Введение
Глава 1. Основы проведения аудита информационной безопасности организаций : 14
1.1. Аудит информационной безопасности организаций 14
1.1.1 .Определение термина «аудит информационной безопасности» 14
1.1.2. Цели аудита информационной безопасности 16
1.1.3.Задачи аудита информационной безопасности 17
1.2. Классификация аудита информационной безопасности 18
1.2.1. Типы аудита информационной безопасности 18
1.2.2. Виды аудита информационной безопасности 19
1.2.3. Методы проведения аудита информационной безопасности 26
1.3. Правовые и методологические основы аудита информационной безопасности 28
1.4. Выводы к главе 1 30
Глава 2. Обоснование теоретических и методологических аспектов обеспечения и проведения внутреннего аудита информационной безопасности 31
2.1. Анализ существующих направлений и методов аудита информационной безопасности 31
2.2.Обоснование необходимости разработки нового метода проведения внутреннего аудита информационной безопасности 36
2.3. Риск-ориентированный подход к проведению аудита информационной безопасности 38
2.4. Достоинства и недостатки методов оценки рисков информационной безопасности 42
2.5. Разработка концептуальной модели информационной безопасности 46
2.5.1. Анализ рисков 49
2.5.2. Ценные активы организации 51
2.5.3. Анализ уязвимостей 53
2.5.4. Модель угроз информационной безопасности организаций 55
2.5.5 .Модель нарушителя 55
2.5.6. Ущерб от нарушения информационной безопасности 56
2.5.7.Оценка рисков информационной безопасности 57
2.5.8.Мониторинг и оценка уровня обеспечения информационной безопасности 59
2.6. Выводы К главе 2 60
Глава 3. Разработка метода обеспечения и проведения внутреннего аудита информационной безопасности организаций на основе риск-ориентированного подхода 62
3.1 .Алгоритм проведения внутреннего аудита информационной безопасности на основе риск-ориентированного подхода 62
3.2. Подготовительный этап 62
3.2.1. Инициирование проведения аудита информационной безопасности 63
3.2.2. Планирование аудита информационной безопасности 64
3.2.3.Общее исследование организации 66
3 .Исследовательский этап 68
3.3.1. Исследование организации: информационные ресурсы, системы, потоки 69
3.3.2. Исследование ценных активов организации 70
3.3.3. Исследование обеспечения информационной безопасности организации 73
3.4.Оценочный этап 75
3.4.1. Анализ уязвимостей 76
3.4.2. Модель нарушителя 78
3.4.3. Уровень исходной защищенности ценного актива 79
3.4.4. Ущерб организации от нарушения информационной безопасности 85
3.4.5. Угрозы информационной безопасности организации: анализ, оценка и модель угроз 91
3.4.6. Уровень риска информационной безопасности 95
3.4.7. Модель оценки риска информационной безопасности 98
3.4.8.Определение уровня обеспечения информационной безопасности организации 100
3.5.Заключительный этап 103
3.5.1. Разработка рекомендаций 103
3.5.2. Составление аудиторского отчета 105
3.6. Выводы к главе 3 108
Глава 4. Оценка и анализ эффективности применения разработанного метода обеспечения и проведения внутреннего аудита информационной безопасности организации на основе риск-ориентированного подхода 110
4.1. Модель внутреннего аудита информационной безопасности на основе риск ориентированного подхода 110
4.2.Оценка эффективности разработанного метода обеспечения и проведения внутреннего аудита информационной безопасности 114
4.2.1. Экспериментальная оценка эффективности разработанного метода аудита 114
4.2.2. Сравнительная оценка эффективности разработанного метода аудита 119
4.3. Анализ разработанного метода проведения внутреннего аудита информационной безопасности организации на основе риск-ориентированного подхода 124
4.3.1.Общие характеристики разработанного метода аудита информационной безопасности организаций 124
4.3.2. Достоинства и недостатки разработанного метода аудита информационной безопасности организаций 125
4.3.3. Практическая и теоретическая применимость разработанного метода 126
4.4. Выводы к главе 4 128
Заключение 130
Список сокращений и условных обозначений 132
Список литературы 133
