Аудит безопасности критической инфраструктуры специальными информационными воздействиями. Монография


  Общие подходы к проведению аудита



Download 2,43 Mb.
Pdf ko'rish
bet10/80
Sana03.03.2022
Hajmi2,43 Mb.
#480965
TuriМонография
1   ...   6   7   8   9   10   11   12   13   ...   80
Bog'liq
makarenko-audit ib 2018

1.5. 
Общие подходы к проведению аудита 
На основании анализа работ по аудиту ИБ [4-12] можно выделить следу-
ющие основные подходы к проведению аудита: 
-
практический подход к проведению аудита; 
-
теоретический подход к проведению аудита. 
Общая классификация подходов представлена на рис. 2. Рассмотрим дан-
ные подходы более подробно. 
Практический подход
На основе анализа 
рисков
На основе анализа 
стандартов ИБ
Комбинированный, на 
основе как анализа 
рисков, так и 
стандартов ИБ 
На основе 
экспериментальных 
исследований системы 
или ее прототипа
Теоритический подход
Процессный подход
Подход на основе 
модели оценки
IDEF0
IDEF1
IDEF2
IDEF3
Подход на основе 
модели зрелости
ISO/IEC 15504
ISO/IEC 21827
COBIT
URSIT
Классификация, основанная на 
формализации процесса анализа
Классификация, основанная на 
степени доступности 
информации об объекте аудита
«Белый ящик» 
«Серый ящик» 
«Черный ящик» 
Общие подходы к проведению аудита
Рис. 2. Классификация общих подходов к проведению аудита ИБ 


20 
1.5.1. 
Практические подходы к проведению аудита 
Общими практическими подходами к проведению аудита являются сле-
дующие [19]: 
-
аудит на основе анализа рисков
-
аудит на основе анализа стандартов ИБ; 
-
аудит на основе комбинирования анализа рисков и анализа стандар-
тов ИБ; 
-
аудит на основе экспериментальных исследований системы или ее 
прототипа. 
Аудит на основе анализа рисков
проводится с использованием фор-
мальных методов анализа рисков, когда аудитор определяет для исследуемой 
системы индивидуальный набор требований ИБ, в наибольшей степени учиты-
вающий особенности данной системы, среды ее функционирования и характер-
ные угрозы безопасности. Данный подход является наиболее трудоемким и 
требует высокой теоретической квалификации аудитора. На качество результа-
тов аудита, в этом случае, сильно влияет используемая методология анализа и 
управления рисками, а также ее применимость к конкретному типу исследуе-
мой системы. 
Анализ риска
– систематическое использование информации для иденти-
фикации источников угроз и оценки величины риска [10]. Методы анализа рис-
ка могут быть качественными, полуколичественными и количественными. 
Необходимо отметить, что полный количественный анализ систем не всегда 
возможен вследствие сложности современных ИС, затрудненности получения 
адекватной статистики инцидентов и др. Анализ риска включает этапы [10]. 
-
инвентаризации и категорирования ресурсов системы; 
-
идентификации значимых угроз и уязвимостей;
-
оценку вероятностей реализации угроз и уязвимостей. 
В настоящее время сложилась нормативная база анализа риска в области 
ИБ в виде ГОСТ Р ИСО/МЭК 27005 – 2010 «Информационная технология. Ме-
тоды и средства обеспечения безопасности. Менеджмент риска информацион-
ной безопасности», который определяет процессный подход к управлению рис-
ками, включающий в том числе оценку и обработку риска. Более подробная 
информация об аудите на основе анализа рисков представлена в работах [9-11]. 

Download 2,43 Mb.

Do'stlaringiz bilan baham:
1   ...   6   7   8   9   10   11   12   13   ...   80




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish