Jump to content

Оценка безопасности информационных технологий

Edit links

Оценка безопасности информационных технологий (Оценка ИТ-безопасности) – это детальное исследование, направленное на обнаружение и рисков ИТ-безопасности уязвимостей .

Фон

[ редактировать ]

При проведении оценки оценщик должен полностью сотрудничать с оцениваемой организацией. Организация предоставляет доступ к своим объектам, обеспечивает доступ к сети , предоставляет подробную информацию о сети и т. д. Все стороны понимают, что целью является изучение безопасности и определение улучшений для защиты систем. Оценка безопасности потенциально является наиболее полезной из всех проверок безопасности .

Цель оценки безопасности

[ редактировать ]

Цель оценки безопасности (также известной как аудит безопасности, проверка безопасности или оценка сети). [ 1 ] ), является гарантировать, что необходимые меры безопасности интегрированы в разработку и реализацию проекта. Правильно завершенная оценка безопасности должна предоставить документацию, описывающую любые пробелы в безопасности между проектом и утвержденными корпоративными политиками безопасности. Руководство может устранить пробелы в безопасности тремя способами: Руководство может принять решение об отмене проекта, выделить необходимые ресурсы для исправления. пробелы в безопасности или принять риск на основе обоснованного анализа риска/вознаграждения.

Методология

[ редактировать ]

Следующая методология предлагается как эффективное средство проведения оценки безопасности.

  • Исследование требований и анализ ситуации
  • Создание и обновление политики безопасности
  • Обзор документов
  • Анализ рисков
  • Сканирование уязвимостей
  • Анализ данных
  • Отчет и брифинг

Образец отчета

[ редактировать ]

Отчет об оценке безопасности должен включать следующую информацию:

  • Введение/справочная информация
  • Резюме для руководителей и руководства
  • Объем и цели оценки
  • Предположения и ограничения
  • Используемые методы и инструменты оценки
  • Описание текущей среды или системы с сетевыми схемами, если таковые имеются.
  • Требования безопасности
  • Краткое изложение выводов и рекомендаций
  • Результат проверки общего контроля
  • Результаты теста на уязвимость
  • Результаты оценки рисков, включая выявленные активы, угрозы, уязвимости, оценку воздействия и вероятности, а также анализ результатов рисков.
  • Рекомендуемые меры предосторожности

Критика и недостатки

[ редактировать ]

Оценки рисков ИТ-безопасности, как и многие оценки рисков в ИТ, на самом деле не являются количественными и не отражают риск каким-либо актуарно обоснованным образом. Количественное измерение риска может оказать существенное влияние на определение приоритетности рисков и получение одобрения инвестиций. [ 2 ]

Количественный анализ рисков был применен к ИТ-безопасности в крупном исследовании правительства США в 2000 году. Федеральный совет ИТ-директоров заказал исследование инвестиций в ИТ-безопасность в размере 100 миллионов долларов США для Департамента по делам ветеранов , результаты которого были показаны количественно. [1] Департамент по делам ветеранов США.

Профессиональные сертификаты

[ редактировать ]

Существуют общие профессиональные сертификаты, не зависящие от поставщика, для проведения оценки безопасности.

  • ЦИССП
  • CCSP
  • СИЗМ
  • СНГА
  • Аудитор по ISO/IEC 27001:2013/Ведущий аудитор
  • КРИСК
  • QSA/ISA

Инструменты автоматической оценки безопасности

[ редактировать ]

Существуют общие инструменты для автоматической оценки безопасности для самостоятельного использования или использования третьими лицами.

  • Выводы
  • панорамы
  • Инструменты RapidFire
  • За пределами безопасности
  • Веракод
  • РискВотч
  • Солнечные Ветры
[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ «4 признака того, что вам нужна оценка сети» . ccbtechnology.com . Проверено 20 февраля 2018 г.
  2. ^ Хаббард, Дуг (1998). «Препятствующий риск». Журнал ИТ-директоров .

Касас III, Викториано. 2006. «Модель оценки рисков информационной безопасности для государственных и университетских администраторов». Прикладной исследовательский проект. Техасский государственный университет. http://ecommons.txstate.edu/arp/109/

Retrieved from "https://en.wikipedia.org/w/index.php?title=Information_technology_security_assessment&oldid=1195323302"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 14e3c9f63ee8e4ca82f62d1153e59bfc__1705133160
URL1:https://arc.ask3.ru/arc/aa/14/fc/14e3c9f63ee8e4ca82f62d1153e59bfc.html
Заголовок, (Title) документа по адресу, URL1:
Information technology security assessment - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)