Аудит на основе анализа стандартов информационной безопасности

21 
дробная информация об аудите на основе анализа стандартов ИБ представлена 
в работах [4, 10, 20]. 
Комбинированный аудит, с использованием как анализа рисков, так 
и стандартов информационной безопасности
является наиболее эффектив-
ным подходом к проведению аудита. Базовый набор требований безопасности, 
предъявляемых к исследуемым системам, определяется стандартами ИБ. До-
полнительные требования, в максимальной степени учитывающие особенности 
функционирования конкретной системы, формируются на основе анализа рис-
ков. Этот подход проще аудита на основе анализа рисков, т.к. большая часть 
требований ИБ уже определена стандартами, и, в то же время, он лишен недо-
статка второго подхода, заключающего в том, что требования стандарта могут 
не учитывать специфики конкретных систем. 
В большинстве работ по аудиту [4, 5, 9, 10, 20, 21], указываются только 
эти три подхода. Вместе с тем, отдельно выделяют так называемый «тест на 
проникновение» [13]. От вышеуказанных подходов его отличает то, что это 
разновидность именно экспериментального исследования объекта, проводимо-
го с целью выявления слабых мест в защите или новых уязвимостей, как прави-
ло, по итогам внедрения новых мер защиты. На взгляд автора «тест на проник-
новение» является не более чем частной разновидностью еще одного общего 
подхода к аудиту – аудита на основе экспериментальных исследований систе-
мы или ее прототипа. 

Download 2,43 Mb.

Do'stlaringiz bilan baham: