Сбор исходных данных для проведения аудита
Качество проводимого аудита безопасности во многом зависит от полноты и точности информации, которая была получена в процессе сбора исходных данных. Поэтому информация должна включать в себя: существующую организационно-распорядительную документацию, касающуюся вопросов информационной безопасности, сведения о программно-аппаратном обеспечении АБС, информацию о средствах защиты, установленных в АБС, и т.д.
Сбор исходных данных может осуществляться с использованием следующих методов:
- интервьюирование сотрудников заказчика, обладающих необходимой информацией. При этом интервью, как правило, проводится как с техническими специалистами, так и с представителями руководящего звена банка. Привлечение представителей руководящего звена обусловлено необходимостью сбора информации не только технического характера, но и определения бизнес-процессов организации. Необходимо отметить, что перечень вопросов, которые планируется обсудить в процессе интервью, согласовывается заранее;
- предоставление опросных листов по определенной тематике, самостоятельно заполняемых сотрудниками заказчика. В тех случаях, когда представленные материалы не полностью дают ответы на необходимые вопросы, проводится дополнительное интервьюирование;
- анализ существующей организационно-технической документации, используемой в банке. К такой документации относятся действующая политика информационной безопасности, IT-стратегия банка, регламенты работы с информационными ресурсами, должностные инструкции персонала и т.д.;
- использование специализированных программных средств, которые позволяют получить необходимую информацию о составе и настройках программно-аппаратного обеспечения АБС.