Аудит безопасности ИС. Часть 2.

Суть экспертного аудита заключается в подробнейшем исследовании защиты информационной системы предприятия и в ее сравнении с некоторой идеальной системой обеспечения информационной безопасности. Причем идеал в каждом конкретном случае может меняться очень значительно. Дело в том, что он зависит от двух факторов. Первый из них - требования, предъявленные руководством компании к системе защиты. Как вы сами понимаете, у разных организаций они совершенно различны. Конечно, есть некоторые общие моменты, например аутентификация сотрудников предприятия на своих рабочих местах, однако их не так уж и много. Вторым фактором, необходимым для представления идеальной системы защиты информации, являются собственный опыт, который накоплен компанией-аудитором, а также знания о текущем положении в области информационной безопасности. Процесс экспертного аудита состоит из нескольких последовательных шагов. Первый из них - сбор максимально возможного количества данных о действующей в компании информационной системе, ее функциях, используемых технологиях и т. п. Обычно для этого используется интервьюирование сотрудников компании-заказчика и заполнение ими специально составленных анкет. Причем вопросы, задаваемые разным людям, отличаются друг от друга. Так, например, руководители разного уровня могут дать представление о требованиях, предъявляемых к системе защиты, а технические специалисты - данные об основах функционирования информационной системы предприятия и используемых для ее безопасности продуктах и технологиях.