Аудит информационной безопасности

Независимая экспертиза механизмов защиты знаний

Аудит информационной безопасности – это проверка уровня информационной безопасности в организации. Это независимая проверка и проверка системных записей, действий и сопутствующих документов. Эти аудиты предназначены для повышения уровня информационной безопасности, предотвращения неправильного проектирования информационной безопасности и оптимизации эффективности мер безопасности и процессов обеспечения безопасности. ^[1] В рамках широкого спектра аудита информационной безопасности существует множество типов аудита, множество целей для разных аудитов и т. д. Чаще всего проверяемые меры контроля можно разделить на технические , физические и административные . Аудит информационной безопасности охватывает темы от аудита физической безопасности центров обработки данных до аудита логической безопасности баз данных, а также выделяет ключевые компоненты, на которые следует обратить внимание, и различные методы аудита этих областей.

Когда основное внимание уделяется аспектам информационной безопасности, связанным с информационными технологиями (ИТ), его можно рассматривать как часть аудита информационных технологий . Его часто называют аудитом безопасности информационных технологий или аудитом компьютерной безопасности. Однако информационная безопасность включает в себя гораздо больше, чем просто ИТ.

Процесс аудита

Шаг 1: Предварительная аудиторская оценка

Аудитор несет ответственность за оценку текущего уровня технологической зрелости компании на первом этапе аудита. Этот этап используется для оценки текущего состояния компании и помогает определить необходимое время, стоимость и объем аудита. Во-первых, вам необходимо определить минимальные требования безопасности: ^[2]

• Политика и стандарты безопасности
• Организационная и личная безопасность
• Коммуникация, эксплуатация и управление активами
• Физическая и экологическая безопасность
• Контроль доступа и соблюдение требований
• Разработка и обслуживание ИТ-систем
• Управление инцидентами ИТ-безопасности
• Аварийное восстановление и управление непрерывностью бизнеса
• Управление рисками

Шаг 2: Планирование и подготовка

Аудитор должен спланировать аудит компании на основе информации, полученной на предыдущем этапе. Планирование аудита помогает аудитору получить достаточные и соответствующие доказательства для конкретных обстоятельств каждой компании. Это помогает спрогнозировать затраты на аудит на разумном уровне, выделить необходимую рабочую силу и сроки, а также избежать недопонимания с клиентами. ^[3]

Аудитор должен иметь достаточную информацию о компании и ее важнейших видах деятельности, прежде чем проводить проверку центра обработки данных. Цель центра обработки данных — привести деятельность центра обработки данных в соответствие с целями бизнеса, сохраняя при этом безопасность и целостность критически важной информации и процессов. Чтобы адекватно определить, достигается ли цель клиента, аудитор должен перед проведением проверки выполнить следующее:

• Встретьтесь с ИТ-руководством, чтобы определить возможные проблемные области.
• Просмотрите текущую организационную структуру ИТ.
• Ознакомьтесь с должностными инструкциями сотрудников дата-центра
• Изучите все операционные системы , программные приложения и оборудование центра обработки данных, работающее в центре обработки данных.
• Изучите ИТ-политику и процедуры компании.
• Оценить ИТ-бюджет компании и документацию по планированию систем.
• Просмотрите план аварийного восстановления центра обработки данных.

Шаг 3: Определение целей аудита

На следующем этапе аудитор определяет цели аудита, после чего проводится проверка корпоративного центра обработки данных. Аудиторы учитывают множество факторов, связанных с процедурами и действиями центра обработки данных, которые потенциально выявляют аудиторские риски в операционной среде, и оценивают существующие средства контроля, которые снижают эти риски. После тщательного тестирования и анализа аудитор может адекватно определить, поддерживает ли центр обработки данных надлежащий контроль и работает ли он эффективно и результативно.

Ниже приводится список целей, которые аудитор должен рассмотреть:

• Процедуры и обязанности персонала, включая системы и межфункциональное обучение
• Внедрены процессы управления изменениями , за которыми следят ИТ-специалисты и управленческий персонал.
• Имеются соответствующие процедуры резервного копирования, позволяющие минимизировать время простоя и предотвратить потерю важных данных.
• В дата-центре предусмотрены достаточные меры физической безопасности для предотвращения несанкционированного доступа к дата-центру.
• Имеются адекватные меры экологического контроля для обеспечения защиты оборудования от пожара и затопления.

Шаг 4. Проведение проверки

Следующим шагом является сбор доказательств для достижения целей аудита центра обработки данных. Это включает в себя поездку к месту расположения центра обработки данных и наблюдение за процессами внутри центра обработки данных. Для достижения заранее определенных целей аудита следует провести следующие процедуры проверки:

• Персонал центра обработки данных. Весь персонал центра обработки данных должен иметь разрешение на доступ к центру обработки данных (карты-ключи, идентификаторы входа в систему, надежные пароли и т. д.). Сотрудники центров обработки данных имеют достаточную подготовку в отношении оборудования центров обработки данных и надлежащим образом выполняют свою работу. Сервисный персонал Поставщика контролируется при выполнении работ на оборудовании ЦОД. Аудитор должен наблюдать и опросить сотрудников центра обработки данных для достижения их целей.
• Оборудование. Аудитор должен убедиться, что все оборудование центра обработки данных работает правильно и эффективно. Отчеты об использовании оборудования, проверка оборудования на предмет повреждений и функциональности, записи простоев системы и измерения производительности оборудования — все это помогает аудитору определить состояние оборудования центра обработки данных. Кроме того, аудитор должен опросить сотрудников, чтобы определить, существуют ли и выполняются ли политики профилактического обслуживания.
• Политики и процедуры. Все политики и процедуры центра обработки данных должны быть задокументированы и размещены в центре обработки данных. Важные документированные процедуры включают должностные обязанности персонала центра обработки данных, политики резервного копирования, политики безопасности, политики увольнения сотрудников, рабочие процедуры системы и обзор операционных систем.
• Физическая безопасность /контроль окружающей среды. Аудитор должен оценить безопасность центра обработки данных клиента. Физическая безопасность включает телохранителей, запертые клетки, ловушки для людей, отдельные входы, прикреплённое оборудование и компьютерные системы мониторинга. Кроме того, должен быть установлен экологический контроль для обеспечения безопасности оборудования центра обработки данных. К ним относятся кондиционеры, фальшполы, увлажнители и источники бесперебойного питания .
• Процедуры резервного копирования. Аудитор должен убедиться, что у клиента имеются процедуры резервного копирования на случай сбоя системы. Клиенты могут иметь резервный центр обработки данных в отдельном месте, что позволяет им мгновенно продолжить работу в случае сбоя системы.

Шаг 5: Подготовка аудиторского отчета

После завершения аудиторской проверки выводы аудита и предложения по корректирующим действиям могут быть переданы ответственным заинтересованным сторонам на официальном собрании. Это обеспечивает лучшее понимание и поддержку рекомендаций аудита. Это также дает проверяемой организации возможность высказать свое мнение по поднятым вопросам.

Написание отчета после такой встречи и описание того, где были достигнуты соглашения по всем вопросам аудита, может значительно повысить эффективность аудита. Заключительные конференции также помогают доработать практические и выполнимые рекомендации. ^[4]

Шаг 6: Публикация отчета о проверке

Отчет о проверке центра обработки данных должен обобщать выводы аудитора и быть аналогичен по формату стандартному отчету о проверке. Отчет о проверке должен быть датирован датой завершения аудиторского запроса и процедур. В нем должно быть указано, что повлекла за собой проверка, и объяснено, что проверка предоставляет третьим сторонам лишь «ограниченную гарантию».

Обычно в отчете о проверке центра обработки данных консолидируются все результаты аудита. Он также предлагает рекомендации по надлежащему осуществлению физических мер безопасности и консультирует клиента о соответствующих ролях и обязанностях его персонала. Его содержание может включать: ^[5]

• Процедуры и выводы аудиторов
• Рекомендации аудиторов
• Цель, объем и методологии
• Обзор/выводы

Отчет может дополнительно включать рейтинг уязвимостей безопасности, выявленных в ходе аудита, и срочность задач, необходимых для их устранения. Такие рейтинги, как «высокий», «низкий» и «средний», можно использовать для описания важности задач. ^[6]

Кто проводит аудит

Как правило, аудит компьютерной безопасности проводится:

1. Федеральные или государственные регулирующие органы
   • Аудиты информационной безопасности в первую очередь будут готовиться партнерами этих регуляторов.
   • Примеры: сертифицированные бухгалтеры, Агентство кибербезопасности и безопасности инфраструктуры (CISA), Федеральное управление по надзору за сбережениями (OTS), Управление денежного контролера (OCC), Министерство юстиции США (DOJ) и т. д.
2. Корпоративные внутренние аудиторы ^[7]
   • Если аудит информационной безопасности является внутренним аудитом, он может проводиться внутренними аудиторами, нанятыми в организации.
   • Примеры: сертифицированные бухгалтеры, Агентство кибербезопасности и безопасности инфраструктуры ( CISA) и сертифицированный специалист по интернет-аудиту (CIAP).
3. Внешние аудиторы
   • Обычно сторонние эксперты, нанятые независимой организацией и специализирующиеся в области безопасности данных, нанимаются, когда государственные или федеральные аудиторы недоступны.
4. Консультанты
   • Аутсорсинг технологического аудита, когда у организации нет специального набора навыков.

Вакансии и сертификаты в области информационной безопасности

Сотрудник по информационной безопасности (ISO)

Сотрудник по информационной безопасности (ISO) — это относительно новая должность, которая возникла в организациях, занимающихся последствиями хаотического роста информационных технологий и сетевых коммуникаций. Роль ISO была очень туманной, поскольку проблема, для решения которой они были созданы, не была четко определена. Роль ISO стала заключаться в отслеживании динамики среды безопасности и поддержании баланса рисков для организации. ^[8]

Сертификаты

Аудит информационных систем сочетает в себе усилия и навыки из области бухгалтерского учета и технологий. Профессионалы обеих областей полагаются друг на друга в обеспечении безопасности информации и данных. Доказано, что благодаря этому сотрудничеству безопасность информационной системы со временем возрастает. Что касается аудита информационных систем, роль аудитора заключается в проверке средств контроля компании над программой безопасности. Кроме того, аудитор раскрывает операционную эффективность этих средств контроля в аудиторском отчете. Ассоциация аудита и контроля информационных систем (ISACA) , профессиональная организация в области информационных технологий, способствует получению опыта посредством различных сертификатов. ^[9] Преимущества этих сертификатов применимы как к внешнему, так и к внутреннему персоналу системы. Примеры сертификатов, имеющих отношение к аудиту информационной безопасности, включают:

• Сертифицированный менеджер информационных систем (CISM)
• Сертифицирован в области управления рисками и информационными системами (CRISC).
• Сертифицирован в области управления корпоративными ИТ (CGEIT).
• Сертифицированный аудитор информационных систем (CISA)
• CSX (Основы кибербезопасности Nexus)
• CSXP (практик по кибербезопасности)

Аудируемые системы

Сетевые уязвимости

• Перехват . Данные, передаваемые по сети, уязвимы для непреднамеренного перехвата третьей стороной, которая может использовать данные во вред.
• Доступность. Сети стали широкомасштабными, пересекая сотни или тысячи миль, и многие используют их для доступа к информации компании, а потеря соединения может привести к перебоям в бизнесе.
• Точка доступа/входа. Сети уязвимы для нежелательного доступа. Слабое место в сети может сделать эту информацию доступной для злоумышленников. Он также может стать точкой входа для вирусов и троянских коней. ^[10]

Элементы управления

• Средства контроля перехвата. Перехват можно частично предотвратить с помощью контроля физического доступа в центрах обработки данных и офисах, в том числе там, где заканчиваются каналы связи и где расположены сетевая проводка и распределительные сети. Шифрование также помогает защитить беспроводные сети.
• Контроль доступности. Лучшим средством контроля для этого является отличная сетевая архитектура и мониторинг. В сети должны быть резервные пути между каждым ресурсом и точкой доступа, а также автоматическая маршрутизация для переключения трафика на доступный путь без потери данных или времени.
• Элементы управления точками доступа/входа. Большинство элементов управления сетью расположены в точках, где сеть соединяется с внешней сетью. Эти элементы управления ограничивают трафик, проходящий через сеть. К ним могут относиться межсетевые экраны, системы обнаружения вторжений и антивирусное программное обеспечение.

Аудитор должен задать определенные вопросы, чтобы лучше понять сеть и ее уязвимости. Аудитор должен сначала оценить масштаб сети и ее структуру. Сетевая диаграмма может помочь аудитору в этом процессе. Следующий вопрос, который должен задать аудитор, — какую важную информацию должна защищать эта сеть. Обычно в центре внимания находятся такие вещи, как корпоративные системы, почтовые серверы, веб-серверы и хост-приложения, к которым имеют доступ клиенты. Также важно знать, кто имеет доступ и к каким частям. Имеют ли клиенты и поставщики доступ к системам в сети? Могут ли сотрудники получить доступ к информации из дома? Наконец, аудитор должен оценить, как сеть связана с внешними сетями и насколько она защищена. Большинство сетей, по крайней мере, подключены к Интернету, что может быть уязвимой точкой. Это важнейшие вопросы в защите сетей.

Разделение обязанностей

Если у вас есть функция, которая занимается входящими или исходящими деньгами, очень важно убедиться, что обязанности разделены, чтобы свести к минимуму и, возможно, предотвратить мошенничество. Одним из ключевых способов обеспечения надлежащего разделения обязанностей (SoD) с точки зрения системы является проверка прав доступа отдельных лиц. Некоторые системы, такие как SAP, утверждают, что имеют возможность выполнять тесты SoD, но предоставляемая функциональность является элементарной, требует создания очень трудоемких запросов и ограничивается уровнем транзакции только с минимальным использованием объекта или поля или вообще без него. значения, присвоенные пользователю посредством транзакции, что часто приводит к вводящим в заблуждение результатам. Для сложных систем, таких как SAP, часто предпочитают использовать инструменты, разработанные специально для оценки и анализа конфликтов SoD и других типов системной активности. Для других систем или для нескольких системных форматов вам следует отслеживать, какие пользователи могут иметь доступ суперпользователя к системе, предоставляя им неограниченный доступ ко всем аспектам системы. Кроме того, разработка матрицы для всех функций с указанием точек, где было нарушено правильное разделение обязанностей, поможет выявить потенциальные существенные недостатки путем перекрестной проверки доступных доступов каждого сотрудника. Для функции разработки это так же важно, если не более, как и для производства. Обеспечение того, чтобы люди, разрабатывающие программы, не были уполномочены запускать их в производство, является ключом к предотвращению проникновения несанкционированных программ в производственную среду, где они могут быть использованы для совершения мошенничества.

Виды аудитов

Шифрование и ИТ-аудит

Оценивая необходимость внедрения клиентом политики шифрования в своей организации, аудитор должен провести анализ риска клиента и ценности данных. Компании с несколькими внешними пользователями, приложениями электронной коммерции и конфиденциальной информацией о клиентах/сотрудниках должны поддерживать строгие политики шифрования, направленные на шифрование правильных данных на соответствующем этапе процесса сбора данных. ^[11]

Аудиторы должны постоянно оценивать политику и процедуры шифрования своих клиентов. Компании, которые в значительной степени зависят от систем электронной коммерции и беспроводных сетей , чрезвычайно уязвимы для кражи и потери важной информации при передаче. Политики и процедуры должны быть документированы и реализованы для обеспечения защиты всех передаваемых данных.

Аудитор должен убедиться, что руководство осуществляет контроль над процессом управления шифрованием данных. Доступ к ключам должен требовать двойного контроля, ключи должны состоять из двух отдельных компонентов и храниться на компьютере, недоступном для программистов или внешних пользователей. Кроме того, руководство должно подтвердить, что политика шифрования обеспечивает защиту данных на желаемом уровне, и убедиться, что стоимость шифрования данных не превышает ценность самой информации. Все данные, которые необходимо хранить в течение длительного периода времени, должны быть зашифрованы и перенесены в удаленное место. Должны быть предусмотрены процедуры, гарантирующие, что вся зашифрованная конфиденциальная информация будет доставлена ​​туда и будет храниться должным образом. Наконец, аудитор должен получить от руководства подтверждение того, что система шифрования надежна, неуязвима для взлома и соответствует всем местным и международным законам и правилам.

Логический аудит безопасности

Как бы это ни звучало, логический аудит безопасности следует формату и организованной процедуре. Первым шагом в аудите любой системы является попытка понять ее компоненты и структуру. При аудите логической безопасности аудитор должен выяснить, какие меры безопасности существуют и как они работают. В частности, ключевыми моментами аудита логической безопасности являются следующие области:

• Пароли . Каждая компания должна иметь письменную политику в отношении паролей и их использования сотрудниками. Пароли не должны разглашаться, а сотрудники должны иметь обязательное запланированное изменение. Сотрудники должны иметь права пользователей, соответствующие их должностным функциям. Они также должны знать о правильных процедурах входа и выхода из системы. Также полезны токены безопасности — небольшие устройства, которые имеют при себе авторизованные пользователи компьютерных программ или сетей для подтверждения личности. Они также могут хранить криптографические ключи и биометрические данные . Самый популярный тип токена безопасности (SecurID RSA) отображает число, которое меняется каждую минуту. Пользователи аутентифицируются путем ввода личного идентификационного номера и номера токена. ^[12]
• Процедуры увольнения: Надлежащие процедуры увольнения, чтобы старые сотрудники больше не могли получить доступ к сети. Это можно сделать путем смены паролей и кодов. Кроме того, все находящиеся в обращении удостоверения личности и бейджи должны быть документированы и учтены.
• Специальные учетные записи пользователей. Специальные учетные записи пользователей и другие привилегированные учетные записи должны отслеживаться и иметь надлежащий контроль.
• Удаленный доступ. Удаленный доступ часто является точкой, через которую злоумышленники могут проникнуть в систему. Средства логической безопасности, используемые для удаленного доступа, должны быть очень строгими. Удаленный доступ должен регистрироваться.

Конкретные инструменты, используемые в сетевой безопасности

Сетевая безопасность достигается с помощью различных инструментов, включая брандмауэры и прокси-серверы , шифрование , логическую безопасность и контроль доступа , антивирусное программное обеспечение и системы аудита, такие как управление журналами.

Брандмауэры — это базовая часть сетевой безопасности. Они часто размещаются между частной локальной сетью и Интернетом. Брандмауэры обеспечивают сквозной поток трафика, в котором его можно аутентифицировать, отслеживать, регистрировать и сообщать о нем. Некоторые различные типы брандмауэров включают брандмауэры сетевого уровня, брандмауэры экранированной подсети, брандмауэры с фильтрацией пакетов, брандмауэры с динамической фильтрацией пакетов, гибридные брандмауэры, прозрачные брандмауэры и брандмауэры уровня приложений.

Процесс шифрования включает преобразование обычного текста в ряд нечитаемых символов, известный как зашифрованный текст . Если зашифрованный текст украден или получен во время передачи, контент станет нечитаемым для зрителя. Это гарантирует безопасную передачу и чрезвычайно полезно для компаний, отправляющих/получающих важную информацию. Как только зашифрованная информация поступает к предполагаемому получателю, запускается процесс расшифровки, чтобы восстановить зашифрованный текст обратно в открытый текст.

Прокси-серверы скрывают истинный адрес клиентской рабочей станции, а также могут выступать в качестве межсетевого экрана. Брандмауэры прокси-серверов имеют специальное программное обеспечение для обеспечения аутентификации. Брандмауэры прокси-серверов выступают в качестве посредников для запросов пользователей.

Антивирусные программы, такие как McAfee и Symantec, обнаруживают и удаляют вредоносный контент. Эти программы защиты от вирусов запускают постоянные обновления, чтобы гарантировать наличие самой последней информации об известных компьютерных вирусах.

Логическая безопасность включает в себя программные средства защиты систем организации, включая доступ к идентификатору пользователя и паролю, аутентификацию, права доступа и уровни полномочий. Эти меры призваны гарантировать, что только авторизованные пользователи смогут выполнять действия или получать доступ к информации в сети или на рабочей станции.

Поведенческий аудит

Уязвимости в ИТ-системах организации  часто связаны не с техническими недостатками, а, скорее, с индивидуальным поведением сотрудников внутри организации. Простой пример: пользователи оставляют свои компьютеры незаблокированными или становятся уязвимыми для фишинговых атак. В результате тщательный аудит InfoSec часто включает в себя тест на проникновение , в ходе которого аудиторы пытаются получить доступ к как можно большей части системы, как с точки зрения обычного сотрудника, так и с точки зрения постороннего. ^[13] Поведенческий аудит обеспечивает принятие превентивных мер, таких как вебинар по фишингу, на котором сотрудники узнают, что такое фишинг и как его обнаружить.

Аудиты обеспечения систем и процессов объединяют элементы аудита ИТ-инфраструктуры и приложений/информационной безопасности и используют разнообразные средства контроля в таких категориях, как полнота, точность, достоверность (V) и ограниченный доступ (CAVR). ^[14]

Аудит безопасности приложений

Безопасность приложений

Безопасность приложений сосредоточена на трех основных функциях:

• Программирование
• Обработка
• Доступ

Когда дело доходит до программирования, важно обеспечить надлежащую физическую защиту и защиту паролем серверов и мэйнфреймов для разработки и обновления ключевых систем. Наличие средств защиты физического доступа в центре обработки данных или офисе, таких как электронные бейджи и считыватели бейджей, охранники, узкие проходы и камеры видеонаблюдения, жизненно важно для обеспечения безопасности приложений и данных. Затем необходимо обеспечить безопасность изменений в системе. Обычно это связано с надлежащим безопасным доступом для внесения изменений и наличием надлежащих процедур авторизации для внесения изменений в программу от разработки через тестирование и, наконец, в производство.

При обработке важно, чтобы были в наличии процедуры и мониторинг нескольких различных аспектов, таких как ввод фальсифицированных или ошибочных данных, неполная обработка, дублирование транзакций и несвоевременная обработка. Одним из способов гарантировать это является обеспечение того, что входные данные проверяются случайным образом или что вся обработка имеет надлежащее одобрение. Важно уметь выявлять незавершенную обработку и обеспечивать наличие надлежащих процедур для ее завершения или удаления из системы, если она произошла по ошибке. Также должны быть процедуры выявления и исправления повторяющихся записей. Наконец, когда дело доходит до обработки, которая не выполняется своевременно, следует вернуться к отслеживанию связанных данных, чтобы увидеть, откуда происходит задержка, и определить, создает ли эта задержка какие-либо проблемы с контролем.

Наконец, что касается доступа, важно понимать, что поддержание сетевой безопасности от несанкционированного доступа является одним из основных направлений деятельности компаний, поскольку угрозы могут исходить из нескольких источников. Во-первых, у вас есть внутренний несанкционированный доступ. Очень важно иметь пароли доступа к системе, которые необходимо регулярно менять, и иметь возможность отслеживать доступ и изменения, чтобы можно было определить, кто какие изменения внес. Вся деятельность должна регистрироваться. Вторая область, о которой следует беспокоиться, — это удаленный доступ, когда люди получают доступ к вашей системе извне через Интернет. Настройка межсетевых экранов и защита паролем для изменения данных в режиме онлайн являются ключом к защите от несанкционированного удаленного доступа. Один из способов выявить слабые места в системе контроля доступа — привлечь хакера, который попытается взломать вашу систему, либо проникнув в здание и используя внутренний терминал, либо взломав систему снаружи через удаленный доступ.

Краткое содержание

Аудит информационной безопасности можно определить путем изучения различных аспектов информационной безопасности. Внешние и внутренние специалисты внутри учреждения несут ответственность за поддержание и проверку адекватности и эффективности информационной безопасности. Как и в любом учреждении, здесь необходимо внедрять и поддерживать различные меры контроля. Ожидается, что для защиты информации учреждение примет меры безопасности, чтобы избежать внешнего вмешательства. По большому счету, две концепции безопасности приложений и разделения обязанностей во многом связаны между собой и преследуют одну и ту же цель — защитить целостность данных компаний и предотвратить мошенничество. Что касается безопасности приложений, это связано с предотвращением несанкционированного доступа к оборудованию и программному обеспечению за счет принятия надлежащих мер безопасности, как физических, так и электронных. При разделении обязанностей это, прежде всего, физическая проверка доступа отдельных лиц к системам и обработке данных и обеспечение отсутствия дублирования, которое могло бы привести к мошенничеству. Тип аудита, который выполняет лицо, определяет конкретные процедуры и тесты, которые необходимо выполнять на протяжении всего процесса аудита.

Смотрите также

• Компьютерная безопасность
• Оборонительные вычисления
• Директива 95/46/EC о защите персональных данных ( Европейский Союз )
• Этический хак
• Информационная безопасность
• Тест на проникновение
• Нарушение безопасности

Рекомендации

1. «Эффективное управление рисками | Журнал ISACA». ИСАКА . Проверено 21 апреля 2022 г.
2. «Аудит безопасности информационных систем | Журнал ISACA» . ИСАКА . Проверено 21 апреля 2022 г.
3. «Эффективное управление рисками | Журнал ISACA». ИСАКА . Проверено 21 апреля 2022 г.
4. «Аудит безопасности информационных систем | Журнал ISACA» . ИСАКА . Проверено 21 апреля 2022 г.
5. Отдел законодательного аудита - штат Монтана. (2006, июнь). «Обзор дата-центра». PDF. Елена, MT.
6. Центр технической поддержки конфиденциальности. «Реагирование на аудиты ИТ-безопасности: совершенствование методов обеспечения безопасности данных». PDF.
7. Сертифицированный специалист по интернет-аудиту (CIAP), Международная образовательная ассоциация компьютерного аудита (ICAEA), http://www.iacae.org/English/Certification/CIAP.php
8. Аудит безопасности на соответствие политикам. Albany.edu
9. Стаффорд, Томас; Гал, Грэм; Постон, Робин; Кросслер, Роберт Э.; Цзян, Рэнди; Лайонс, Робин (2018). «Роль бухгалтерских и профессиональных ассоциаций в аудите ИТ-безопасности: отчет комиссии AMCIS». Сообщения Ассоциации информационных систем . 43 (1): 482–493. дои : 10.17705/1CAIS.04327 .
10. «Руководство по кибербезопасности».Среда, 2 декабря 2020 г.
11. Лю, Лей; Цао, Минвэй; Сунь, Его (15 декабря 2021 г.). «Объединенная схема защиты данных для конфиденциальных электронных документов в открытой сетевой среде». ПЛОС ОДИН . 16 (12): e0258464. дои : 10.1371/journal.pone.0258464 . ISSN  1932-6203. ПМЦ 8673604 . ПМИД  34910722. 
12. Абу-Джассар, Амер Тахсин; Аттар, Хани; Евсеев Владислав; Амер, Айман; Демская, Наталья; Лугач, Ашиш Кр.; Ляшенко, Вячеслав (13 апреля 2022 г.). Нин, Синь (ред.). «Электронный ключ аутентификации пользователя для доступа к HMI/SCADA через незащищенные сети Интернет». Вычислительный интеллект и нейронаука . 2022 : 1–13. дои : 10.1155/2022/5866922 . ISSN  1687-5273. ПМК 9020904 . ПМИД  35463229. 
13. «10 советов, которые помогут вам защитить ваши данные» . 360 икт . Проверено 24 июня 2016 г.
14. К. Юлиш и др., Соблюдение требований по замыслу - Преодоление пропасти между аудиторами и ИТ-архитекторами. Компьютеры и безопасность 30 (6-7): 410-426 (2011).

Библиография

• Гальегос, Фредерик; Сенфт, Сандра; Мэнсон, Дэниел П.; Гонсалес, Кэрол (2004). Технологический контроль и аудит (2-е изд.) . Публикации Ауэрбаха. ISBN 0-8493-2032-1.

Внешние ссылки

• Исследование центров обработки данных
• Сетевой аудит
• Проект OpenXDAS
• Ассоциация информационных систем и контроля аудита (ISACA). Архивировано 27 сентября 2007 г. в Wayback Machine.
• Институт внутренних аудиторов