Аудит информационной безопасности
Аудит информационной безопасности предназначен для оценки текущего состояния безопасности информационной системы (ИС). Позволяет спрогнозировать возможные риски сбоев в процессе функционирования ИС и разработать эффективную программу обеспечения информационной безопасности организации, которая предполагает максимальною защиту информации при помощи специальных интегрируемых средств.
Необходимость в проведении аудита общего состояния информационной системы возникает в случаях:
- реорганизации компании (при ее расширении, слиянии или поглощении), смены руководящего состава или организационного состава фирмы;
- значимых изменениях в IT-инфраструктуре компании;
- отсутствия квалифицированных специалистов, отвечающих за обеспечение информационной безопасности;
- возникновения утечки данных, содержащих конфиденциальную информацию.
Аудит проводится с целью:
- анализа рисков и предотвращения угроз информационной безопасности;
- определения текущего уровня защищенности информационной системы;
- оценки соответствия информационной системы существующим стандартам в области информационной безопасности;
- разработки рекомендаций по внедрению актуальных механизмов обеспечения защиты информации или повышения эффективности уже существующих.
В результате аудита предоставляются:
- политики безопасности, документы, предоставляющие текущую оценку состояния информационной безопасности, и другую организационно-распорядительную документацию по защите информации;
- перечень рекомендаций по приведению информационной системы организации к нормам и требованиям по информационной безопасности.
- Проверку документации на соответствие нормам и требованиям, прописанным в законодательстве:
- разработка политики безопасности;
- разработка организационно-распорядительной документации.
- Анализ защищенности систем:
- проверка на соответствие существующих мер по безопасности информационной системы организации передовым практикам в области информационной безопасности;
- проверка на соответствие требованиям действующего законодательства РФ.
- Моделирование угроз:
- определение угроз;
- описание каналов утечки информации;
- описание модели поведения злоумышленника;
- тестирование сети с интегрированными средствами защиты информации с помощью сканеров.
- Рекомендации по предотвращению нарушений:
- составление должностных инструкций;
- разработка технических паспортов на используемое оборудование;
- создание методических материалов для обучения персонала.