Aweasdzxcqweqwe?

Question

[saymeocean]

qweqwelkjqnkldsfjlisdl;madsjlfgskl;jsgd kmsdf

Comments

[uRoot]

Много текста

[saymeocean]

CryNet, :с

Answer 1

[cssman]

В заголовке вопроса - вопрос, в тексте - задание. Не надо так.

Самих трудностей много: в зависимости от того, что является предметом аудита, это может быть и сложный бизнес процесс, и рабочие места сотрудников, и технологические, серверные помещения, а может быть и комплексный аудит, где сплошные трудности.
Самая большая трудность и проблема в аудите - это люди, в менеджменте и "на местах".

По Вашему заданию почитайте документы ISACA, там есть подробные методики и рекомендации, из которых можно вытащить для себя больше примеров.

Comments

[saymeocean]

а конкретно какие документы не подскажете?

[cssman]

saymeocean, вот тут посмотрите, там гайдланы и стандарты

[saymeocean]

cssman, благодарю)

Answer 2

[Алекс]

"... аудиту безопасности информационных систем"
Уточни плз - Аудит ИБ компаний, либо всетаки Аудит ИБ отдельно взятых ИС?

Если первое тогда,
Трудность №1 - Отсутствие внятной Программы\Политики Информационной Безопасности (ПИБ) в компании.
ибо в ней как раз и должно быть описано то что собственно должны Проверять Аудиторам, и что ожидается получить в итоге.
Без наличия ПИБа, аудиторы превращаются в Тестеров на Проникновение. Типа "Пойти туда не знаю куда, найдти какуюто ХХХ уязвимость - не знаю какую (нам пофиг, лишь бы отчитаться)".

Трудность №2 - отсутствие поддержки\понимания Высшего Руководства компании в вопросах ИБ в первую очередь, в вопросах Аудита - во вторую.

Почитай например книгу -
Vladimirov, A., Gavrilenko, K., and Michajlowski, A. Assessment Information Security: Strategies, Tactics, Logic and Framework IT Governance, Cambs, GBR.