Аудит безопасности ПО. Этапы проведения

Работы по проверке безопасной работы ПО состоят из нескольких этапов, которые объединяются в целый комплекс. Последовательная реализация всех пунктов позволяет максимально полно оценить, насколько безопасно действуют программы и выявить уязвимые места, тем самым предупреждая развитие рисков, связанных с утечками и потерями важных сведений.

Так, аудит безопасности ПО включает в себя инициирование проведения инспекции – как правило, в роли инициатора выступает непосредственный руководитель компании.

Далее следует сбор необходимых данных и последующий их анализ, после чего происходит выработка рекомендаций, касающихся улучшения текущего состояния и работа над отчётом об итогах аудиторской проверки.

Рассмотрим каждый из этапов в отдельности. Первоначальное инициирование затрагивает множество организационных вопросов, первый из которых касается прав и обязанностей, которыми наделяется аудитор. Все данные правила закрепляются в документах, среди которых может быть как должностная инструкция, так и положение о проведении проверок.

Непосредственно сам специалист-аудитор подготавливает и предоставляет руководителю клиентской компании план проведения процедуры и проводит письменное согласование.

В структуре положения о внутреннем аудите закрепляется момент оказания сотрудниками инспектируемой компании посильного содействия аудитору. Сюда же входит своевременное предоставление являющих интерес для развития фирмы сведений.

Кроме всего, этап инициирования предполагает определение границ проведения проверки. Полностью содержание плана, с обозначенными рамками должны быть обсуждены в присутствии руководителя фирмы и управляющих структурными подразделениями.

Наиболее длительным является этап сбора сведений. Сложности обычно заключаются в том, что попросту отсутствует набор документов на ИТ-решения, действующие в компании и в том, что нужно поддерживать контакты со значительным количеством ключевых сотрудников фирмы.

Далее начинается анализ данных, который включает в себя три подхода. Первый затрагивает анализ рисков, которые могут возникнуть при дальнейшем использовании установленного ПО.

Второй подход заключается в применении стандартов информационной безопасности.

Третий предполагает сочетание принципов, содержащихся в первых двух.

По материалам сайта artbanner.ru.