Аудит информационной безопасности Администрации

Цели и этапы аудита

Информационная система (ИС) — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Информационные технологии (ИТ) — процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Аудит информационной системы — это системный процесс получения и оценки объективных данных о текущем состоянии информационной системы, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенному критерию и предоставляющий результаты заказчику[2].

Основные цели аудита:

• 1. Создание документации по имеющейся инфраструктуре;
• 2. Проверка соответствия инфраструктуры, определённой политике;
• 3. Создание регламента или политики с целью оптимизации инфраструктуры;
• 4. Выяснение причин инцидентов, сбоев, отказов в обслуживании;
• 5. Установка, соответствия ИТ-инфраструктуры политике безопасности;
• 6. Сбор данных перед проведением крупномасштабных реорганизаций ИТ-инфраструктур, например при слиянии и разделении компаний;
• 7. Проверка квалификации персонала ИТ отдела.
• 8. Оценка оправданности затрат на ИТ, с целью их снижения.
• 9. После завершения проекта требуется проверить, выполнено ли проектное задание [19];

Были использованы 4 глобальных этапа Аудита:

• 1. Сбор информации. Сбор информации заключается в глубоком анализе всех уровней иерархии информационной системы. Проводится анализ процессов, протекающих в ИС. Составляется список политик и регламентов. Строится структура информационной системы в целом. Проводится анализ состояния оборудования, его настроек и параметров. Проводится анализ установленного программного обеспечения. Проверяется корректность всех параметров.
• 2. Анализ собранных данных. Проверяется оптимальность инфраструктуры в целом и её соответствие задачам предприятия. Анализируется оптимальность процессов управления ИС. Проверяется корректность настроек оборудования и программного обеспечения. Производится сверка политик с реальными параметрами программного обеспечения и оборудования.
• 3. Составление документации. По итогам анализа составляется подробный отчёт, который содержит описание инфраструктуры ИС в целом. Также в отчёте отдельно указываются все найденные несоответствия или противоречия.
• 4. Создание стратегии развития или реорганизации. Вместе с отчётом аудита, создаются рекомендации по реорганизации инфраструктуры ИС. Рекомендации по оптимизации ИС процессов, рекомендации по изменению тех или иных параметров ПО и оборудования[13].