In English
Системы информационной 
безопасности 
Аудит – это основной инструмент оценки эффективности корпоративной системы безопасности и ее соответствия потребностям бизнеса, а также оптимизации и планирования затрат на обеспечение информационной безопасности предприятия.

Аудит информационной безопасности — один из важнейших этапов построения надежной системы защиты информации предприятия. Комплексная проверка позволяет увидеть полную картину состояния ИБ на предприятии, локализовать имеющиеся проблемы и слабые места системы защиты и разработать эффективную программу построения системы информационной безопасности предприятия. Компания АйТи предлагает комплекс услуг по проведению аудита информационной безопасности, включающий:

  • комплексный аудит ИБ
  • тесты на проникновение и анализ защищенности
  • аудит систем защиты информации на соответствие отечественным и международным стандартам, в том числе СТР-К, СТО БР ИББС-1.0, ГОСТ Р ИСО/МЭК 15408, ГОСТ Р ИСО/МЭК 27001
  • анализ рисков и оценку защищенности
  • аудит защищенности бизнес-приложений, в том числе баз данных, специального программного обеспечения, веб-приложений
  • аудит систем защиты персональных данных на соответствие требованиям законодательства РФ

Процесс аудита информационной безопасности является многогранным и должен учитывать множество параметров. Аудит объединяет несколько форм работ, основанных на единых принципах и методологии, но различающихся по содержанию конечной цели и объемам проводимых испытаний.

Компания АйТи предлагает следующие этапы проведения работ по аудиту информационной безопасности предприятия:

Этап I. Планирование работ

  • Формирование регламента проведения аудита:
  • определение границ проведения аудита
  • определение рабочей группы проекта
  • подготовка методики проведения аудита
  • разработка календарного плана проведения аудита

Этап II. Обследование информационной системы (ИС):

  • запрос необходимой информации
  • проведение анкетирования
  • проведение интервью
  • наблюдение
  • инструментальное сканирование
  • осмотр помещений

Этап III. Анализ и оценка уровня защищенности ИС:

  • анализ полноты и содержания существующей организационно-распорядительной документации по защите информации
  • выделение основных информационных активов
  • определение уровня защищенности информационной системы
  • разработка модели угроз и нарушителя информационной безопасности
  • моделирование действий внешнего и внутреннего нарушителя
  • анализ и оценка рисков, связанных с угрозами безопасности информационных ресурсов заказчика

Этап IV. Модернизация и оптимизация системы информационной безопасности:

  • формирование рекомендаций по модернизации системы информационной безопасности
  • формирование рекомендаций по оптимизации использования применяемых решений
  • формирование рекомендаций по модернизации организационно-распорядительной документации по защите информации

Основные цели проведения комплексного аудита ИБ:

  • Оценка текущего уровня защищенности ИС для принятия решения о ее модернизации
  • Локализация узких мест в системе защиты ИС
  • Определение соответствия системы управления информационной безопасностью задачам и целям предприятия
  • Оценка эффективности инвестиций и планирование затрат на обеспечение защиты информации
  • Оценка соответствия и полноты выполнения требований, предъявляемых к предприятию со стороны законодательства, стандартов ИБ, нормативных документов, политики безопасности или требований, предусмотренных контрактом