Я тут совсем недавно изучал вовсю основы информационной безопасности (там не все описано – только краткие моменты). Мною были рассмотрены только некоторые моменты в большой области ИБ. В частности, информации, посвященной защите информационных систем я привел довольно мало. Поэтому, для великолепной подготовки к экзамену – необходимо изучить основы безопасности информационных систем. Но – это большая тема, поэтому – предлагаю остановится на такой общей теме, как аудит ИС.
Кстати, все ли знают, что такое аудит? Надеюсь, что все, но – напомню. Аудит – это проверка (контроль) функционирования чего-либо (в нашем случае – это информационная система). Благодаря аудиту находят ненайденные ошибки в ИС.
Итак, что же такое аудит информационных систем? Это целый комплекс мер, благодаря которому аудиторы находят ошибки в ИС, сравнивают нынешнее состояние системы с идеальным, находят положительные и отрицательные стороны в ИС.
У аудита информационных систем есть множество различных критериев (необходимо обязательно ознакомится с предметной областью, для которой разрабатывалась система; рассмотреть ИТ-структуру компании, в которой внедрена ИС). Но на всех этих моментах останавливаться не получится – надо выделить что-то одно. Я остановлюсь на ИТ-рисках, которые могут возникнуть в информационной системе.
Анализ рисков, которые могут быть применимы к ИС, можно разделить на два больших направления. Первое направление в анализе рисков работает с нормативной базой (учитываются требования, которые описаны в следующих документах):
- Внутренние документы предприятия
- Документы российского законодательства
- Международные стандарты
- Документы компаний-изготовителей ПО
А второе направление анализ рисков – это расчет вероятности атаки и влияния этой атаки на систему. В этом методе описываются уровень ущерба от атаки и уровень вероятности проведения атаки – все это в числовом выражении. И значение риска есть произведение этих двух чисел. Чем выше число – тем больше риски.
Если честно, то я еще не очень хорошо разбираюсь в этой теме. Если вам действительно надо больше узнать про аудит информационных систем – то для этого есть специальный сайт, на котором можно даже зарегистрироваться на семинар по этой теме.
Но я думаю, что полученных знаний по этой теме мне хватит для того, чтобы успешно сдать экзамен. Поэтому – пора наверно спать ложиться уже мне.
Комментариев нет:
Отправить комментарий