Методи інтерв'ю. Дослідження методів аудиту систем управління інформаційною безпекою
У розглядається п’ять категорій персоналу — старший, керування СУІБ, програмні та функціональні менеджери, постачальники технологій, користувачі. Кожній з категорій відповідає своя роль у системі безпеки та свої обов’язки. Тут же звертається увага на небезпеку з боку «ображених» співробітників та комерційного шпіонажу. Виявити потенційну загрозу такого роду можливо, якщо компанія постійно веде… Читати ще >
Методи інтерв'ю. Дослідження методів аудиту систем управління інформаційною безпекою (реферат, курсова, диплом, контрольна)
Завданням методів інтерв'ю є збір інформації про можливе розташування свідоцтв аудиту, роз’яснення певної поведінки системи, роз’яснення щодо процесів організації шляхом опитування персоналу організації.
Інформаційна безпека — це не лише питання технологій та процесів, вона пов’язана і з людьми, і тому не можна автоматизувати кожен її аспект [18]. Варто зауважити, що найчастіше спеціалісти з інформаційної безпеки вказують на персонал як на найслабкішу ланку в інформаційній безпеці.
У [2] наголошується на необхідності проведення наради на самому початку проведення аудиту, обов’язково з головуванням лідера групи аудиту (якщо аудит проводить група). На цій нараді, бажана, якщо вона доцільна, присутність всіх або певної частини персоналу, який відповідає за об'єкти організації, що проходять аудит або частково залучені у проведенні аудиту. Нараду слід проводити за присутності керівництва організації. Необхідно надати можливість задавати питання учасникам наради. Під час фази збору даних група аудиту повинна розглядати інформацію, яка отримана шляхом інтерв'ю, з такої позиції, що враховуватись повинна лише та інформація, яку точно можливо перевірити. У ISO/IEC 27 001:2005 [5] в розділі про відповідальність керівництва зазначається, що організація повинна забезпечити, щоб весь персонал, для якого встановлено визначені в СУІБ відповідальності, був компетентним для виконання необхідних завдань. Така вимога, що визначена у стандарті, сама по собі може стати об'єктом аудиту, а у випадку, якщо компанія приймає відповідний стандарт або країна, в якій функціонує організація прийняла цей стандарт як державний, то аудит третьої сторони обов’язково буде включати перевірку компетентності персоналу, для отримання відповідних сертифікатів або дозволів з боку регулюючих органів.
У [4] пропонується розділити персонал, який залучено у користуванні СУІБ, на дві категорії - системні адміністратори та користувачі. До того ж, у разі проведення внутрішніх аудитів або у випадку, коли аудит має постійний характер — у ролі аудитору виступає сам системний адміністратор. В такому випадку завданням інтерв'ю буде збір даних про використання системи, роз’яснень щодо певних подій та певної діяльності користувачів у системі.
У [19] розглядається п’ять категорій персоналу — старший, керування СУІБ, програмні та функціональні менеджери, постачальники технологій, користувачі. Кожній з категорій відповідає своя роль у системі безпеки та свої обов’язки. Тут же звертається увага на небезпеку з боку «ображених» співробітників та комерційного шпіонажу. Виявити потенційну загрозу такого роду можливо, якщо компанія постійно веде внутрішній аудит.