Аудит информационной безопасности

Под общей редакцией А. П. Курило

Аудит информационной безопасности
А. П. Курило

От издателя
В книге рассмотрены принципы и методы аудита информационной безопасности организаций на основе процессного подхода. Показаны методы оценивания информационной безопасности и подходы к исследованию полученных оценок информационной безопасности. Приведены практические примеры аудита информационной безопасности. Изложены принципы и подходы к формированию доверия к информационной безопасности. Представлены обзор и анализ международных, национальных и отечественных стандартов, руководств и нормативных документов по основам и практике аудита информационной безопасности.

Книга адресована высшим менеджерам организаций, руководителям служб информационной безопасности и информационных технологий, а также специалистам и аудиторам в области информационной безопасности. Издание также представляет практический интерес для студентов старших курсов, обучающихся по специальностям, составляющим группу специальностей 090100 “Информационная безопасность”.

---

Table of contents :
Содержание……Page 4
Предисловие……Page 7
1. Аудит информационной безопасности – необходимый инструмент обеспечения информационной безопасности в современных условиях……Page 11
2.1. Структура и свойства процессов и систем……Page 19
2.1.1 “Процессорный подход”……Page 25
2.1.2 Процессный подход и информационная безопасность ……Page 32
2.2. От линейной модели управления качеством процессов и систем к замкнутой циклической модели менеджмента качества процессов и систем ……Page 38
2.3.1. Оценка процессов – основа контроля и проверки процессов и систем……Page 44
2.3.2. Определение входных данных оценки ……Page 46
2.3.3. Роли и обязанности по проведению оценивания……Page 48
2.3.4. Модель оценки процесса ……Page 49
2.3.5. Мероприятия процесса оценивания и выходные данные оценивания ……Page 50
2.3.6. Факторы успешной оценки процесса ……Page 53
2.3.7. Внутренний и внешний аудит ……Page 54
Обзор моделей безопасности бизнеса. Вводная информация о моделях безопасности бизнеса. Аналитический материал IBM ……Page 55
3.1.1. Международные правовые аспекты, стандарты и руководства по основам аудита информационной безопасности ……Page 104
КПМГ: мы помогаем компаниям в достижении стоящих перед ними целей……Page 123
3.1.2. Национальные стандарты и руководства по основам аудита информационной безопасности ……Page 126
3.1.3. Отечественные законы и стандарты по основам аудита ……Page 156
3.2.1. Система обеспечения информационной безопасности – совокупность процессов осознания и менеджмента информационной безопасности ……Page 168
3.2.2. Осознание аудита информационной безопасности ……Page 175
Комплексное обследование (аудит) информационной безопасности. Подход компании «ЭЛВИС-ПЛЮС» ……Page 179
3.2.3. Планирование программы аудита информационной безопасности ……Page 184
3.2.4. Реализация программы аудита информационной безопасности ……Page 191
3.2.5. Контроль и совершенствование программы аудита информационной безопасности ……Page 200
3.3.1. Оценивание информационной безопасности на основе показателей информационной безопасности ……Page 204
3.3.2. Оценивание информационной безопасности на основе моделей зрелости процессов обеспечения информационной безопасности ……Page 213
4.1. Оценивание результатов аудита и самооценки информационной безопасности ……Page 246
4.2. Оценивание процессов проведения аудита и самооценки информационной безопасности ……Page 250
4.3. Риск-ориентированная интерпретация полученных оценок информационной безопасности ……Page 251
5.1.1. Особенности развития средств и систем автоматизации ……Page 257
5.1.2. Направления обеспечения и оценки информационной безопасности ……Page 262
5.1.3. Размерность и значимость объектов оценки при проведении аудита информационной безопасности ……Page 265
5.1.4. Работы по созданию системы оценки ИБ организаций банковской системы Российской Федерации 2……Page 268
5.2.1. Предпосылки ……Page 270
5.2.2. Немного о терминах ……Page 271
5.2.3. Методологии, стандарты и нормативные требования в области управления непрерывностью бизнеса ……Page 272
5.2.4. Основные цели аудита ……Page 275
5.2.5. Основные вопросы, рассматриваемые при аудите ……Page 276
5.2.6. Реализация аудита ……Page 277
5.3. Особенности аудита информационной безопасности организаций, использующих аутсорсинг ……Page 283
6. Аудит и доверие информационной безопасности ……Page 291
Список использованных источников……Page 300
Участники проекта «Аудит информационной безопасности»……Page 304