Аудит ИБ
Ключевой составляющей системы контроля за состоянием защиты информационных активов организации является проведение аудита информационной безопасности . Процедура может проходить как в сочетании с общим IТ-аудитом, так и самостоятельно. Зачастую аудит проводится в рамках реализации проектов проведения комплексных мероприятий по обеспечению информационной безопасности и соответствующей интеграции, являясь начальным этапом такого рода проектов.
Аудит безопасности информации включает в себя два основных мероприятия: организационный и технический аудиты. Последний традиционно разделяется на такие виды как общий и инструментальный аудиты.
Наша Компания проводит аудит на предмет соответствия действующим требованиям в следующих предметных сферах :
- Законодательная база и действующие требования в области защиты персональных данных (ФЗ № 152, Приказ ФСТЭК России № 21 и т.п.)
- Требования, действующие в отрасли, установленные для финансовых организаций и в финансовом процессинге, стандарты информационной защиты, а также рекомендации по ее обеспечению (382-П, ГОСТ-Р 57580.1, PCI DSS)
- Законодательная база и требования, установленные в сфере информационной защиты в национальной платежной системе РФ (ФЗ № 161)
- Требования по обеспечению информационной защиты в государственных информационных системах (Приказ ФСТЭК № 17)
- Требования ФЗ «О безопасности критической информационной инфраструктуры РФ» № 181 и Приказа ФСТЭК России № 239
- Вступившего в силу с 25 мая 2018 года Общеевропейского регламента о персональных данных – General Data Protection Regulation (GDPR)
- Практический метод проверки защищенности объектов информатизации — тестирование на проникновение (Pentest)
По результатам проведения аудита оформляется заключение об оценки состояний информационной безопасности и соответствия критериям, которые лежали в основе аудита, и включает в себя рекомендации по обеспечению информационной защиты, проектированию защиты от несанкционированного доступа, улучшению IТ-инфраструктуры, совершенствованию процессов в сфере управления, обеспечения безопасности информации. Дополнительно может быть проведена аттестация объекта информатизации, подтверждающая выполнение требований регуляторов в области защиты информации.
В рамках инструментального аудита проводятся следующие мероприятия:
- Аудит уровня защищенности информационных систем и IТ-инфраструктуры
- Изучение имеющихся в Компании заказчика информационных потоков
- Анализ исходного кода программ на предмет наличия закладок (уязвимостей)
- Pentest (проведение тестирования на проникновение)
Аудит логически продолжается в разработке внутриорганизационной документации по обеспечению информационной безопасности. Это, в частности, могут быть следующие документы:
- Концепция обеспечения безопасности информации
- Политики обеспечения информационной безопасности
- Регламенты обеспечения информационной безопасности
Документы высшего уровня позволяют создать нормативную базу для организации в Компании заказчика всех процессов, направленных на приведение в соответствие с законодательными требованиями, а также требованиями, зафиксированными в нормативных актах регуляторов, и в соответствии с наиболее эффективными практиками обеспечения информационной безопасности с учетом используемых информационных технологий, а также процессов управления и обеспечения ИБ.
Разработка и построение процессов поддержания информационной безопасности и управления в этой сфере – обязательный элемент процессной модели деятельности компаний в условиях, когда уровень зрелости информационных технологий высокий или средний.
Основные результаты
После реализации проекта заказчик получает оценку независимыми экспертами состояния информационной безопасности на обследуемой области, соответствия действующим в отрасли нормативно-правовым актам по защите информации, уровня уязвимости инфраструктуры информационной безопасности, технологий и систем перед существующими угрозами информационной безопасности. Могут также выявляться факты противоправных действий разного характера в информационном пространстве.
Основные преимущества
Аудит ИБ позволяет получить оценку реального состояния дел в сфере обеспечения информационной безопасности, а следование рекомендациям, полученным от экспертов нашей Компании, дает клиенту возможность повысить эффективность систем защиты информации и надежнее защитить свою инфраструктуру. Воспользовавшись услугой проведения аудита безопасности информации, заказчик получает массу преимуществ:
- Проводится комплексная оценка силами независимых специалистов уровня защиты IT-инфраструктуры. С учетом результатов такой оценки высококвалифицированные специалисты с богатым профессиональным опытом рекомендуют клиенту действенные меры, направленные на повышение эффективности и надежности процессов обеспечения ИБ
- Следуя полученным по результатам аудита рекомендациям, заказчик проводит оптимизацию IT-инфраструктуры и соответствующих бизнес-процессов, исходя из действующих в отрасли требований информационной безопасности, а также обеспечивает более качественный внутренний контроль
- Заказанный в нашей компании аудит – это возможность повысить защищенность информации, обеспечивая при этом конфиденциальность, целостность и доступность, защиту от рисков утечки информации, минимизировать в критически важных составляющих человеческий фактор, повысить безопасность на каждом из уровней: операционной системы, приложения, сетевой, виртуальной, физической инфраструктур и т.п.
- Посредством организации ИБ-аудита можно избежать лишних расходов на информационную безопасность и информационные технологии, так как по результатам такой процедуры даются исключительно рациональные рекомендации с учетом конкретной инфраструктуры компании-заказчика. Удается также снизить риск потерь репутационного характера, вызванных недостаточно высоким уровнем информационной безопасности.
Список конкретизированных услуг, предоставляемых нашей компанией в рамках аудита информационной безопасности:
