среда, 19 января 2011 г.

Что такое аудит ИС

Я тут совсем недавно изучал вовсю основы информационной безопасности (там не все описано – только краткие моменты). Мною были рассмотрены только некоторые моменты в большой области ИБ. В частности, информации, посвященной защите информационных систем я привел довольно мало. Поэтому, для великолепной подготовки к экзамену – необходимо изучить основы безопасности информационных систем. Но – это большая тема, поэтому – предлагаю остановится на такой общей теме, как аудит ИС.

Кстати, все ли знают, что такое аудит? Надеюсь, что все, но – напомню. Аудит – это проверка (контроль) функционирования чего-либо (в нашем случае – это информационная система). Благодаря аудиту находят ненайденные ошибки в ИС.

Итак, что же такое аудит информационных систем? Это целый комплекс мер, благодаря которому аудиторы находят ошибки в ИС, сравнивают нынешнее состояние системы с идеальным, находят положительные и отрицательные стороны в ИС.

У аудита информационных систем есть множество различных критериев (необходимо обязательно ознакомится с предметной областью, для которой разрабатывалась система; рассмотреть ИТ-структуру компании, в которой внедрена ИС). Но на всех этих моментах останавливаться не получится – надо выделить что-то одно. Я остановлюсь на ИТ-рисках, которые могут возникнуть в информационной системе.


Анализ рисков, которые могут быть применимы к ИС, можно разделить на два больших направления. Первое направление в анализе рисков работает с нормативной базой (учитываются требования, которые описаны в следующих документах):
  • Внутренние документы предприятия
  • Документы российского законодательства
  • Международные стандарты
  • Документы компаний-изготовителей ПО
А второе направление анализ рисков – это расчет вероятности атаки и влияния этой атаки на систему. В этом методе описываются уровень ущерба от атаки и уровень вероятности проведения атаки – все это в числовом выражении. И значение риска есть произведение этих двух чисел. Чем выше число – тем больше риски.

Если честно, то я еще не очень хорошо разбираюсь в этой теме. Если вам действительно надо больше узнать про аудит информационных систем – то для этого есть специальный сайт, на котором можно даже зарегистрироваться на семинар по этой теме.

Но я думаю, что полученных знаний по этой теме мне хватит для того, чтобы успешно сдать экзамен. Поэтому – пора наверно спать ложиться уже мне.

Комментариев нет:

Отправить комментарий