Аудит информационной безопасности

Под аудитом информационной безопасности можно понимать комплекс мероприятий по сбору и анализу информации од организации, ее бизнес-процессах и информационных системах, а также принятых организационных и технических мерах защиты информации. Аудит, проводимый на начальных этапах, является неотъемлемой частью большинства проектов по информационной безопасности: защиты персональных данных, коммерческой тайны, АСУ ТП и др. Однако в ряде случаев он является самостоятельным мероприятием. К примеру:

  • оценка полноты и согласованности имеющейся организационно-распорядительной документации;
  • определение стратегии дальнейшего развития информационной безопасности в организации
  • оценка соответствия требованиям законодательства и международным стандартам;
  • оценка эффективности принятых мер по защите информации и анализ защищенности;
  • выявление уязвимостей и анализ угроз информационной безопасности;
  • разработка и внедрение новых систем и средств защиты информации, модернизация существующих.

Аудит может быть проведен собственными силами (внутренний аудит) или сторонней организацией (внешний аудит). Внутренний аудит позволяет осуществлять текущий контроль уровня информационной безопасности, но не дает объективной, независимой оценки. Для этих целей рекомендуется прибегать к консалтинговым услугам экспертных организаций, обладающих необходимыми компетенциями, лицензиями и сертификатами.

Инженерное предприятие «Автоматизированные системы контроля и управления» имеет обширный опыт проведения вышеперечисленных типов аудитов информационной безопасности в организациях различного масштаба и рода деятельности. За плечами наших экспертов десятки проектов: от проектирования и внедрения отдельных подсистем защиты до комплексных аудитов безопасности информационной инфраструктуры. Накопленный опыт, подтвержденный лицензиями ФСТЭК и ФСБ России, гарантирует высокое качество получаемого результата в соответствии с лучшими мировыми практиками.

При проведении аудита мы используем полный спектр возможных средств и инструментов:

  • интервьюирование работников Заказчика, в том числе путем заполнения опросных листов;
  • анализ имеющейся технической и организационно-распорядительной документации;
  • инструментальный анализ с помощью специализированных технических средств и программного обеспечения;
  • проведение тестов на проникновение в информационные системы;
  • визуальный осмотр объектов автоматизации и наблюдение за работой сотрудников.

Собранная информация тщательно анализируется и документируется. На ее основе строится комплекс моделей, производятся необходимые расчеты, классификация и категоризация элементов аудита. Одновременно с этим ведется работа с требованиями: их выявление и систематизация. Рассматриваются все требования, предъявляемые к объекту информатизации, в том числе: требования нормативных документов, требования и рекомендации международных стандартов, отраслевые и корпоративные требования, а также пожелания Заказчика и целевые показатели системы.

Требования сопоставляются с реальным состоянием дел, дается оценка достаточности и эффективности принятых мер, указываются наиболее уязвимые элементы и существенные недостатки с точки зрения информационной безопасности. Проведенный анализ позволяет составить перечень рекомендаций и разработать план дальнейших действий.

Помимо достижения поставленных целей, аудит информационной безопасности позволяет организации получить другие значимые результаты.  Во-первых, предоставить руководству объективную и независимую картину компании. Во-вторых, обосновать необходимость внедрения или модернизации систем защиты информации и отразить ожидаемый от этого эффект. В-третьих, оптимизировать расходы на информационную безопасность и повысить их отдачу за счет устранения избыточности, перераспределения расходов.

Для уточнения деталей проекта и получения консультации свяжитесь с нами или воспользуйтесь формой обратной связи.