Розглянуто завдання та методи аудиту захищеності корпоративних інформаційних систем (ІС). Оцінювання захищеності (аудиту) корпоративної ІС дає змогу знайти потенційні вразливості системи, визначити можливі втрати. Результати аудиту є вхідними даними для оцінювання затрат на заходи щодо захисту інформації у системі. Проаналізовано сучасні алгоритми оцінювання захищеності корпоративних інформа- ційних систем, зокрема RiskWatch, CRAMM, ГРИФ.
1. Guide for Production of Protection Profiles and Security Targets. ISO/JTC1/SC27/N2449. DRAFT v0.9, January 2000. 2. Information technology – Security techniques – Protection Profile registration procedures. ISO/IEC 15292: 2000 http://www.iso.ch/iso/en/commcentre/pdf/Itsecurity0006.pdf. 3. Куканова Н., Методика оценки риска ГРИФ 2006 из состава Digital Security Office http://www.dsec. ru/about/articles/grif_ar_methods/. 4. Куканова Н. Современные методы и средства анализа и управления рисками информационных систем компаний http://www.dsec.ru/about/articles/ar_compare/. 5. Липаев В.В. Анализ и сокращение рисков проектов программных средств http://jetinfo.isib.ru/ 2005/1/2005.1.pdf. 6. Сидак А., Марк К. Mетодология оценки безопасности информационных технологий по общим критериям, http://jetinfo.isib.ru/2004/6/2004.6.pdf. 7. Cимонов С. Технологии и инструментарий для управления рисками http://jetinfo.isib.ru/2003/2/2003.2.pdf. 8. Тарасов Д.О. Аудит баз даних // Защита информации: Сб. науч. тр. – К.: КМУГА, 2000. – С. 137–143.