Санкт-Петербург

Download 10,56 Mb.

Pdf ko'rish

bet	28/198
Sana	24.02.2022
Hajmi	10,56 Mb.
	#209176

1 ... 24 25 26 27 28 29 30 31 ... 198

Bog'liq
1 almanakh 2018 tom1

разделить на следующие типы:
– мониторинг состояния ИБ;
– регулярная проверка состояния ИБ.
Первый тип представляет собой автоматический и полуавтоматический непрерывный
контроль систем и мер обеспечения ИБ. В целях данных работ использовались системы
контроля и отчетности систем обеспечения ИБ и проводимые регламентные работы по
мониторингу состояния ИБ.
Второй тип – аудит состояния ИБ, заключающийся в обследовании защищенности
информационных систем объектов информатизации на периодической основе. Данный аудит
включает в себя работы по инструментальному обследованию информационных систем, а
также проверку соответствия состояния информационных систем требованиям,
предъявляемым к обеспечению ИБ.
Обычно внутренний аудит осуществляется подразделением или должностным лицом
организации.
Стандарт ISO/IEC 19011 описывает, что аудит должен проводиться беспристрастно, а
результаты по окончанию проверки должны быть объективными. Также следует
формировать группу аудиторов из числа таких специалистов, которые сами не являются
разработчиками и администраторами используемых информационных систем и средств
защиты информации и не имели отношения к их внедрению на данном предприятии [2].
Вышеперечисленное усложняет задачу поиска непредвзятого человека в малых
организациях из-за небольшого штата сотрудников. По этой же причине аудиторов не
проверяют на соответствие их квалификации требованиям программы аудита, но они
должны обладать специальными знаниями и умениями, описанными в ISO 19011 в
приложении А.
Одна из основных особенностей проведения внутреннего аудита ИБ в малых
организациях – это ограниченное количество персонала, способного к проведению такого
рода работ. Подобным компаниям свойственно, что сотрудники уже выполняют широкий
круг обязанностей [3]. Таким образом, руководству фирмы необходимо назначить
руководителя группы аудитора и определить состав аудиторской группы. В малой
организации в силу небольшого контингента в группу будут входить сотрудники из отделов
по информационной безопасности и информационных технологий, при этом выбираются
наиболее опытные и грамотные сотрудники. Следствием этого будет отсутствие
беспристрастного и объективного аудита, которое, в свою очередь, может добавить к уже
существующим проблемам ИБ новые.
Следует учесть, что не всегда организация может проводить аудит своими силами, так
как в силу дороговизны средств для инструментального анализа не все имеют возможность
его приобрести.

Альманах научных работ молодых ученых
XLVII научной и учебно-методической конференции Университета ИТМО. Том 1
41
Также следует упомянуть морально-этическую сторону вопроса, когда в малой
организации практически все сотрудники знают друг друга и имеют налаженные социальные
связи. При этом аудитор знает, что если он выявит нарушения, то к его коллеге могут
применить санкции, и тогда он будет осуществлять проверку необъективно.
Выявленные особенности помогают сделать вывод, что для более эффективного
внутреннего аудита ИБ в малых организациях, в которых циркулирует информация,
подлежащая защите, следует заключить контракт на передачу функций внутреннего аудита с
аутсорсинговой компанией, специализирующейся на данном виде деятельности. Это
поможет проводить эффективный мониторинг функционирования системы защиты
информации, так как к работе будут привлекаться незаинтересованные и независимые
специалисты различных профилей.

Download 10,56 Mb.

Do'stlaringiz bilan baham:

1 ... 24 25 26 27 28 29 30 31 ... 198