- PVSM.RU - https://www.pvsm.ru -
Как определить степень защищенности системы (объекта информатизации)?
Сегодня существует два наиболее распространенных типа аудита ИБ: первый – оценка соответствия требованиям стандартов (compliance) и второй – моделирование угроз и оценка рисков.
Оба типа имеют недостатки, результатом которых может стать некорректная оценка. В первом случае мы проверяем соответствие нашей системы требованиям, предъявляемым к широкому кругу систем. Эти требования не могут учитывать специфику конкретной системы, и поэтому существует вероятность наличия излишних требований или недостатка необходимых. Во втором случае результат зависит только от квалификации и осведомленности аудитора.
Под катом описана методика аудита ИБ, минимизирующая эти недостатки.
В основе предлагаемой методики лежит построение деревьев отказов и причин (из теории графов). Ниже действия аудитора приведены поэтапно.
1. Подготовительные мероприятия
2. Построение деревьев отказов
3. Построение деревьев причин
4. Оценка выполнения требований
Иллюстрация этапов 2 и 3 представлена на рисунках ниже.
Пример построения деревьев отказов:
Пример построения деревьев причин:
Автор: zxcvbnnm
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/15299
Нажмите здесь для печати.