АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Alexey Malashenkov logo

АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Среди всех видов независимой оценки текущего состояния дел в компании, приоритетным для руководителя становится аудит информационной безопасности. Коммерческая информация является важным конкурентным преимуществом, а аудит информационной безопасности – надежным инструментом защиты бизнеса. 

Ценность коммерческой информации сегодня очевидна, это ключевой ресурс, от которого зависит экономическая стабильность любого бизнеса. Причем, особенность информации, как ресурса, состоит в том, что её невозможно запереть в сейф. Она должна активно использоваться сотрудниками в процессе осуществления их должностных обязанностей. Насколько хорошо организована защита информации в вашей фирме? Как выявить главные уязвимости и возможные каналы утечки информации? В какой степени подвержена фирма внешним и внутренним угрозам? Аудит информационной безопасности призван не только ответить на эти вопросы, но и стать аналитической базой для разработки грамотной политики безопасности в фирме и составления рекомендаций по укреплению «слабых звеньев».

Необходимость в экспертной оценке состояния информационной безопасности может возникнуть в разных случаях:

  • Аудит информационной безопасности обязателен, когда происходит реорганизация компании (слияние, поглощение, расширение).
  • Когда меняется руководство компании или её организационная структура.
  • Если происходят существенные изменения в ИТ-инфраструктуре или бизнес-процессах.

Аудит информационной безопасности производится, если появляются новые внешние и внутренние требования в сфере ИБ.

Аудит информационной безопасности также является обязательным условием при выходе компании на международный рынок или осуществлении совместных проектов с иностранными партнерами.

Это актуальная процедура для любой фирмы, в штате которой отсутствует компетентный специалист по информационной безопасности. 

АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ВКЛЮЧАЕТ В СЕБЯ НЕСКОЛЬКО ЭТАПОВ

Прежде чем произвести аудит информационной безопасности, мы анализируем задачи, которые ставит перед своей информационной системой руководитель. Нам необходимо понять, каковы критерии оценки состояния, каковы ожидания и перспективы развития информационной системы. 

  1. Далее осуществляется сбор исходных данных об информационной системе организации, её функциональных подсистемах, особенностях и функциях. 
  2. Собирается информация о технологиях автоматизированной обработки и передачи данных, которые используются в организации, свойствах циркулирующей информации и критичных информационных потоках с точки зрения обеспечения её целостности, доступности и конфиденциальности.
  3. Анализируются действующие организационно–распорядительные документы, регламентирующие защиту информации.
  4. Осматриваются офисные и технологические помещения на предмет обеспечения физической безопасности информационной инфраструктуры.
  5. Производится аудит и анализ конфигурационных настроек ПО и оборудования.
  6. Осуществляются различные виды тестирования системы на устойчивость к проникновениям, в том числе через Интернет.
  7. Интервьюируются технические специалисты организации, сотрудники, отвечающие за ИБ и руководители подразделений с целью определения требований, предъявляемых к информационной системе.
  8. Полученные данные анализируются, формируется отчет по результатам, подготавливаются предложения по совершенствованию системы ИБ организации. 

Завершив аудит информационной безопасности, мы представляем заказчику детальный отчет, в который включаются:

  • Перечень и описание технологических уязвимостей в информационной инфраструктуре фирмы.
  • Оценка критичности выявленных уязвимостей и прогноз вероятных последствия в случае реализации угроз.
  • Оценка соответствия действующей системы информационной безопасности фирмы актуальным требованиям и стандартам в области ИБ.
  • Конкретные рекомендации, которые позволят повысить текущий уровень защиты информации.
  • План реализации данных рекомендаций с примерной бюджетной оценкой.
  • Подробное техническое задание на внедрение мер, рекомендуемых для повышения информационной безопасности.

Аудит информационной безопасности предоставляет руководству компании реальную картину состояние информационных активов и позволяет объективно оценить степень их защищенности. Проведение аудита ИБ способствует минимизации рисков и повышению авторитета фирмы в глазах партнеров и клиентов. 


Cron Job Starts