МІНІСТЕРСТВО ОСВІТИ, НАУКИ, МОЛОДІ ТА СПОРТУ УКРАЇНИ

НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»

ІКТА

кафедра ЗІ

Реферат

На тему: «Етапи внутрішнього аудиту СМІБ. Планування і підготовка,програма,тривалість і область діяльності аудиту СМІБ»

Виконав: ст. гр. УІ-21

Рибак А.Т.

Прийняв: Ромака В.А.  

Львів 2012

ПЛАН

1. Міжнародні стандарти в аудиті.

2. Визначення головних термінів.

3. Завдання та етапи внутрішнього аудиту СМІБ.

4..План,програма,тривалість аудиту.

5. Висновок.

6. Список Літератури.

1.Міжнародні стандарти в аудиті.

ISO 27001 (раніше ISO/IEC 17799:2005) – міжнародний стандарт інформаційної безпеки, опублікований організаціями ISO и IEC. «Інформаційні технології - Технології безпеки - Практичні правила менеджменту інформаційної безпеки». Стандарт ISO 27001 містить у собі загальні принципи і кращу практику впровадження, забезпечення і оптимізації управління інформаційної безпеки на всіх етапах життєвого циклу інформаційних систем організації.

Навіщо організації проводити аудит?

Аудит на відповідність стандарту ISO 27001 дасть організації об'єктивну оцінку стану інформаційної безпеки та рекомендації щодо її оптимізації. Проведення аудиту та подальше впровадження стандарту дозволить вирішити цілу групу проблем, пов'язаних як з поточною роботою, так і з подальшим розвитком організації.

2. Визначення головних термінів.

Аудит - незалежна оцінка поточного стану системи інформаційної безпеки, що встановлює рівень її відповідності визначеним критеріям.

Метою аудиту може бути як комплексний аудит системи захисту інформації організації-замовника, так і аудит інформаційної безпеки окремих вузлів (мережі, серверів, мереж передачі даних, систем зберігання даних та ін), критичних для роботи організації-замовника. Аудит безпеки окремих вузлів дозволяє за рахунок зниження часу і вартості аудиту забезпечити безпеку критичних об'єктів за мінімальний час.

Аудит безпеки інформаційних систем дозволяє:

1. отримати повну і об'єктивну оцінку ступеня захищеності інформаційної системи;

2. виявити й описати наявні проблеми;

3. виробити та обгрунтувати вимоги до системи безпеки в рамках заданих критеріїв;

4. оцінити рівень витрат на створення або модернізацію системи ІБ;

5. розробити ефективну програму створення або модернізації системи забезпечення інформаційної безпеки організації-замовника до заданого рівня;

6. забезпечити передбачуваність результатів дій щодо забезпечення інформаційної безпеки та запровадити прозору планову систему витрат.

Внутрішній аудит - здійснюється за допомогою створення спеціального органу всередині самої організації як самостійного структурного підрозділу (як правило, підпорядковується безпосередньо керівнику організації – президентові, генеральному директору, тобто виконавчому керівництву, або власникам – зборам акціонерів у акціонерному товаристві, зборам учасників в товаристві з обмеженою відповідальністю тощо).

Внутрішній аудит розглядається як частина загальної системи управління та контролю за діяльністю організації, яка пов’язана із СМІБ. Здійснюється він за рішенням керівництва.

План аудиту - це документ, який за своїм змістом є більш деталізованим, ніж загальна стратегія аудиту. Зокрема, він розглядає характер, час та обсяг аудиторських процедур, які повинні виконуватися працівниками аудиторської фірми для отримання достатніх та відповідних аудиторських доказів з метою зменшення аудиторського ризику до прийнятно низького рівня.

Програма аудиту - це детальний перелік змісту аудиторських процедур. Цей перелік є детальною інструкцією для асистентів аудитора та пересічних учасників перевірки, який також є засобом контролю за якістю їхньої роботи