Глоссарий
Информационная безопасность, ИБ
состояние (качество) определённого объекта (в качестве объекта может выступать информация, данные, ресурсы автоматизированной системы, автоматизированная система, информационная система предприятия, общества, государства и т. п.)[1];
деятельность, направленная на обеспечение защищенного состояния объекта (в этом значении чаще используется термин «защита информации»)[2].
Информационная система, ИС
[3] даёт следующее определение: «информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств».
В данном дипломном проекте используется более широкое определение: информационная система есть совокупность технического, программного и организационного обеспечения, а также персонала, предназначенная для того, чтобы своевременно обеспечивать надлежащих людей надлежащей информацией [4].
Малое предприятие, МП
В соответствии с [5], «МАЛЫЕ ПРЕДПРИЯТИЯ — организации и предприятия различных отраслей экономики, имеющие численность персонала, не превышающую пределы, установленные законодательством».
В данной дипломной работе под малыми предприятиями подразумеваются организации, занятые в розничной торговле и бытовом обслуживании населения, численность работников которых за отчетный период не превышает 30 человек.
Аудит информационной безопасности
Периодический независимый и документированный процесс получения свидетельств аудита и объективной оценки с целью определить степень выполнения в организации установленных требований по обеспечению информационной безопасности [1].
Аудит информационной системы на соответствие стандартам информационной безопасности
Процесс получения оценки уровня соответствия информационной системы предприятия требованиям информационной безопасности, изложенным в общедоступных российских и международных стандартах.
Угроза
Угроза (безопасности информации): совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации [1]
Архитектура информационной системы
Архитектура информационной системы — концепция, определяющая модель, структуру, выполняемые функции и взаимосвязь компонентов информационной системы [7].
Глава 1. Общая информация об аудите информацинной безопасности
Определение
В соответствии с пунктом 2.8.6 ГОСТ 50922-2006 [1]:
«…аудит информационной безопасности в организации – периодический независимый и документированный процесс получения свидетельств аудита и объективной оценки с целью определить степень выполнения в организации установленных требований по обеспечению информационной безопасности.
Примечание. Аудит информационной безопасности в организации может осуществляться независимой организацией (третьей стороной) по договору с проверяемой организацией, а также подразделением или должностным лицом организации (внутренний аудит)».
Виды
Аудит ИБ ИС является одной из составляющих ИТ аудита.
Внешний аудит
Внешний аудит – это, как правило, разовое мероприятие, проводимое по инициативе руководства организации или акционеров. Рекомендуется проводить внешний аудит регулярно, а, например, для многих финансовых организаций и акционерных обществ это является обязательным требованием.
Внутренний аудит
Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании «Положения о внутреннем аудите» и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации.
|