Аудит информационной безопасности

Независимая экспертиза механизмов защиты знаний

Аудит информационной безопасности — это аудит уровня информационной безопасности в организации. Это независимый обзор и проверка системных записей, действий и связанных документов. Эти аудиты направлены на повышение уровня информационной безопасности, избежание ненадлежащих конструкций информационной безопасности и оптимизацию эффективности мер безопасности и процессов безопасности. ^[1]

В широком контексте аудита информационной безопасности существует множество типов аудитов, множество целей для различных аудитов и т. д. Чаще всего проверяемые элементы управления можно разделить на технические , физические и административные . Аудит информационной безопасности охватывает темы от аудита физической безопасности центров обработки данных до аудита логической безопасности баз данных и выделяет ключевые компоненты, на которые следует обратить внимание, и различные методы аудита этих областей.

При сосредоточении на аспектах информационной безопасности, связанных с информационными технологиями (ИТ), его можно рассматривать как часть аудита информационных технологий . Его часто называют аудитом безопасности информационных технологий или аудитом компьютерной безопасности. Однако информационная безопасность охватывает гораздо больше, чем ИТ.

Процесс аудита

Шаг 1: Предварительная аудиторская оценка

Аудитор несет ответственность за оценку текущего уровня технологической зрелости компании на первом этапе аудита. Этот этап используется для оценки текущего состояния компании и помогает определить необходимое время, стоимость и объем аудита. Во-первых, вам необходимо определить минимальные требования безопасности: ^[2]

• Политика и стандарты безопасности
• Организационная и личная безопасность
• Коммуникации, эксплуатация и управление активами
• Физическая и экологическая безопасность
• Контроль доступа и соответствие требованиям
• Разработка и обслуживание ИТ-систем
• Управление инцидентами безопасности ИТ
• Восстановление после сбоев и управление непрерывностью бизнеса
• Управление рисками

Шаг 2: Планирование и подготовка

Аудитор должен планировать аудит компании на основе информации, найденной на предыдущем этапе. Планирование аудита помогает аудитору получить достаточные и соответствующие доказательства для конкретных обстоятельств каждой компании. Это помогает прогнозировать расходы на аудит на разумном уровне, назначать надлежащие трудовые ресурсы и сроки и избегать недоразумений с клиентами. ^[3]

Аудитор должен быть достаточно информирован о компании и ее критически важных деловых операциях перед проведением проверки центра обработки данных. Цель центра обработки данных — согласовать деятельность центра обработки данных с целями бизнеса, сохраняя при этом безопасность и целостность критически важной информации и процессов. Чтобы адекватно определить, достигается ли цель клиента, аудитор должен выполнить следующее перед проведением проверки:

• Встретьтесь с руководством ИТ-отдела, чтобы определить возможные проблемные области
• Обзор текущей организационной структуры ИТ
• Ознакомьтесь с должностными инструкциями сотрудников центра обработки данных.
• Исследуйте все операционные системы , программные приложения и оборудование центра обработки данных, работающие в центре обработки данных.
• Обзор ИТ-политик и процедур компании
• Оцените ИТ-бюджет компании и документацию по системному планированию
• Ознакомьтесь с планом восстановления после сбоев в центре обработки данных.

Шаг 3: Установление целей аудита

На следующем этапе аудитор излагает цели аудита, после чего проводится проверка корпоративного центра обработки данных. Аудиторы рассматривают множество факторов, которые относятся к процедурам и действиям центра обработки данных, которые потенциально выявляют аудиторские риски в операционной среде, и оценивают имеющиеся средства контроля, которые смягчают эти риски. После тщательного тестирования и анализа аудитор может адекватно определить, поддерживает ли центр обработки данных надлежащие средства контроля и работает ли он эффективно и результативно.

Ниже приведен список целей, которые должен рассмотреть аудитор:

• Процедуры и обязанности персонала, включая системы и кросс-функциональное обучение
• Процессы управления изменениями внедрены и соблюдаются ИТ-персоналом и руководством
• Внедрены соответствующие процедуры резервного копирования для минимизации простоев и предотвращения потери важных данных.
• Центр обработки данных имеет адекватные меры физического контроля безопасности для предотвращения несанкционированного доступа в центр обработки данных.
• Обеспечен надлежащий контроль за состоянием окружающей среды для обеспечения защиты оборудования от пожара и затопления.

Шаг 4: Выполнение обзора

Следующий шаг — сбор доказательств для удовлетворения целей аудита центра обработки данных. Это включает в себя поездку в место расположения центра обработки данных и наблюдение за процессами внутри центра обработки данных. Следующие процедуры проверки должны быть выполнены для удовлетворения заранее определенных целей аудита:

• Персонал центра обработки данных – Весь персонал центра обработки данных должен иметь разрешение на доступ к центру обработки данных (ключевые карты, идентификаторы входа, безопасные пароли и т. д.). Сотрудники центра обработки данных достаточно обучены оборудованию центра обработки данных и должным образом выполняют свою работу. Персонал поставщика услуг контролируется при выполнении работы с оборудованием центра обработки данных. Аудитор должен наблюдать и опрашивать сотрудников центра обработки данных для достижения своих целей.
• Оборудование – Аудитор должен убедиться, что все оборудование центра обработки данных работает правильно и эффективно. Отчеты об использовании оборудования, осмотр оборудования на предмет повреждений и функциональности, записи о простоях системы и измерения производительности оборудования помогают аудитору определить состояние оборудования центра обработки данных. Кроме того, аудитор должен опросить сотрудников, чтобы определить, внедрены ли и выполняются ли политики профилактического обслуживания.
• Политики и процедуры – Все политики и процедуры центра обработки данных должны быть задокументированы и размещены в центре обработки данных. Важные задокументированные процедуры включают должностные обязанности персонала центра обработки данных, политики резервного копирования, политики безопасности, политики увольнения сотрудников, процедуры эксплуатации системы и обзор операционных систем.
• Физическая безопасность /контроль окружающей среды – Аудитор должен оценить безопасность центра обработки данных клиента. Физическая безопасность включает телохранителей, запертые клетки, ловушки для людей, отдельные входы, закрепленное болтами оборудование и компьютерные системы мониторинга. Кроме того, должен быть установлен контроль окружающей среды для обеспечения безопасности оборудования центра обработки данных. К ним относятся кондиционеры, фальшполы, увлажнители и источник бесперебойного питания .
• Резервные процедуры – Аудитор должен проверить, что у клиента есть резервные процедуры на случай сбоя системы. Клиенты могут иметь резервный центр обработки данных в отдельном месте, что позволяет им мгновенно продолжить работу в случае сбоя системы

Шаг 5: Подготовка аудиторского отчета

После завершения аудиторской проверки выводы аудита и предложения по корректирующим действиям могут быть доведены до сведения ответственных заинтересованных сторон на официальном собрании. Это обеспечивает лучшее понимание и поддержку рекомендаций аудита. Это также дает проверяемой организации возможность высказать свое мнение по поднятым вопросам.

Написание отчета после такой встречи и описание того, где были достигнуты соглашения по всем вопросам аудита, может значительно повысить эффективность аудита. Выездные конференции также помогают завершить рекомендации, которые являются практичными и осуществимыми. ^[4]

Шаг 6: Выпуск отчета о проверке

Отчет об обзоре центра обработки данных должен суммировать выводы аудитора и быть по формату схож со стандартным отчетом об обзоре. Отчет об обзоре должен быть датирован завершением аудиторского запроса и процедур. В нем должно быть указано, что повлекло за собой обзор, и пояснено, что обзор предоставляет только «ограниченную гарантию» третьим лицам.

Обычно отчет о проверке центра обработки данных объединяет всю аудиторскую проверку. Он также предлагает рекомендации по надлежащему внедрению физических мер безопасности и консультирует клиента по соответствующим ролям и обязанностям его персонала. Его содержание может включать: ^[5]

• Процедуры и выводы аудиторов
• Рекомендации аудиторов
• Цель, область применения и методологии
• Обзор/выводы

Отчет может опционально включать рейтинги уязвимостей безопасности, выявленных в ходе аудита, и срочность задач, необходимых для их устранения. Рейтинги типа «высокий», «низкий» и «средний» могут использоваться для описания срочности задач. ^[6]

Кто проводит аудит

Как правило, аудит компьютерной безопасности проводится:

1. Федеральные или государственные регулирующие органы
   • Аудиты информационной безопасности будут в первую очередь готовиться партнерами этих регулирующих органов.
   • Примеры включают: сертифицированных бухгалтеров, Агентство по кибербезопасности и безопасности инфраструктуры (CISA), Федеральное управление по надзору за сберегательными учреждениями (OTS), Управление контролера денежного обращения (OCC), Министерство юстиции США (DOJ) и т. д.
2. Корпоративные внутренние аудиторы ^[7]
   • Если аудит информационной безопасности является внутренним аудитом, он может проводиться внутренними аудиторами, работающими в организации.
   • Примеры включают: сертифицированных бухгалтеров, Агентство по кибербезопасности и безопасности инфраструктуры ( CISA) и сертифицированного специалиста по интернет-аудиту (CIAP).
3. Внешние аудиторы
   • Обычно, когда нет возможности обратиться к государственным или федеральным аудиторам, нанимаются сторонние эксперты, работающие в независимой организации и специализирующиеся в области безопасности данных.
4. Консультанты
   • Аутсорсинг технологического аудита в случаях, когда у организации отсутствуют специальные навыки.

Работа и сертификация в области информационной безопасности

Сотрудник по информационной безопасности (ISO)

Сотрудник по информационной безопасности (ISO) — это относительно новая должность, которая появилась в организациях для решения проблем, связанных с хаотичным ростом информационных технологий и сетевых коммуникаций. Роль ISO была очень туманной, поскольку проблема, для решения которой они были созданы, не была четко определена. Роль ISO стала заключаться в отслеживании динамики среды безопасности и поддержании сбалансированного состояния риска для организации. ^[8]

Сертификаты

Аудиты информационных систем объединяют усилия и навыки из областей бухгалтерского учета и технологий. Профессионалы из обеих областей полагаются друг на друга, чтобы обеспечить безопасность информации и данных. Благодаря такому сотрудничеству безопасность информационной системы со временем, как оказалось, повышается. Что касается аудита информационных систем, роль аудитора заключается в проверке контроля компании над программой безопасности. Кроме того, аудитор раскрывает эффективность работы этих средств контроля в аудиторском отчете. Ассоциация аудита и контроля информационных систем (ISACA) , профессиональная организация в области информационных технологий, способствует получению опыта с помощью различных сертификаций. ^[9] Преимущества этих сертификаций применимы к внешнему и внутреннему персоналу системы. Примеры сертификаций, которые имеют отношение к аудиту информационной безопасности, включают:

• Сертифицированный менеджер информационных систем (CISM)
• Сертифицирован в области управления рисками и информационными системами (CRISC)
• Сертифицированный специалист по управлению корпоративными ИТ-ресурсами (CGEIT)
• Сертифицированный аудитор информационных систем (CISA)
• CSX (Основы кибербезопасности Nexus)
• CSXP (специалист по кибербезопасности Nexus)

Проверенные системы

Уязвимости сети

• Перехват : данные, передаваемые по сети, уязвимы для перехвата третьей стороной, которая может использовать эти данные во вредоносных целях.
• Доступность: сети стали широкомасштабными, охватывая сотни и тысячи миль, и многие используют их для доступа к корпоративной информации, а потеря связи может привести к перебоям в работе.
• Точка доступа/входа: Сети уязвимы для нежелательного доступа. Слабое место в сети может сделать эту информацию доступной для злоумышленников. Она также может стать точкой входа для вирусов и троянских коней. ^[10]

Управление

• Контроль перехвата: Перехват может быть частично предотвращен с помощью контроля физического доступа в центрах обработки данных и офисах, включая места, где заканчиваются линии связи и где расположены сетевые кабели и распределения. Шифрование также помогает защитить беспроводные сети.
• Контроль доступности: Лучший контроль для этого — иметь отличную сетевую архитектуру и мониторинг. Сеть должна иметь избыточные пути между каждым ресурсом и точкой доступа и автоматическую маршрутизацию для переключения трафика на доступный путь без потери данных или времени.
• Контроль точек доступа/входа: большинство сетевых элементов управления размещаются в точке, где сеть соединяется с внешней сетью. Эти элементы управления ограничивают трафик, проходящий через сеть. Они могут включать брандмауэры, системы обнаружения вторжений и антивирусное программное обеспечение.

Аудитор должен задать определенные вопросы, чтобы лучше понять сеть и ее уязвимости. Сначала аудитор должен оценить масштаб сети и ее структуру. Сетевая диаграмма может помочь аудитору в этом процессе. Следующий вопрос, который аудитор должен задать, — какую важную информацию должна защищать эта сеть. Такие вещи, как корпоративные системы, почтовые серверы, веб-серверы и хост-приложения, к которым обращаются клиенты, обычно являются областями внимания. Также важно знать, у кого есть доступ и к каким частям. Имеют ли клиенты и поставщики доступ к системам в сети? Могут ли сотрудники получать доступ к информации из дома? Наконец, аудитор должен оценить, как сеть подключена к внешним сетям и как она защищена. Большинство сетей, по крайней мере, подключены к Интернету, что может быть точкой уязвимости. Это критически важные вопросы по защите сетей.

Разделение обязанностей

Если у вас есть функция, которая имеет дело с деньгами, входящими или исходящими, очень важно убедиться, что обязанности разделены, чтобы минимизировать и, как мы надеемся, предотвратить мошенничество. Одним из основных способов обеспечения надлежащего разделения обязанностей (SoD) с точки зрения систем является проверка разрешений на доступ отдельных лиц. Некоторые системы, такие как SAP, заявляют, что имеют возможность выполнять тесты SoD, но предоставляемая функциональность элементарна, требует создания очень трудоемких запросов и ограничивается только уровнем транзакции с небольшим использованием или без использования значений объектов или полей, назначенных пользователю через транзакцию, что часто приводит к вводящим в заблуждение результатам. Для сложных систем, таких как SAP, часто предпочитают использовать инструменты, разработанные специально для оценки и анализа конфликтов SoD и других типов системной активности. Для других систем или для форматов нескольких систем вы должны отслеживать, какие пользователи могут иметь доступ суперпользователя к системе, предоставляя им неограниченный доступ ко всем аспектам системы. Кроме того, разработка матрицы для всех функций, выделяющей моменты, где было нарушено надлежащее разделение обязанностей , поможет выявить потенциальные существенные недостатки путем перекрестной проверки доступных прав доступа каждого сотрудника. Это так же важно, если не больше, как и в функции разработки, так и в производстве. Обеспечение того, чтобы люди, которые разрабатывают программы, не были теми, кто уполномочен загружать их в производство, является ключом к предотвращению попадания несанкционированных программ в производственную среду, где они могут быть использованы для совершения мошенничества.

Виды аудита

Шифрование и ИТ-аудит

При оценке необходимости внедрения клиентом политик шифрования для своей организации аудитор должен провести анализ риска клиента и ценности данных. Компании с несколькими внешними пользователями, приложениями электронной коммерции и конфиденциальной информацией о клиентах/сотрудниках должны поддерживать жесткие политики шифрования, направленные на шифрование правильных данных на соответствующем этапе процесса сбора данных. ^[11]

Аудиторы должны постоянно оценивать политику и процедуры шифрования своих клиентов. Компании, которые в значительной степени зависят от систем электронной коммерции и беспроводных сетей , чрезвычайно уязвимы к краже и потере критически важной информации при передаче. Политики и процедуры должны быть документированы и выполнены, чтобы гарантировать, что все передаваемые данные защищены.

Аудитор должен убедиться, что руководство имеет контроль над процессом управления шифрованием данных. Доступ к ключам должен требовать двойного контроля, ключи должны состоять из двух отдельных компонентов и должны храниться на компьютере, который недоступен программистам или внешним пользователям. Кроме того, руководство должно подтвердить, что политики шифрования обеспечивают защиту данных на желаемом уровне, и убедиться, что стоимость шифрования данных не превышает стоимости самой информации. Все данные, которые необходимо хранить в течение длительного времени, должны быть зашифрованы и перемещены в удаленное место. Должны быть предусмотрены процедуры, гарантирующие, что вся зашифрованная конфиденциальная информация поступает по месту своего расположения и хранится надлежащим образом. Наконец, аудитор должен получить подтверждение от руководства, что система шифрования является надежной, не подверженной атакам и соответствует всем местным и международным законам и правилам.

Логический аудит безопасности

Как и звучит, аудит логической безопасности следует формату в организованной процедуре. Первым шагом в аудите любой системы является стремление понять ее компоненты и ее структуру. При аудите логической безопасности аудитор должен исследовать, какие средства контроля безопасности используются и как они работают. В частности, следующие области являются ключевыми моментами в аудите логической безопасности:

• Пароли : Каждая компания должна иметь письменные политики относительно паролей и их использования сотрудниками. Пароли не должны передаваться другим лицам, а сотрудники должны иметь обязательные запланированные изменения. Сотрудники должны иметь права пользователя, соответствующие их должностным функциям. Они также должны знать надлежащие процедуры входа/выхода из системы. Также полезны токены безопасности, небольшие устройства, которые авторизованные пользователи компьютерных программ или сетей носят с собой для подтверждения личности. Они также могут хранить криптографические ключи и биометрические данные . Самый популярный тип токена безопасности (SecurID от RSA) отображает номер, который меняется каждую минуту. Пользователи проходят аутентификацию путем ввода личного идентификационного номера и номера на токене. ^[12]
• Процедуры прекращения: надлежащие процедуры прекращения, чтобы старые сотрудники больше не могли получить доступ к сети. Это можно сделать, изменив пароли и коды. Кроме того, все идентификационные карты и значки, находящиеся в обращении, должны быть задокументированы и учтены.
• Специальные учетные записи пользователей: специальные учетные записи пользователей и другие привилегированные учетные записи должны контролироваться и иметь надлежащие средства контроля.
• Удаленный доступ: Удаленный доступ часто является точкой, через которую злоумышленники могут проникнуть в систему. Логические средства безопасности, используемые для удаленного доступа, должны быть очень строгими. Удаленный доступ должен регистрироваться.

Конкретные инструменты, используемые для обеспечения сетевой безопасности

Безопасность сети достигается с помощью различных инструментов, включая брандмауэры и прокси-серверы , шифрование , логическую безопасность и контроль доступа , антивирусное программное обеспечение , а также системы аудита, такие как управление журналами.

Брандмауэры являются очень базовой частью сетевой безопасности. Они часто размещаются между частной локальной сетью и Интернетом. Брандмауэры обеспечивают сквозной поток для трафика, в котором он может быть аутентифицирован, отслежен, зарегистрирован и сообщен. Некоторые различные типы брандмауэров включают брандмауэры сетевого уровня, экранированные брандмауэры подсетей, брандмауэры с фильтрацией пакетов, брандмауэры с динамической фильтрацией пакетов, гибридные брандмауэры, прозрачные брандмауэры и брандмауэры уровня приложений.

Процесс шифрования включает преобразование простого текста в ряд нечитаемых символов, известных как шифротекст . Если зашифрованный текст украден или получен во время передачи, содержимое не может быть прочитано зрителем. Это гарантирует безопасную передачу и чрезвычайно полезно для компаний, отправляющих/получающих важную информацию. Как только зашифрованная информация поступает к предполагаемому получателю, процесс расшифровки развертывается для восстановления шифротекста обратно в обычный текст.

Прокси-серверы скрывают истинный адрес клиентской рабочей станции и также могут выступать в качестве брандмауэра. Брандмауэры прокси-серверов имеют специальное программное обеспечение для принудительной аутентификации. Брандмауэры прокси-серверов выступают в качестве посредника для пользовательских запросов.

Антивирусные программы, такие как McAfee и Symantec, обнаруживают и уничтожают вредоносный контент. Эти программы защиты от вирусов запускают обновления в реальном времени, чтобы быть уверенными в том, что у них есть последняя информация об известных компьютерных вирусах.

Логическая безопасность включает в себя программные средства защиты для систем организации, включая доступ к идентификатору пользователя и паролю, аутентификацию, права доступа и уровни полномочий. Эти меры призваны гарантировать, что только авторизованные пользователи могут выполнять действия или получать доступ к информации в сети или на рабочей станции.

Поведенческий аудит

Уязвимости в ИТ-системах организации  часто не приписываются техническим недостаткам, а скорее связаны с индивидуальным поведением сотрудников внутри организации. Простым примером этого являются пользователи, оставляющие свои компьютеры разблокированными или уязвимыми для фишинговых атак. В результате тщательный аудит InfoSec часто включает в себя тест на проникновение , в ходе которого аудиторы пытаются получить доступ к как можно большей части системы, как с точки зрения обычного сотрудника, так и со стороны. ^[13] Поведенческий аудит обеспечивает принятие превентивных мер, таких как вебинар по фишингу, на котором сотрудники узнают, что такое фишинг и как его обнаружить.

Аудиты обеспечения безопасности систем и процессов объединяют элементы аудита ИТ-инфраструктуры и безопасности приложений/информации и используют различные элементы управления в таких категориях, как полнота, точность, достоверность (V) и ограниченный доступ (CAVR). ^[14]

Аудит безопасности приложений

Безопасность приложений

Безопасность приложений сосредоточена на трех основных функциях:

• Программирование
• Обработка
• Доступ

Когда дело доходит до программирования, важно обеспечить надлежащую физическую и парольную защиту серверов и мэйнфреймов для разработки и обновления ключевых систем. Наличие физической безопасности доступа в центре обработки данных или офисе, такой как электронные бейджи и считыватели бейджей, охранники, контрольные точки и камеры безопасности, жизненно важно для обеспечения безопасности приложений и данных. Затем необходимо обеспечить безопасность изменений в системе. Обычно это касается надлежащего доступа к безопасности для внесения изменений и наличия надлежащих процедур авторизации для переноса изменений в программирование от разработки через тестирование и, наконец, в производство.

При обработке важно, чтобы были внедрены процедуры и мониторинг нескольких различных аспектов, таких как ввод фальсифицированных или ошибочных данных, неполная обработка, дублирующие транзакции и несвоевременная обработка. Обеспечение случайной проверки ввода или надлежащего одобрения всей обработки является способом обеспечения этого. Важно иметь возможность идентифицировать неполную обработку и гарантировать наличие надлежащих процедур для ее завершения или удаления из системы, если она была ошибочной. Также должны быть процедуры для выявления и исправления дублирующих записей. Наконец, когда дело доходит до обработки, которая не выполняется своевременно, следует отследить связанные данные, чтобы увидеть, откуда возникла задержка, и определить, создает ли эта задержка какие-либо проблемы с контролем.

Наконец, доступ, важно понимать, что поддержание сетевой безопасности от несанкционированного доступа является одним из основных направлений для компаний, поскольку угрозы могут исходить из нескольких источников. Во-первых, у вас есть внутренний несанкционированный доступ. Очень важно иметь пароли доступа к системе, которые должны регулярно меняться, и чтобы был способ отслеживать доступ и изменения, чтобы можно было определить, кто внес какие изменения. Вся активность должна регистрироваться. Вторая область, о которой следует беспокоиться, — это удаленный доступ, люди, получающие доступ к вашей системе извне через Интернет. Настройка брандмауэров и защита паролем для онлайн-изменений данных являются ключом к защите от несанкционированного удаленного доступа. Один из способов выявить слабые места в контроле доступа — это пригласить хакера , чтобы он попытался взломать вашу систему, либо проникнув в здание и используя внутренний терминал, либо взломав ее снаружи через удаленный доступ.

Краткое содержание

Аудит информационной безопасности можно определить, изучив различные аспекты информационной безопасности. Внешние и внутренние специалисты в учреждении несут ответственность за поддержание и проверку адекватности и эффективности информационной безопасности. Как и в любом учреждении, существуют различные элементы управления, которые необходимо внедрить и поддерживать. Для защиты информации учреждение должно применять меры безопасности, чтобы обойти внешнее вмешательство. В целом, две концепции безопасности приложений и разделения обязанностей во многом связаны, и обе имеют одну и ту же цель: защитить целостность данных компаний и предотвратить мошенничество. Для безопасности приложений это связано с предотвращением несанкционированного доступа к оборудованию и программному обеспечению посредством принятия надлежащих мер безопасности как физических, так и электронных. При разделении обязанностей это в первую очередь физический обзор доступа лиц к системам и обработке и обеспечение отсутствия дублирования, которое может привести к мошенничеству. Тип аудита, который выполняет лицо, определяет конкретные процедуры и тесты, которые должны выполняться в течение всего процесса аудита.

Смотрите также

• Компьютерная безопасность
• Защитные вычисления
• Директива 95/46/EC о защите персональных данных ( Европейский Союз )
• Этический взлом
• Информационная безопасность
• Тест на проникновение
• Нарушение безопасности
• Вычислительная техника

Ссылки

1. "Эффективное управление рисками государственного управления | Журнал ISACA". ISACA . Получено 21.04.2022 .
2. "Аудит безопасности информационных систем | Журнал ISACA". ISACA . Получено 21.04.2022 .
3. "Эффективное управление рисками государственного управления | Журнал ISACA". ISACA . Получено 21.04.2022 .
4. "Аудит безопасности информационных систем | Журнал ISACA". ISACA . Получено 21.04.2022 .
5. Законодательное аудиторское управление — штат Монтана. (2006, июнь). «Обзор центра обработки данных». PDF. Хелена, Монтана.
6. Центр технической помощи по вопросам конфиденциальности. «Реагирование на аудиты безопасности ИТ: совершенствование методов обеспечения безопасности данных». PDF.
7. Сертифицированный специалист по интернет-аудиту (CIAP), Международная ассоциация образования в области компьютерного аудита (ICAEA), http://www.iacae.org/English/Certification/CIAP.php
8. Аудит безопасности на предмет соответствия политикам. albany.edu
9. Стаффорд, Томас; Гал, Грэм; Постон, Робин; Кросслер, Роберт Э.; Цзян, Рэнди; Лайонс, Робин (2018). «Роль бухгалтерского учета и профессиональных ассоциаций в аудите безопасности ИТ: отчет группы AMCIS». Сообщения Ассоциации информационных систем . 43 (1): 482–493. doi : 10.17705/1CAIS.04327 .
10. «Руководство по кибербезопасности».Среда, 2 декабря 2020 г.
11. Лю, Лэй; Цао, Минвэй; Сан, Егуо (15.12.2021). «Схема защиты безопасности данных слияния для конфиденциальных электронных документов в открытой сетевой среде». PLOS ONE . 16 (12): e0258464. doi : 10.1371/journal.pone.0258464 . ISSN  1932-6203. PMC 8673604. PMID  34910722 . 
12. Абу-Джассар, Амер Тахсин; Аттар, Хани; Евсиев, Владислав; Амер, Айман; Демска, Наталия; Лухач, Ашиш Кр.; Ляшенко, Вячеслав (2022-04-13). Нин, Синь (ред.). «Электронный ключ аутентификации пользователя для доступа к HMI/SCADA через незащищенные сети Интернет». Computational Intelligence and Neuroscience . 2022 : 1–13. doi : 10.1155/2022/5866922 . ISSN  1687-5273. PMC 9020904. PMID 35463229  . 
13. "10 советов, которые помогут вам защитить ваши данные". 360ict . Получено 24 июня 2016 г.
14. К. Юлиш и др., Соответствие требованиям по дизайну — преодоление пропасти между аудиторами и ИТ-архитекторами. Компьютеры и безопасность 30(6-7): 410-426 (2011)

Библиография

• Галлегос, Фредерик; Сенфт, Сандра; Мэнсон, Дэниел П.; Гонсалес, Кэрол (2004). Контроль и аудит технологий (2-е изд.) . Auerbach Publications. ISBN 0-8493-2032-1.

Внешние ссылки

• Проверка центров обработки данных
• Сетевой аудит
• Проект OpenXDAS
• Ассоциация информационных систем и аудита (ISACA) Архивировано 27 сентября 2007 г. на Wayback Machine
• Институт внутренних аудиторов