Применение стандарта ISO/IEC 27001:2013
Проведение аудита информационной безопасности компании Digital Design на соответствие стандарту ISO/IEC 27001:2013. Формирование аудиторского отчета и необходимых рекомендаций для повышения уровня информационной безопасности в аудируемой организации.
| Рубрика | Бухгалтерский учет и аудит |
| Вид | контрольная работа |
| Язык | русский |
| Дата добавления | 30.05.2016 |
| Размер файла | 228,1 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Содержание
Введение
Практические аспекты применения стандарта ISO/IEC 27001:2013
1. Описание организации
2. Программа аудита
3. Чек-лист аудита
4. Аудиторский отчет
Список используемой литературы
Введение
В настоящее время с развитием информационных технологий все чаще встает вопрос о защите информации, единственным решением которого является проведение аудита информационной безопасности. Аудит информационной безопасности предприятий представляет собой одно из наиболее актуальных и динамично развивающихся направлений. Его основная задача - объективно оценить текущее состояние информационной безопасности компании, а также ее адекватность поставленным целям и задачам бизнеса с целью увеличения эффективности и рентабельности экономической деятельности компании. Поэтому под термином аудит информационной безопасности предприятия обычно понимается системный процесс получения объективных качественных и количественных оценок текущего состояния информационной безопасности компании в соответствии с определенными критериями и показателями безопасности.
Целью данной курсовой работы является проведение аудита информационной безопасности компании Digital Design на соответствие стандарту ISO/IEC 27001:2013.
Для достижения поставленной цели необходимо решить следующие задачи:
- Рассмотреть практические аспекты применения стандарта ISO/IEC 27001:2013;
-Описать организацию;
-Составить программу и чек-лист аудита;
-Сформировать аудиторский отчет, сделать выводы о соответствии организации требованиям стандарту ISO/IEC 27001:2013 и сформулировать необходимые рекомендации для повышения уровня информационной безопасности в организации.
Практические аспекты применения стандарта ISO/IEC 27001:2013
информационный безопасность аудит стандарт
Международный Стандарт ISO/IEC 27001:2013 был разработан с целью установить требования для создания, внедрения, поддержания функционирования и непрерывного улучшения системы менеджмента информационной безопасности. Признание необходимости системы менеджмента информационной безопасности является стратегическим решением организации. На создание и внедрение системы менеджмента информационной безопасности организации влияют потребности и цели организации, требования по безопасности, применяемые организационные процессы, размер и структура организации. Все эти факторы влияния ожидаемо меняются в течение длительного времени.
Система менеджмента информационной безопасности направлена на сохранение конфиденциальности, целостности и доступности информации за счет применения процессов управления рисками и обеспечивает уверенность заинтересованных сторон в том, что риски управляются надлежащим образом.
Важно то, что система менеджмента информационной безопасности составляет часть процессов организации и встроена в общую структуру управления, и, таким образом, вопросы информационной безопасности учитываются при разработке процессов, информационных систем и средств управления. Предполагается, что система менеджмента информационной безопасности будет меняться в соответствии с потребностями организации.
Настоящий Международный Стандарт может использоваться как самой организацией, так и внешними сторонами для оценки способности организации соответствовать собственным требованиям по информационной безопасности.
1. Описание организации
Digital Design является быстроразвивающейся российской IT-компанией, основанной в 1992 году и имеющей головной офис в Санкт-Петербурге, наб. реки Смоленки, д.33 и филиал в Москве.
Основные направления деятельности компании - создание и совершенствование систем управления бизнесом, развитие и поддержка информационных систем, системная интеграция, включающая, в частности, проекты по развертыванию систем документооборота на базе продукта DocsVision и разработка ПО. Компания производит продукты и оказывает услуги в области информационных систем и технологий (ИС и ИТ), направленные на обеспечение эффективной деятельности предприятий и организаций.
В настоящее время компания продвигает два различных бренда Digital Design и DocsVision каждый из которых имеет собственное рыночное позиционирование.
Основные направления деятельности компании:
· Автоматизация документооборота и бизнес-процессов
· Создание внутренних и внешних корпоративных порталов
· Разработка уникальных программных решений
· Создание и внедрение систем бизнес-аналитики
· Построение, оптимизация и модернизация IT-инфраструктуры
· Управление IT-процессами (ITIL/ITSM)
· Поставка лицензионного программного обеспечения
· Аудит бизнес-процессов и IT-консалтинг
· Поддержка и обслуживание информационных систем
· Обучение персонала
Клиентами компании являются ведущие российские и зарубежные фирмы, включая крупнейшие мировые предприятия, такие как: Borland, Ford Motor Company, Heineken, TetraPak, Volvo Car, АМЕДИА, Балтика, Вена, ГИБДД, Краски Текс, ЛЭК, Петербургский метрополитен, Пулково, ОАО Ригли Санкт-Петербург, Российские железные дороги, Химфарм и т.д. К числу самых крупных госзаказчиков Digital Design относит Минрегион, Минпромэнерго, Государственную Думу РФ и Высший Арбитражный суд РФ.
Digital Design - партнер крупнейших российских и международных производителей и поставщиков программного обеспечения: Microsoft, IBM, Hewlett-Packard, Symantec, Лаборатория Касперского, DocsVision, OnTrack Data Recovery. Из 300 сотрудников Digital Design более 80 имеют профессиональные сертификаты этих корпораций.
Организационная структура компании
Организационная структура компании строится на принципе выделения бизнес-единиц и корпоративного центра. Организационная структура компании представлена на рис. 1.
Рис. 1 Организационная структура компании DD
Бизнес-единицы
Бизнес-единицы формируются в соответствии с направлениям бизнеса компании. Каждая бизнес-единица является самостоятельным производственно-коммерческим подразделением, объединяющим основные функции (маркетинг, продажи и производство) по одному из направлений бизнеса. Руководство бизнес-единицы полностью отвечает за результаты её деятельности, находится в линейном подчинении высшего руководства компании и в функциональном подчинении руководства подразделений корпоративного центра.
Существующие в Компании бизнес-единицы и соответствующие им направления бизнеса:
|
Бизнес-единица |
Направление бизнеса |
|
|
Департамент программных решений (ДПР) |
Разработка заказного программного обеспечения ИС |
|
|
Департамент инфраструктурных решений (ДИР) |
Создание и сопровождение инфраструктуры ИС |
|
|
Департамент бизнес-решений (ДБР) |
Консалтинг и внедрение бизнес-приложений ИС |
|
|
Департамент развития и исследований (ДРИ) |
Разработка тиражируемого программного обеспечения ИС |
|
|
Центр технического обучения (ЦТО) |
Обучение в области ИТ |
Корпоративный центр
Подразделения корпоративного центра формируются по функциональному принципу. Они направляют, координируют, контролируют и оказывают методическую помощь бизнес-единицам в их деятельности по своим функциональным областям, а также централизованно обеспечивают общие для бизнес-единиц вспомогательные ресурсы и услуги.
Существующие в Компании подразделения корпоративного центра и соответствующие им функциональные области:
|
Подразделения корпоративного центра |
Функциональные области |
|
|
Коммерческий департамент (КД) |
Маркетинг и продажи |
|
|
Финансово-экономический департамент (ФЭД) |
Финансы |
|
|
Департамент управления персоналом (ДУП) |
Персонал |
|
|
Департамент управления качеством (ДУК) |
Бизнес-процессы и качество |
|
|
Служба информационных технологий (СИТ) |
Информационно-технологическое обеспечение |
|
|
Административно-хозяйственное управление (АХУ) |
Административно-хозяйственное обеспечение |
Перечень и назначение информационных систем:
- ИС «1С: Бухгалтерия»
«1С: Бухгалтерия» предназначена для автоматизации бухгалтерского и налогового учета, включая подготовку обязательной (регламентированной отчетности). Администрирование и поддержка ИС осуществляется сотрудниками отдела ИТ. Доступ к ИС осуществляется с использованием терминального доступа («тонкий клиент»).
- ИС «1С: Зарплата и Управление Персоналом»
«1С: Зарплата и Управление Персоналом» предназначена для комплексной автоматизации кадрового учета и расчета заработной платы на небольших и средних предприятиях, в том числе имеющих сложную юридическую структуру.
- Microsoft Exchange Server -- программный продукт для обмена сообщениями и совместной работы. Основные функции Microsoft Exchange: обработка и пересылка почтовых сообщений, совместный доступ к календарям и задачам, поддержка мобильных устройств и веб-доступ, интеграция с системами голосовых сообщений (начиная с Exchange 2007), поддержка систем обмена мгновенными сообщениями (поддержка удалена с версии Exchange 2003).
- ИС СЭД Docsvision
СЭД Docsvision - программная платформа, созданная для управления документами и бизнес-процессами СЭД.
Перечень и назначение систем информационной безопасности:
- «СКУД «Орион» - совокупность программно-аппаратных технических средств безопасности, имеющих целью ограничение и регистрацию входа-выхода объектов (людей, транспорта) на заданной территории через «точки прохода»: двери, ворота, КПП;
- Межсетевые экраны - осуществляют контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами;
- Антивирусное ПО - защита системы от вредоносного ПО;
- Средства резервного копирования информации - восстановление данных в оригинальном или новом месте их расположения в случае их повреждения или разрушения;
- Источники бесперебойного питания - Источник дополнительной энергии в случае отключения основного электроснабжения;
- Системы аутентификации пользователей - Проверка подлинности пользователя путём сравнения введённого им пароля с паролем, сохранённым в базе данных пользователей;
- Система видеонаблюдения - Осуществляет наблюдение за организацией как внутри, так и снаружи здания;
Топология сети компании «Digital Design»
Рис. 2 Топология сети
2. Программа аудита
Цели аудита:
- оценить уровень соответствия системы управления информационной безопасностью компании требованиям ISO/IEC 27001:2013;
- получить сертификат соответствия системы управления информационной безопасности компании по стандарту ISO 27001:2013.
Сроки проведения аудита: 25.03.2015-29.03.2015.
Расписание
3. Чек-лист
|
№ |
Вопрос |
Ответ (Да\Нет) |
Доказательство |
|
|
4.1 |
Определены ли в организации внешние и внутренние проблемы, имеющие отношение к достижению целей СУИБ? |
да |
Политика ИБ |
|
|
4.2 |
Определены ли организацией заинтересованные стороны, которые имеют отношение к СУИБ? |
да |
Интервью с руководством |
|
|
4.3 |
Определены ли организацией границы и область применения СУИБ? |
да |
Политика ИБ |
|
|
4.4 |
Внедрена ли в организации СУИБ? |
да |
Политика ИБ, наблюдение |
|
|
5.1 |
Демонстрирует ли высшее руководство лидерство и обязательства в отношении СУИБ? |
да |
Интервью с руководством |
|
|
5.2 |
Документирована ли в организации политика ИБ? |
да |
Политика ИБ |
|
|
5.3 |
Определены ли руководством полномочия и ответственность для ролей, имеющих отношение к ИБ? |
да |
Документ « Распределение ролей и ответственности » |
|
|
6.1.1 |
Позволяет ли спланированная СУИБ добиваться необходимых результатов? |
да |
Наблюдение |
|
|
6.1.2 |
Оцениваются ли риски ИБ в организации? |
да |
Документ «Оценка рисков нарушения ИБ », Методика оценки рисков нарушения ИБ |
|
|
6.1.3 |
Выполняет ли организация процесс обработки рисков ИБ? |
да |
Документ « План обработки рисков ИБ» |
|
|
6.2 |
Установлены ли в организации цели ИБ? |
да |
Политика ИБ |
|
|
7.1 |
Предоставляет ли организация ресурсы, необходимые для создания, внедрения, поддержания и постоянного улучшения СУИБ? |
да |
Опрос руководителя службы ИБ, сметы по закупке средств защиты |
|
|
7.2 |
Обладают ли сотрудники соответствующими знаниями, компетенцией и опытом в области своей деятельности? |
да |
Записи о степени подготовки, навыках и опыте сотрудников |
|
|
7.3 |
Доведена ли до сотрудников политика ИБ? |
да |
Опрос сотрудников |
|
|
7.4 |
Имеют место внутренние и внешние коммуникации в рамках СУИБ? |
да |
Наблюдение, должностные инструкции |
|
|
7.5.1 |
Документирована ли организацией информация о СУИБ? |
да |
Положение об организации СУИБ |
|
|
7.5.2 |
Осуществляется ли пересмотр документированной информации? |
да |
Опрос сотрудников |
|
|
7.5.3 |
В надлежащем ли состоянии хранится документированная информация? |
да |
Опрос сотрудников |
|
|
8.1 |
Планируются ли процессы по обеспечению ИБ? |
да |
Порядок выполнения процессов по обеспечению ИБ |
|
|
8.2 |
Документированы ли результаты оценки рисков ИБ? |
да |
Отчет об оценке рисков |
|
|
8.3 |
Осуществляет ли организация обработку рисков ИБ? |
да |
Методология оценки и обработки рисков |
|
|
9.1 |
Оценивает ли организация обеспечение ИБ и эффективность СУИБ? |
да |
Результаты KPI (ключевые показатели эффективности) |
|
|
9.2 |
Проводятся ли организацией внутренние аудиты? |
да |
Результаты внутренних аудитов, План проведения внутренних аудитов |
|
|
9.3 |
Анализирует ли руководство СУИБ? |
да |
Отчеты по результатам анализа СУИБ |
|
|
10.1 |
При выявленных несоответствиях следуют ли корректирующие действия? |
да |
Должностные инструкции |
|
|
10.2 |
Повышает ли организация уровень эффективности СУИБ? |
да |
Планы развития и обеспечения ИБ |
|
|
А.5.1.1 |
Доведена ли политика ИБ до сотрудников организации? |
да |
Опрос сотрудников |
|
|
А.5.1.2 |
Анализируется ли политика ИБ через запланированные промежутки времени? |
да |
План пересмотра политики ИБ |
|
|
А.6.1.1 |
Определены ли руководством обязанности по ИБ? |
да |
Должностные инструкции |
|
|
А.6.1.2 |
Согласуется ли деятельность по ЗИ с представителями других отделов компании? |
да |
Опрос руководителей отделов |
|
|
А.6.1.3 |
Поддерживаются ли соответствующие контакты с полномочными органами? |
да |
Должностные инструкции |
|
|
А.6.1.4 |
Поддерживаются ли надлежащие контакты со специальными группами (группы по интересам, форумы, специалисты)? |
да |
Повышение квалификации сотрудников в рамках ИБ |
|
|
А.6.1.5 |
Применяется ли информационная безопасность в области управления проектами? |
да |
Опрос руководителя проектов |
|
|
А.6.2.1 |
Рассмотрены ли риски, связанные с применением сотрудниками мобильных устройств? |
да |
Документ «Мобильное устройство и политика удаленного доступа» |
|
|
А.6.2.2 |
Документирована ли удаленная работа? |
да |
Документ «Мобильное устройство и политика удаленного доступа» |
|
|
А.7.1.1 |
Обладают ли сотрудники необходимой квалификацией для выполнения своих обязанностей в рамках ИБ? |
да |
Записи о степени подготовки, навыках, опыте и квалификации |
|
|
А.7.1.2 |
Все ли сотрудники подписывают трудовой договор? |
да |
Опрос руководителя по работе с персоналом |
|
|
А.7.2.1 |
Реализованы ли процедуры для сотрудников по работе с конфиденциальной информацией? |
да |
Инструкция по работе с КД |
|
|
А.7.2.2 |
Получают ли сотрудники информацию о регулярных обновлениях политики организации? |
да |
Информационная рассылка по электронной почте |
|
|
А.7.2.3 |
Знают ли сотрудники, что последует за нарушение трудовой дисциплины? |
да |
Опрос сотрудников, подписанные должностные инструкции |
|
|
А.7.3.1 |
Доводятся ли до работника или подрядчика информация и обязанности, которые остаются в силе после прекращения или смены места работы? |
да |
Условия трудового договора |
|
|
А.8.1.1 |
Составлена ли в организации опись всех активов? |
да |
Реестр активов |
|
|
А.8.1.2 |
У всех ли активов есть владелец? |
да |
Реестр активов |
|
|
А.8.1.3 |
Закреплены ли документально правила приемлемого использования активов? |
Документ «Допустимое использование активов» |
||
|
А.8.1.4 |
Возвращаются ли активы организации в связи расторжением договора? |
да |
Условия трудового договора |
|
|
А.8.2.1 |
Классифицирована ли информация с точки зрения ее значимости? |
да |
Политика классификации информации |
|
|
А.8.2.2 |
Реализован ли соответствующий набор процедур для маркировки информации? |
да |
Документ «Правила маркировки информации» |
|
|
А.8.2.3 |
Реализованы ли процедуры обработки, хранения и передачи активов в соотв. со схемой классификации? |
да |
Допустимое использование активов, политика классификации информации |
|
|
А.8.3.1 |
Существуют ли процедуры обращения со сменными носителями? |
да |
Инструкции по работе со сменными носителями, политика уничтожения и утилизации |
|
|
А.8.3.2 |
Утилизируются ли носители, которые больше не нужны организации? |
да |
Политика уничтожения и утилизации |
|
|
А.8.3.3 |
Определены ли процедуры для защиты информации от НСД? |
да |
Политика управления доступом |
|
|
А.9.1.1 |
Подтверждена ли политика управления доступом документально? |
да |
Документ «Политика управления доступом» |
|
|
А.9.1.2 |
Определены ли владельцами активов правила доступа других пользователей к своим активам? |
да |
Допустимое использование активов |
|
|
А.9.2.1 |
Есть ли официальная процедура регистрации и отмены регистрации пользователя? |
да |
Документ «Регистрация пользователей» |
|
|
А.9.2.2 |
Реализован ли для пользователей процесс инициализации? |
да |
Наблюдение, политика управления доступом |
|
|
А.9.2.3 |
Контролируется ли список используемых привилегий? |
да |
Матрица доступа, документ «Менеджмент привилегий» |
|
|
А.9.2.4 |
Реализован ли в организации процесс распределения паролей? |
да |
Парольная политика |
|
|
А.9.2.5 |
Пересматриваются ли права доступа владельцев активов? |
да |
Допустимое использование активов, политика управления доступом |
|
|
А.9.2.6 |
Удаляются ли права доступа сотрудников по окончанию их занятости? |
да |
Матрица доступа, политика управления доступом |
|
|
А.9.3.1 |
Следуют ли пользователи хорошим методам защиты при выборе паролей? |
да |
Парольная политика |
|
|
А.9.4.1 |
Ограничен ли доступ к функциям (чтение, запись, удаление, выполнение) информационной и прикладной систем в соответствии политике управления доступом? |
да |
Политика управления доступом |
|
|
А.9.4.2 |
Реализована ли безопасная процедура входа в систему? |
да |
Наблюдение |
|
|
А.9.4.3 |
Существует ли система управления паролей? |
да |
Парольная политика |
|
|
А.9.4.4 |
Контролируется ли применение утилит, которые могли бы обходить средства контроля системы и приложений? |
да |
Наблюдение |
|
|
А.9.4.5 |
Ограничен ли доступ к исходному коду программ? |
да |
Должностные инструкции, политика управления доступом |
|
|
А.10.1.1 |
Реализована ли политика по использованию криптографических средств управления? |
да |
Документ « Политика по использованию криптографических средств управления» |
|
|
А.10.1.2 |
Документирована ли система распределения криптографических ключей? |
да |
Документ « Политика по использованию криптографических средств управления» |
|
|
А.11.1.1 |
Определены ли периметры безопасности для защиты зон, содержащих критичную информацию и средства ее обработки? |
да |
Наблюдение, ограждение по периметру, шлагбаум и КПП |
|
|
А.11.1.2 |
Только уполномоченному персоналу разрешен доступ на территорию безопасных зон? |
да |
Контрольно-пропускной пункт |
|
|
А.11.1.3 |
Применяется ли физическая защита офисов, помещений и устройств? |
да |
Видеонаблюдение, вход в офис при помощи пропусков |
|
|
А.11.1.4 |
Ознакомлены ли сотрудники с техникой безопасности? |
да |
Журналы по технике безопасности |
|
|
А.11.1.5 |
Разработаны ли процедуры для работы в безопасных зонах? |
да |
Должностные инструкции, техника безопасности |
|
|
А.11.1.6 |
Контролируются ли места доступа, где посторонние лица могут проникнуть в помещение? |
да |
Видеонаблюдение, сопровождение посторонних |
|
|
А.11.2.1 |
Расположено ли оборудование так, чтобы снизить риски возникновения угроз? |
да |
Наблюдение (экраны ПК не направлены в сторону окон) |
|
|
А.11.2.2 |
Защищено ли оборудование от сбоев электропитания и других нарушений? |
да |
Электрогенераторы резервного питания |
|
|
А.11.2.3 |
Защищены ли от перехвата силовые кабели и кабели дальней связи? |
да |
Наблюдение |
|
|
А.11.2.4 |
Документированы ли процедуры по ремонту и обслуживанию оборудования? |
да |
Документ «Техническое обслуживание» |
|
|
А.11.2.5 |
Пользуются ли сотрудники оборудованием, информацией и программным обеспечением за пределами рабочего места? |
да |
Документ «Мобильное устройство и политика удаленного доступа», должностные инструкции по работе с оборудованием, информацией и ПО за пределами рабочего места |
|
|
А.11.2.6 |
Применяется ли защита оборудования, находящегося за пределами рабочего места? |
да |
Должностные инструкции по работе с оборудованием, информацией и ПО за пределами рабочего места |
|
|
А.11.2.7 |
Затирается ли информация на носителях перед ликвидацией? |
да |
Политика уничтожения и утилизации |
|
|
А.11.2.8 |
Защищено ли оставленное без присмотра оборудование? |
да |
Наблюдение, должностные инструкции |
|
|
А.11.2.9 |
Принята ли в организации политика чистого стола? |
да |
Политика чистого экрана и рабочего стола |
|
|
А.12.1.1 |
Документированы ли рабочие процедуры? |
да |
Должностные инструкции |
|
|
А.12.1.2 |
Контролируются ли изменения в организации, бизнес-процессах, обработке информации, которые влияют на информационную безопасность? |
да |
План пересмотра политики ИБ, политика управления изменениями |
|
|
А.12.1.3 |
Ведется ли мониторинг испоьзования ресурсов? |
да |
Политика управления изменениями, техническое обслуживание |
|
|
А.12.1.4 |
Разделены ли разработка, тестирование и операционные среды? |
да |
Документ « Принципы разработки защищенной системы » |
|
|
А.12.2.1 |
Документирован ли запрет на использование нелицензионного ПО? |
да |
Инструкция по работе с ПО |
|
|
А.12.3.1 |
Создаются ли резервные копии информации и программного обеспечения? |
да |
Политика резервного копирования |
|
|
А.12.4.1 |
Ведутся ли контрольные журналы, регистрирующие действия пользователей, исключения и события в системе защиты информации? |
да |
Журналы пользовательских действий, исключений и событий безопасности |
|
|
А.12.4.2 |
Защищены ли средства ведения журнала и информация, содержащаяся в журнале, от тайного вмешательства и неразрешенного доступа? |
да |
Политика управления доступом |
|
|
А.12.4.3 |
Зарегистрированы ли действия системных администраторов и операторов? |
да |
Журналы пользовательских действий, исключений и событий безопасности |
|
|
А.12.4.4 |
Синхронизировано ли время всех значимых систем обработки информации в организации или доменов безопасности с согласованным источником точного времени? |
да |
Опрос сотрудников |
|
|
А.12.5.1 |
Документированы ли процедуры для установки и обновления ПО на операционных системах? |
да |
Должностные инструкции администратора и пользователей |
|
|
А.12.6.1 |
Получает ли организация информацию о технических уязвимостях используемых информационных систем? |
да |
Опрос сотрудников |
|
|
А.12.6.2 |
Документированы ли правила для пользователей, регулирующие установку программного обеспечения? |
да |
Должностные инструкции, менеджмент привилегий |
|
|
А.12.7.1 |
Спланированы ли и согласованы ли требования к аудиту и проверке операционных систем, для минимизации сбоев в бизнес-процессах? |
да |
Программа внутреннего аудита, результаты внутренних аудитов |
|
|
А.13.1.1 |
Документированы ли процедуры для передачи информации по сети? |
да |
Политика передачи информации |
|
|
А.13.1.2 |
Определены ли уровни сервиса и требования к управлению сетевой безопасностью? |
да |
Политика безопасности поставщика |
|
|
А.13.1.3 |
Разделены ли в сетях различные группы информационных служб, пользователей и информационных систем? |
да |
Топология сети |
|
|
А.13.2.1 |
Контролируется ли обмен информацией, осуществляемый с помощью всех типов средств связи? |
да |
Политика передачи информации |
|
|
А.13.2.2 |
Контролируется ли обмен информацией и программным обеспечением между организацией и внешними сторонами? |
да |
Соглашения об обмене информацией и программным обеспечением между организацией и внешними сторонами, политика безопасности поставщика |
|
|
А.13.2.3 |
Защищена ли информация, включенная в электронный обмен сообщениями, надлежащим образом? |
да |
Политика передачи информации |
|
|
А.13.2.4 |
Задокументированы ли требования конфиденциальности? |
да |
Соглашения о неразглашении конфиденциальной информации |
|
|
А.14.1.1 |
Включены ли требования, связанные с информационной безопасностью в требования для новых ИС? |
да |
Опрос руководителя службы ИБ, модель угроз, процедура управления инцидентами, политика ИБ |
|
|
А.14.1.2 |
Проверяется ли подлинность сторон, участвующих в обмене информацией через общественные сети? |
да |
Политика передачи информации |
|
|
А.14.1.3 |
Документировано ли использование цифровых подписей? |
да |
Политика использования цифровых подписей, сертификаты цифровых подписей |
|
|
А.14.2.1 |
Установлены ли правила разработки программного обеспечения и систем? |
да |
Принципы разработки защищенной системы |
|
|
А.14.2.2 |
Контролируются ли изменения в системах в рамках разработки жизненного цикла? |
да |
Политика управления изменениями |
|
|
А.14.2.3 |
При изменении операционных систем рассматриваются ли и тестируются ли критические для бизнеса приложения? |
да |
План тестирования, политика управления изменениями |
|
|
А.14.2.4 |
Контролируются ли модификации в пакетах программ? |
да |
Политика управления изменениями |
|
|
А.14.2.5 |
При внедрении новых технологий анализируются ли повторно риски безопасности? |
да |
Методология оценки и обработки рисков |
|
|
А.14.2.6 |
Установлены ли в организации безопасные условия развития и интеграции системы, которые охватывают весь жизненный цикл разработки системы? |
да |
Принципы разработки защищенной системы |
|
|
А.14.2.7 |
Контролируется ли организацией аутсорсинговая разработка программного обеспечения? |
да |
Договоры с аутсорсинговыми компаниями |
|
|
А.14.2.8 |
Осуществляется ли тестирование функциональных возможностей системы в процессе ее разработки? |
да |
План тестирования |
|
|
А.14.2.9 |
Устанавливаются ли программы приемочных испытаний и связанных с ними критериев для новых информационных систем, обновлений и новых версий? |
да |
Принципы разработки защищенной системы, план тестирования |
|
|
А.14.3.1 |
Тщательно ли отобраны, защищены и проконтролированы данные об испытаниях? |
да |
Результаты испытаний, контроль доступа |
|
|
А.15.1.1 |
Согласованы ли с поставщиком требования информационной безопасности для смягчения рисков, связанных с доступом поставщика к активам организации? |
да |
Политика безопасности поставщика |
|
|
А.15.1.2 |
Установлены ли и согласованы ли все соответствующие требования информационной безопасности с каждым поставщиком, который может получить доступ к обработке, хранению информации организации? |
да |
Политика безопасности поставщика |
|
|
А.15.1.3 |
Включают ли договоры с поставщиками требования по устранению рисков информационной безопасности, связанных с информационными и коммуникационными технологиями услуг и поставок продукции? |
да |
Договоры с поставщиками, план устранения рисков |
|
|
А.15.2.1 |
Проводит ли организация мониторинг, обзор и аудит поставщика, предоставляющий услуги? |
да |
Договоры с поставщиками |
|
|
А.15.2.2 |
Сопровождаются ли изменения в предоставлении услуг поставщиками переоценкой рисков? |
да |
Политика безопасности поставщика, политика управления изменениями |
|
|
А.16.1.1 |
Установлены ли обязанности руководства и процедуры для обеспечения быстрого, результативного и организованного реагирования на инциденты в системе защиты информации? |
да |
Должностные инструкции, политика управления инцидентами |
|
|
А.16.1.2 |
Доводятся ли до сотрудников события информационной безопасности? |
да |
Опрос сотрудников |
|
|
А.16.1.3 |
Сообщают ли работники предприятия и подрядчики, использующие информационные системы и услуги организации о любых замеченных или подозреваемых слабых местах информационной безопасности в системах или услугах? |
да |
Должностные инструкции, политика управления инцидентами |
|
|
А.16.1.4 |
Оцениваются ли события по информационной безопасности, чтобы принимать решения по поводу отнесения их к инцидентам ИБ? |
да |
Политика управления инцидентами |
|
|
А.16.1.5 |
Документированы ли процедуры реагирования на инциденты ИБ? |
да |
Должностные инструкции, процедура управления инцидентами |
|
|
А.16.1.6 |
Используются ли знания, полученные в результате анализа и решения инцидентов ИБ, чтобы уменьшить вероятность или воздействие будущих инцидентов? |
да |
Опрос руководителя службы ИБ, пересмотр политики ИБ |
|
|
А.16.1.7 |
Определяет ли и применяет организация процедуры идентификации, сбора, приобретения и сохранения информации, которая может служить в качестве доказательств? |
да |
||
|
А.17.1.1 |
Документированы ли организацией требования непрерывности управления информационной безопасностью? |
да |
Стратегия непрерывности бизнеса |
|
|
А.17.1.2 |
Внедряет ли и поддерживает организация процессы, процедуры и контроль для обеспечения необходимого уровня непрерывности информационной безопасности во время неблагоприятной ситуации? |
да |
Процедуры непрерывности бизнеса |
|
|
А.17.1.3 |
Установлены ли и внедрены элементы управления непрерывности ИБ? |
да |
Стратегия непрерывности бизнеса, процедуры непрерывности бизнеса |
|
|
А.17.2.1 |
Резервируются ли средства обработки информации? |
да |
Наблюдение |
|
|
А.18.1.1 |
Определены ли руководством все законы, применимые к организации в целях удовлетворения потребностей для их типа бизнеса? |
да |
Нормативно-правовая база |
|
|
А.18.1.2 |
Реализованы ли подходящие процедуры для обеспечения прав на интеллектуальную собственность и по использованию патентованных программных продуктов? |
да |
Процедуры по работе с интеллектуальной собственностью и патентами |
|
|
А.18.1.3 |
Защищены ли записи от потери, разрушения и фальсификации, в соответствии с уставными, нормативными, договорными и деловыми требованиями? |
да |
||
|
А.18.1.4 |
Обеспечена ли конфиденциальность и защита персональных данных в соответствии с требованиями соответствующего законодательства? |
да |
Опрос оператора персональных данных, положение о защите персональных данных |
|
|
А.18.1.5 |
Использованы ли криптографические средства управления в соответствии со всеми соглашениями, законодательством и правилами? |
да |
Политика по использованию криптографических средств управления |
|
|
А.18.2.1 |
Рассматривается ли подход организации к управлению информационной безопасностью и ее реализации через запланированные интервалы или при возникновении существенных изменений? |
да |
План пересмотра политики ИБ |
|
|
А.18.2.2 |
Производится ли анализ процессов обработки информации на соответствие политикам безопасности, стандартам и другим требованиям по безопасности? |
да |
Опрос сотрудников, Внутренний аудит |
|
|
А.18.2.3 |
Пересматриваются ли информационные системы на предмет соответствия политике ИБ и стандартам организации? |
да |
Внутренний аудит, план пересмотра политики ИБ |
4. Аудиторский отчет
Дата формирования отчета: 29.03.2015.
Сроки проведения аудита: 25.03.2015-29.03.2015.
Список используемой литературы
1. Международный стандарт ISO/IEC 27001:2013.
2. Международный стандарт ISO/IEC 27002:2013.
3. Аверченков В.И. Аудит информационной безопасности. Учебное пособие для вузов. 2-е изд., стереотип. М. ФЛИНТА, 2011. 269 с. ISBN 978-5-9765-1256.
4. Голованов В.Б., Зефиров С.Л., Курило А.П. Аудит информационной безопасности. Москва: БДЦ-Пресс; 2006. 305 с. ISBN: 5-93306-100-x.
5. URL: http://digdes.ru/ Дата обращения: [26.03.2015].
Размещено на Allbest.ru
...Подобные документы
Задачи, которые решаются в ходе аудита защищенности информационной системы. Этапы экспертного аудита. Тест на проникновение (пентест) в информационную систему: объекты, этапы. Цели проведения аудита web–приложений. Аудит на соответствие стандартам.
отчет по практике [26,0 K], добавлен 22.09.2011Понятие и цели проведения аудита информационной безопасности. Анализ информационных рисков предприятия и методы их оценивания. Критерии оценки надежности компьютерных систем. Виды и содержание стандартов ИБ. Программные средства для проведения аудита ИБ.
дипломная работа [1,7 M], добавлен 24.06.2015Основные направления деятельности в области аудита безопасности информации как проверки соответствия организации и эффективности защиты информации установленным требованиям и/или нормам. Этапы экспертного аудита. Понятие аудита выделенных помещений.
лекция [803,6 K], добавлен 08.10.2013Доктрина информационной безопасности Российской Федерации. Проверка используемых компанией информационных систем с последующей оценкой рисков сбоев в их функционировании. Закон "О персональных данных". Деление активного аудита на внешний и внутренний.
презентация [14,5 M], добавлен 27.01.2011Организация информационной инфраструктуры. Анализ уровня информатизации образовательных учреждений. Проблемы, цели и методика проведения аудита ИТ-инфраструктуры. Проведение анализа уровня лицензирования программного обеспечения в учреждении образования.
курсовая работа [1,7 M], добавлен 09.08.2012Подготовка письма о проведении аудита. Оценка эффективности системы внутреннего контроля ОАО "Пекарь". Определение величины аудиторского риска. Анализ уровня существенности для каждого показателя отчетности. Составление плана и программы аудита.
контрольная работа [136,3 K], добавлен 10.11.2010Назначение руководителя аудиторской группы. Подготовка рабочих документов. Проведение вступительного совещания. Формирование наблюдений аудита. Утверждение и рассылка отчета. Чек-лист для внутреннего аудита в предметно-методическом отделе МБОУ "СОШ №11".
курсовая работа [141,3 K], добавлен 06.04.2015Необходимость проведения аудита экономического субъекта. Перечень сопутствующих аудиту услуг, которые предоставляются аудируемой организации. Анализ деятельности предприятия и оценка внутреннего контроля. Свод запланированных аудиторских процедур.
курсовая работа [97,7 K], добавлен 19.03.2012Нормативно-правовое регулирование аудита финансовых вложений. Установление уровня существенности и аудиторского риска при аудите финансовых вложений. Оценка полученных аудиторских доказательств. Формирование отчета аудитора по результатам проверки.
курсовая работа [610,6 K], добавлен 11.12.2014Характеристика аудиторского контроля с точки зрения современного законодательства. Проведение внутреннего аудита. Особенности первоначального и периодического аудита. Инструменты аудиторской проверки - методы фактической и документальной проверки.
курсовая работа [59,8 K], добавлен 02.06.2011Письмо-обязательство аудиторской организации о согласии на проведение аудита. Перечень сопутствующих аудиту услуг, которые могут быть предоставлены аудируемой организации. Планируемый уровень существенности. Свод запланированных аудиторских процедур.
курсовая работа [50,9 K], добавлен 02.10.2011Цели и задачи аудита учетной политики, его информационная база и используемые нормативные документы. Оценка системы внутреннего контроля и расчет уровня существенности и аудиторского риска, составление плана и программы аудита, аудиторского заключения.
курсовая работа [316,1 K], добавлен 17.12.2011Организация, планирование и проведение аудита, оформление его результатов. Оценка материальности (существенности) и аудиторского риска. Оценка риска аудита и его составных частей. Состояние внутрихозяйственного контроля и учетной политики на предприятии.
курсовая работа [39,6 K], добавлен 27.08.2010Понятие и виды аудиторского риска, расчёт его величины. Оценка аудиторского риска при проверке расчётов с поставщиками и подрядчиками ООО "Санаторий", определение показателей для оценки уровня существенности аудита. Договор на оказание аудиторских услуг.
курсовая работа [42,8 K], добавлен 22.12.2012Сущность, цели и задачи аудита аудиторской деятельности. Виды, принципы проведения аудита, услуги, сопутствующие аудиту. Права и обязанности аудитора, руководства и иных должностных лиц аудируемой организации. Последствия принятия экономических решений.
реферат [33,0 K], добавлен 21.03.2017Международные стандарты аудита, их классификация и порядок разработки. Комментарии к федеральному стандарту №6 "Аудиторское заключение по финансовой (бухгалтерской) отчетности". Сравнительная характеристика федерального (правила) стандарта № 6 и МСА 700R.
курсовая работа [34,4 K], добавлен 12.10.2010Сущность, виды, формы и цели аудита. Методика проведения аудита продажи готовой продукции, его проведение на примере Ижевского филиала ООО "Птицефабрика "Вараксино". Расчет уровня существенности и аудиторского риска. Составление плана и программы аудита.
курсовая работа [2,2 M], добавлен 15.05.2014Составление письма о согласии на проведение аудиторской проверки. Договор на проведение обязательного аудита между организацией и экономическим субъектом. Определение уровня существенности и аудиторского риска. Общий план и программа аудиторской проверки.
контрольная работа [44,7 K], добавлен 20.09.2014Рассмотрение понятия, этапов развития, видов и принципов международной системы аудита. Изучение особенностей оценки риска при использовании информационных систем. Ознакомление с правилами составления отчета о выполнении специального аудиторского задания.
курс лекций [81,0 K], добавлен 22.05.2010Положения по международной практике аудита 1005 "Особенности аудита малых предприятий"; основные характеристики, определение степени их воздействия на применение "Международного Стандарта Аудита". Оказание услуг аудитора в области бухгалтерского учета.
контрольная работа [50,0 K], добавлен 06.12.2011
