Аудит информационной безопасности

Аудит – это основной инструмент оценки эффективности корпоративной системы безопасности и ее соответствия потребностям бизнеса, а также оптимизации и планирования затрат на обеспечение информационной безопасности организации

Целью проведения комплексного аудита является получение наиболее полной и объективной оценки состояния защищенности информационной системы, локализация имеющихся проблем, слабых мест системы защиты и разработка эффективной программы построения системы информационной безопасности предприятия.

Основные цели проведения комплексного аудита ИБ:

• Оценка текущего уровня защищенности ИС, для принятия решения о её модернизации
• Оценка эффективности инвестиций в систему защиты
• Локализация узких мест в системе защиты ИС
• Определение соответствия системы управления информационной безопасности задачам и целям организации для обеспечения эффективности и непрерывности бизнеса
• Оптимизация и планирование затрат на обеспечение защиты информации
• Обеспечение максимального возврата инвестиций, вкладываемых в систему информационной безопасности
• Оценка соответствия ИС существующим стандартам в области ИБ
• Оценка полноты и качества выполнения требований, предъявляемых к организации или ИС со стороны законодательства, стандартов ИБ, нормативных документов, политики безопасности компании, или требований, предусмотренным контрактом

Компания АйТи предлагает следующие виды аудитов информационной безопасности:

• Комплексный аудит информационной безопасности
• Проведение тестов на проникновение и анализ защищенности сети
• Аудит системы управления информационной безопасностью на соответствие требованиям международного стандарта ISO/IEC 27001:2005 и разработка рекомендаций по совершенствованию системы управления ИБ
• Анализ и оценка рисков, связанных с угрозами безопасности информационных ресурсов заказчика
• Аудит соответствия российским и международным стандартам:
  • аудит соответствия стандарту PCI DSS
  • аудит соответствия стандарту СТО БР ИББС-1.0
  • аудит соответствия Специальным требованиям и рекомендациям по защите конфиденциальной информации (СТР-К)
  • аудит безопасности на соответствие требованиям ГОСТ Р ИСО/МЭК 15408
• Аудит защищенности приложений (баз данных, специального программного обеспечения, web-приложений)
• Аудит защищенности персональных данных

Компания АйТи предлагает следующие этапы проведения работ по комплексному аудиту информационной безопасности предприятия:

Этап I. Планирование работ. Формирование регламента проведения аудита: определение границ проведения аудита определение рабочей группы проекта подготовка методики проведения аудита разработка календарного плана проведения аудита Этап II. Обследование информационной системы: запрос необходимой информации проведение анкетирования проведение интервью наблюдение инструментальное сканирование осмотр помещений Этап III. Анализ и оценка уровня защищенности ИС: анализ полноты и содержания существующей организационно-распорядительной документации по защите информации выделение основных информационных активов определение уровня защищенности информационной системы разработка модели угроз и нарушителя информационной безопасности моделирование действий внешнего и внутреннего нарушителя анализ и оценка рисков, связанных с угрозами безопасности информационных ресурсов заказчика Этап IV. Модернизация и оптимизация системы информационной безопасности: формирование рекомендаций по модернизации системы информационной безопасности формирование рекомендаций по оптимизации использования применяемых решений формирование рекомендаций по модернизации организационно-распорядительной документации по защите информации