Оценка безопасности информационных технологий
-
Оценка безопасности информационных технологий
- Исследование для выявления уязвимостей в ИТ-безопасности.
- Оценщик сотрудничает с организацией, предоставляя доступ к объектам и информации.
- Цель — интеграция средств контроля безопасности в проекты и выявление улучшений.
-
Цель оценки безопасности
- Обеспечение соответствия средств контроля безопасности корпоративным политикам.
- Устранение пробелов в безопасности через руководство или принятие рисков.
-
Методология оценки безопасности
- Изучение требований и анализ ситуации.
- Создание и обновление политики безопасности.
- Обзор документов и анализ рисков.
- Проверка на уязвимости и анализ данных.
- Отчет и брифинг с информацией о системе, требованиях к безопасности и выводах.
-
Пример отчета об оценке безопасности
- Содержит введение, описание руководителей, объем и цели оценки, допущения и ограничения.
- Описывает методы и инструменты оценки, текущую среду и результаты проверки на уязвимости.
- Включает анализ рисков, рекомендации и критические замечания.
-
Количественный анализ рисков
- Влияет на определение приоритетов рисков и одобрение инвестиций.
- Пример количественного анализа рисков в исследовании Министерства по делам ветеранов США.
-
Профессиональные сертификаты для оценки безопасности
- Существуют общепринятые сертификаты, не зависящие от поставщика.
- Примеры включают ЦИСПП, CCSP, ЦИМ, CISA, Аудитор ISO/IEC 27001:2013/Ведущий аудитор, КРИСК, QSA/ISA.
-
Автоматизированные инструменты оценки безопасности
- Инструменты для самостоятельной или сторонней оценки безопасности.
- Примеры включают Панорамы, Инструменты быстрого огня, За пределами безопасности, Код Veracode, Наблюдение за рисками, Солнечные ветры, ISC2, Ассоциация по аудиту и контролю информационных систем, БЕЗ института.
-
Рекомендации
- Упоминается работа Касас III, Викториано «Модель оценки рисков информационной безопасности для государственных и университетских администраторов» (2006).