а что там практиковать? нанимается аудиторская фирма, потом получаете отчет, где написано, кто сколько и как сливает инфу налево и куда лазит. Имхо с нашими понятиями "этот Вася-мой родственник будет работать сейчас и здесь" от аудита толку мало, разве что в компании с иностранным менеджментом кумовства меньше или оно отсутствует. Но таких фирм/организаций, насколько я знаю, в Краматорске нет или их мало. А вообще правильно было бы иметь толкового безопасника, имеющего определенные полномочия на фирме/организации, тогда и аудит не нужен.
1. Это не Краматорск ... да и задача стоит провести не просто аудит, а согласно ГОСТу 27001 от 2006 г.
http://protect.gost.ru/document.aspx?control=7&id=129018 ...
2. Кто куда лазит и чо куда выносит, то не проблема, решается это элементарно ...
3. Согласно ГОСТу ... в общем .. начиная к примеру от требования к серверной, типа:
Основные требования стандарта к серверным помещениям:
в серверной комнате требуется наличие не менее одной двойной электрической розетки с заземлением на каждые 3 погонных метра любой стены, либо 2 планки розеток подключенных на различные фидеры для каждой коммутационной стойки;
серверную следует располагать в стороне от источников электромагнитного излучения, в местах, где возможно впоследствии расширение пространства и есть возможность размещения крупногабаритной аппаратуры;
максимально допустимая нагрузка на пол должна составлять: распределенная нагрузка - 12 кПа; сосредоточенная нагрузка - 4,4 кH;
рекомендуется использовать для освещения серверной комнаты лампы накаливания или галогенные лампы, для снижения количества электромагнитных помех;
рекомендуется иметь подъемный (настланный) пол или систему кабельнесущих лотков.
система кондиционирования должна обеспечивать поддержку температуры в диапазоне от 18 до 24 градусов по Цельсию. Относительная влажность должна поддерживаться в диапазоне от 30 до 50 процентов;
размеры серверного помещения должны отвечать требованиям к располагаемому в нем оборудованию или, при отсутствии данных, составлять 0,07 м2 на каждые 10 м2 площади обслуживаемых рабочих мест;
минимальный допустимый размер серверной комнаты - 12 м2;
серверная комната должна быть соединена с главным электродом системы заземления здания кондуитом размером 1,5;
требуемая минимальная высота потолка серверной комнаты должна составлять 2,44 м.
Все требования и рекомендации, относящиеся к телекоммуникационным шкафам и не перечисленные в данном разделе, применимы к помещениям серверной комнаты.
Телекоммуникационные шкафы
Телекоммуникационный шкаф по определению стандарта - этажное устройство, предназначенное для размещения телекоммуникационного оборудования, кроссов и точек терминирования передающих сред. Шкаф является точкой перехода между магистральной и горизонтальной трассами
Основные требования стандарта к телекоммуникационным шкафам:
шкафы должны быть предназначены только для телекоммуникационных приложений и сопряженных с ними средств поддержки;
на каждом этаже требуется наличие, по крайней мере, одного шкафа;
несколько шкафов на одном этаже следует соединять, как минимум, одним кондуитом (калибра 3 или эквивалентным);
уровень освещенности в телекоммуникационном шкафу должен составлять не менее 540 лк на высоте 1 м над уровнем пола;
наличие фальш-потолков в телекоммуникационном шкафу не допускаются;
минимальный размер двери: ширина 910 мм, высота 2000 мм. Дверь должна открываться наружу или раздвигаться, не должна иметь порожка и центрального упора;
необходимо наличие по крайней мере двух выделенных, неотключаемых дуплексных электрических розеток, каждая из которых подключена к отдельному фидеру;
должен быть предусмотрен доступ к главному электроду системы заземления здания.
Основные рекомендации по проектированию телекоммуникационных шкафов:
не рекомендуется расположение в помещении шкафа распределительных устройств электропитания, за исключением тех, которые нужны для работы телекоммуникационных устройств;
телекоммуникационный шкаф рекомендуется располагать ближе к центру обслуживаемой им зоны;
по крайней мере, две стены рекомендуется покрыть панелями (фанера или ДСП) для настенного монтажа оборудования;
необходимо обеспечить наличие дополнительных шкафов на этаже, если площадь этажа превышает 1000 м2 или расстояния в Горизонтали превышают 90 м;
Размер шкафа (площадь пола) рассчитывается на основании 10 м2, отводимых на одно рабочее место (табл. 8).Обслуживаемая область, м2 Размер шкафа, м
500 3,0х2,2
800 3,0х2,8
1000 3,0х3,4
Таблица. Требования к размерам телекоммуникационных шкафов
И это лишь очень малая часть от общих требований .. ко всему ... начиная от анализов рисков информационной безопасности и оценкой критичности и заканчивая моделью угроз безопасности и уязвимостей информационных ресурсов ...
вот такая где то примерно структура:
1. Вводная часть
1.1. Введение
1.2. Цели и задачи проведения аудита
1.3. Описание ИС
1.3.1. Назначение и основные функции системы
1.3.2. Группы задач, решаемых в системе
1.3.3. Классификация пользователей ИС
1.3.4. Организационная структура обслуживающего персонала ИС
1.3.5. Структура и состав комплекса программно-технических средств ИС
1.3.6. Виды информационных ресурсов, хранимых и обрабатываемых в системе
1.3.7. Структура информационных потоков
1.3.8. Характеристика каналов взаимодействия с другими системами и точек входа
1.4. Границы проведения аудита
1.4.1. Компоненты и подсистемы ИС, попадающие в границы проведения аудита
1.4.2. Размещение комплекса программно-технических средств ИС по площадкам (помещениям)
1.4.3. Основные классы угроз безопасности, рассматриваемых в ходе проведения аудита
1.5. Методика проведения аудита
1.5.1. Методика анализа рисков
1.5.2. Исходные данные
1.5.3. Этапность работ
1.6. Структура документа
2. Оценка критичности ресурсов ИС
2.1. Критерии оценки величины возможного ущерба, связанного с осуществлением угроз безопасности
2.2. Оценка критичности информационных ресурсов
2.2.1. Классификация информационных ресурсов
2.2.2. Оценка критичности по группам информационных ресурсов
2.3. Оценка критичности технических средств
2.4. Оценка критичности программных средств
2.5. Модель ресурсов ИС, описывающая распределение ресурсов по группам задач
3. Анализ рисков, связанных с осуществлением угроз безопасности в отношении ресурсов ИС
3.1. Модель нарушителя информационной безопасности
3.1.1. Модель внутреннего нарушителя
3.1.2. Модель внешнего нарушителя
3.2. Модель угроз безопасности и уязвимостей информационных ресурсов
3.2.1. Угрозы безопасности, направленные против информационных ресурсов
3.2.1.1. Угрозы несанкционированного доступа к информации при помощи программных средств
3.2.1.2. Угрозы, осуществляемые с использованием штатных технических средств
3.2.1.3. Угрозы, связанные с утечкой информации по техническим каналам
3.2.2. Угрозы безопасности, направленные против программных средств
3.2.3. Угрозы безопасности направленные против технических средств
3.3. Оценка серьезности угроз безопасности и величины уязвимостей
3.3.1. Критерии оценки серьезности угроз безопасности и величины уязвимостей
3.3.2. Оценка серьезности угроз
3.3.3. Оценка величины уязвимостей
3.4. Оценка рисков для каждого класса угроз и группы ресурсов
4. Выводы по результатам обследования
5. Рекомендации
5.1. Рекомендуемые контрмеры организационного уровня
5.2. Рекомендуемые контрмеры программно-технического уровня
жесть вобщем ... а еще и учитывая серьёзность и глобальность организации ...
