Безопасность сетей

    0f1a9e67   

Оценка стоимости - часть 2


Этот тип оценки пригоден только для организаций с высокоразвитой программой безопасности.

В последующем обсуждении предположим, что во время проведения аудита будет проведено также испытание на возможность проникновения. Эти виды оценки подразумевают некоторое предварительное понимание рисков и наличие опыта в практической реализации системы безопасности и управления риском. Ни один из видов оценки не подходит, когда организация пробует понять текущее состояние безопасности.

Необходимо провести оценку собранной информации из трех главных источников:

  • опрос работников;
  • проверка документации;
  • инвентаризация.

Нужно проводить опрос работников, которые будут обеспечивать информацией существующие системы безопасности и направления деятельности организации. Не рекомендуется смешивать служебный персонал и руководителей. Опрашивающий должен непринужденно направить разговор на задачи оценки и на то, как человек может содействовать защите информационных активов. Имейте в виду, что сотрудник может заверить вас, что ни одно из направлений обеспечения информационной безопасности активов за ним не закреплено.

Обязательно изучите все существующие политики, связанные с безопасностью. Исследование не должно ограничиваться только готовыми документами, внимательно прочитайте и черновики.

Последний этап сбора информации - инвентаризация всех материальных ценностей организации.

При проведении оценки изучают следующие моменты:

  • сетевое окружение;
  • физические меры безопасности;
  • существующие политики и процедуры;
  • меры предосторожности, принятые на местах;
  • осведомленность работников в вопросах безопасности;
  • персонал;
  • загруженность персонала;
  • взаимоотношения работников;
  • строгое соблюдение работниками установленной политики и мероприятий;
  • специфику деятельности.




Содержание  Назад  Вперед