами к проведению аудита являются сле-
дующие [19]:
-
аудит на основе анализа рисков;
-
аудит на основе анализа стандартов ИБ;
-
аудит на основе комбинирования анализа рисков и анализа стандар-
тов ИБ;
-
аудит на основе экспериментальных исследований системы или ее
прототипа.
Аудит на основе анализа рисков
проводится с использованием фор-
мальных методов анализа рисков, когда аудитор определяет для исследуемой
системы индивидуальный набор требований ИБ, в наибольшей степени учиты-
вающий особенности данной системы, среды ее функционирования и характер-
ные угрозы безопасности. Данный подход является наиболее трудоемким и
требует высокой теоретической квалификации аудитора. На качество результа-
тов аудита, в этом случае, сильно влияет используемая методология анализа и
управления рисками, а также ее применимость к конкретному типу исследуе-
мой системы.
Анализ риска
– систематическое использование информации для иденти-
фикации источников угроз и оценки величины риска [10]. Методы анализа рис-
ка могут быть качественными, полуколичественными и количественными.
Необходимо отметить, что полный количественный анализ систем не всегда
возможен вследствие сложности современных ИС, затрудненности получения
адекватной статистики инцидентов и др. Анализ риска включает этапы [10].
-
инвентаризации и категорирования ресурсов системы;
-
идентификации значимых угроз и уязвимостей;
-
оценку вероятностей реализации угроз и уязвимостей.
В настоящее время сложилась нормативная база анализа риска в области
ИБ в виде ГОСТ Р ИСО/МЭК 27005 – 2010 «Информационная технология. Ме-
тоды и средства обеспечения безопасности. Менеджмент риска информацион-
ной безопасности», который определяет процессный подход к управлению рис-
ками, включающий в том числе оценку и обработку риска. Более подробная
информация об аудите на основе анализа рисков представлена в работах [9-11].

Download 2,43 Mb.

Do'stlaringiz bilan baham:

1 ... 6 7 8 9 10 11 12 13 ... 80