Аудит информационной безопасности — один из важнейших этапов построения надежной системы защиты информации предприятия. Комплексная проверка позволяет увидеть полную картину состояния ИБ на предприятии, локализовать имеющиеся проблемы и слабые места системы защиты и разработать эффективную программу построения системы информационной безопасности предприятия. Компания АйТи предлагает комплекс услуг по проведению аудита информационной безопасности, включающий:

• комплексный аудит ИБ
• тесты на проникновение и анализ защищенности
• аудит систем защиты информации на соответствие отечественным и международным стандартам, в том числе СТР-К, СТО БР ИББС-1.0, ГОСТ Р ИСО/МЭК 15408, ГОСТ Р ИСО/МЭК 27001
• анализ рисков и оценку защищенности
• аудит защищенности бизнес-приложений, в том числе баз данных, специального программного обеспечения, веб-приложений
• аудит систем защиты персональных данных на соответствие требованиям законодательства РФ

Процесс аудита информационной безопасности является многогранным и должен учитывать множество параметров. Аудит объединяет несколько форм работ, основанных на единых принципах и методологии, но различающихся по содержанию конечной цели и объемам проводимых испытаний.

Компания АйТи предлагает следующие этапы проведения работ по аудиту информационной безопасности предприятия:

Этап I. Планирование работ

• Формирование регламента проведения аудита:
• определение границ проведения аудита
• определение рабочей группы проекта
• подготовка методики проведения аудита
• разработка календарного плана проведения аудита

Этап II. Обследование информационной системы (ИС):

• запрос необходимой информации
• проведение анкетирования
• проведение интервью
• наблюдение
• инструментальное сканирование
• осмотр помещений

Этап III. Анализ и оценка уровня защищенности ИС:

• анализ полноты и содержания существующей организационно-распорядительной документации по защите информации
• выделение основных информационных активов
• определение уровня защищенности информационной системы
• разработка модели угроз и нарушителя информационной безопасности
• моделирование действий внешнего и внутреннего нарушителя
• анализ и оценка рисков, связанных с угрозами безопасности информационных ресурсов заказчика

Этап IV. Модернизация и оптимизация системы информационной безопасности:

• формирование рекомендаций по модернизации системы информационной безопасности
• формирование рекомендаций по оптимизации использования применяемых решений
• формирование рекомендаций по модернизации организационно-распорядительной документации по защите информации

Основные цели проведения комплексного аудита ИБ:

• Оценка текущего уровня защищенности ИС для принятия решения о ее модернизации
• Локализация узких мест в системе защиты ИС
• Определение соответствия системы управления информационной безопасностью задачам и целям предприятия
• Оценка эффективности инвестиций и планирование затрат на обеспечение защиты информации
• Оценка соответствия и полноты выполнения требований, предъявляемых к предприятию со стороны законодательства, стандартов ИБ, нормативных документов, политики безопасности или требований, предусмотренных контрактом