PDA

Просмотр полной версии : Аудит по информационной безопасности [Вопрос]

m0le[x]
30.03.2008, 16:04
Вообщем такой вопрос.
Планируем в своей организации предостовлять услугу аудита по информационной безопасности.
Может кто сталкивался с этим или работает в данной сфере. Стоит ли вообще этим заниматься, насколько большие вложения, с чего начинать.
Вообщем какие лицензии и сертификации нужны, какие стандарты по ИБ следует почитать.
Кое что нашел в гугле, пару стандартов и несколько статей, но хотелось бы послушать ваше мнение.
Вопрос для тех, кто может реально что то подсказать.
ezotrank
30.03.2008, 18:52
Тема довольно интересная, если что найдешь интересное дай знать.
Tarigonik
30.03.2008, 22:42
Действующие у нас в стране стандарты в области ЗИ (некоторые): Руководящий документ "Автоматизированные системы: защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации", руководящий документ "Средства вычислительной техники: защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации", руководящий документ "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий" (ОК), руководящий документ "СВТ: МЭ. Защита от НСД к информации. Показатели защищенности от НСД к информации" и тд.
Если вы собираетесь стать органом по аттестации объектов информатизации, то советую посмотреть эти документы: положение (http://www.fstec.ru/_docs/doc_2_2_012.htm) по аттестации объектов информатизации по требованиям безопасности информации, положение (http://www.fstec.ru/_docs/doc_2_2_018.htm) об органе по аттестации объектов информатизации по требованиям безопасности информации, положение (http://www.fstec.ru/_docs/doc_2_2_019.htm) об испытательной лаборатории, и тд.
Если вы собираетесь работать там, где есть ГТ, то будет еще куча требований, поэтому напишите точнее, где вы планируете проводить аудит.
По поводу стоит/нестоит, имхо это зависит от: желания, спроса на эту услугу в вашем городе/регионе и конкуренции.
Известные международные стандарты: ISO 15408, ISO 17799, COBIT 3rd Edition
Так же могут быть интересны ГОСТ Р 51583-2000, ГОСТ 51624-2000, другие документы на сайте ФСТЭК (http://fstev.ru)